Exterminar malware

Hola buenas antiguos compañeros, os pido ayuda en el siguiente tema.

Ha llegado a mis manos un ordenador con Windows XP que debo desinfectar si o si. En breves el propietario migrará de sistema operativo a uno actual, pero de momento este debe seguir funcionando. También la información que contiene se deberá migrar al nuevo sistema operativo, pero de momento quiero asegurarme que no queda ningún malware en el sistema antes de migrar la información.

Ya he realizado algunos pasos de desinfección como: Malwarebytes, AdwareCleaner, y Junkware Removal Tool. Las dos primeras han eliminado malwares, pero creo que sigue teniendo. Básicamente por los siguientes motivos:

  • Lentitud extrema debida al malware que hay (en este sentido ha mejorado un poco pero sigue bastante lento).
  • Direcciones url ofuscadas al pasar el Farbar como:
  1. DPF: {E6ACF817-0A85-4EBE-9F0A-096C6488CFEA} hxxps://www.ntrconnect.com/main/mod/setup/ntractivex118_24.cab
  2. DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
  • etc (podría seguir en una lista muy larga).

Para eliminarlos he realizado la ejecución de las herramientas citadas anteriormente, para ello he seguido las instrucciones de @Miguelgrado: Archivo pdf infectado o las instrucciones que @Javier da en: Los programas se cierran solos o cualquier tema/caso de eliminación de malwares que tenga la intervención de herramientas como OTL o Farbar o CF. En definitiva, que en las partes en las que tengo que utilizar herramientas como OTL o Farbar o CF se usarlos pero no recuerdo exactamente el uso después de tantísimo tiempo.

En definitiva, he pensado las siguientes estrategias para llevar a cabo dicha desinfección:

  1. Aislar el ordenador de la red. Realizar los pasos que dan Javier o Miguel, incluido el FRST. Actualizar el software hasta donde se permita, poner malwarebytes en modo prueba 30 días junto con un antivirus + firewall y volverlo a conectar en la red.

  2. Aislar el ordenador de la red. Lanzar alguno de estos kits de desinfección que no dependen del sistema operativo: ESET SysRescue Live, Kaspersky Rescue Disk 18, Dr.Web LiveDisk. Una vez ya desinfectado, actualizar el software hasta donde se permita, poner malwarebytes en modo prueba 30 días junto con un antivirus + firewall y volverlo a conectar en la red.

Pues bien, como vosotros estáis actualizados y yo en usar OTL, CF o FRST ya no. Os agradecería mucho que me ayudéis en dicha tarea de desinfección. Así que me pongo en vuestras manos.

Gracias.

Salu2.

Hola Estimado

Vamos con este paso directamente …

Desactiva temporalmente tu antivirus y cualquier programa de seguridad que tengas en funciones.

Descarga Farbar Recovery Scan Tool en el escritorio de Tu PC. Selecciona la versión adecuada para la arquitectura (32 o 64bits) de tu equipo.

Como saber si Mi Windows es de 32 0 64 Bits`

  • Ejecuta FRST.exe
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Guía: Como Ejecutar FRST

En Tu próxima respuesta, debes pegar los dos reportes generados.

Debes copiarlos y pegarlos con todo su contenido y usaras varios mensajes si recibes un mensaje de error indicando que es muy largo(mas de 50.000 caracteres aprox.).

Guía: Como Pegar reportes en el Foro

Saludos

Hola compañero @Leosolari que bueno volver a verte otra vez.

Primero de todo muchas gracias por tu ayuda, he realizado al pie de la letra todas las instrucciones que me has dado.

Aquí traigo los reportes solicitados:

Frst.txt

Gracias nuevamente. Yo ya veo bastante porquería/cosas a eliminar en los reportes.

Desconnecto el equipo de la red? O lo dejo conectado?

Vuelvo a activar los programas de seguridad o los dejo inactivos durante la desinfección?

Salu2.

Hola

Lo ideal es hacer todo desconectado de la red …

Abrí un nuevo archivo Notepad y copia y pega este contenido:

  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

  • Ejecutas Frst.exe.
  • Presionas el botón Fix y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.

Saludos

2 Me gusta

Hola buenas, que rápido que has ido. Se nota que estas curtido en mas de mil batallas. Bien, lo he realizado con el equipo desconectado de la red y también tengo los programas de seguridad inactivos (PC actualmente desconectado de la red).

Una vez ha realizado la eliminación del contenido de fixlist.txt, he aceptado en que se reiniciase el ordenador.

Aquí traigo el reporte solicitado:

Fixlog.txt

Muchísimas gracias por tu ayuda. Se nota que la máquina va mas fluida o rápida. De todas formas no se si en algún momento más adelante me recomendarías lanzar uno de estos: ESET SysRescue Live, Kaspersky Rescue Disk 18, Dr.Web LiveDisk?

Salu2.

Hola

No veo necesario usar un Live CD. Tene en cuenta que se trata de un equipo viejo, y estas herramientas pueden barrerte algunos archivos legítimos tomándolos como falsos positivos. Podrías llegar a desestabilizar completamente al sistema, que de por si, ya es inestable debido a que no tiene soporte de actualizaciones.

De haber indicios de infecciones, las hubiese visto en el reporte de FRST.

Descargá la herramienta Delfix a Tu escritorio.

Ejecutala, Tildá la casilla Remove disinfection tools y presioná Run

Al terminar Se abrirá un reporte llamado DelFix.txt, verifica que se hayan eliminado las herramientas usadas para desinfectar el Pc.

Nos comentas como sigue …

Saludos

Hola de nuevo.

Ok, entendido pues entonces no pasaré un Live CD.

Ok, entendido.

Vuelvo a activar los programas de seguridad inactivos? Después conecto a la red y finalmente realizo el procedimiento con delfix?

O bien descargo delfix en una usb, lo paso en el PC y después vuelvo a activar los programas de seguridad inactivos y finalmente conecto el PC a la red?

Salu2.

De esta manera es mejor …

Nos comentas como va el PC.

Saludos

OK, pues voy a ello.

P.D.: Antes de realizar lo que indicas con el Delfix, he vuelto a lanzar el FRST tal y como me indicaste tú y me ha surgido la siguiente duda:

¿Pues no deberían eliminarse todas las URLs ofuscadas que han sido alteradas por malware?

Pues hay algunas como:

Ya me dices y realizo seguidamente con Delfix.

Gracias y salu2.

Hola

192.168.1.192 es la entrada a un router. No es maliciosa.

www.ntrconnect.com Tampoco es maliciosa.

Saludos

Pero por lo que he mirado yo ahora ninguna de estas esta infectada como tal. Voy a por el DelFix, en poco pongo reporte y comento estado de maquina.

Gracias. Hasta ahora.

Salu2.

Hola de nuevo.

Ya he lanzado Delfix, este es el reporte:

Como puedes ver las ha eliminado correctamente. El USBFix esta ahí de antes de abrir el tema del foro. Pues lo utilice hace unos días cuando elimine otros malwares.

Respecto el ordenador lo he reiniciado y ha tardado: 1 min y 52 segundos. Teniendo en cuenta la “carraca por no decir otra cosa…” que es pues creo que esta bastante bien. Va bastante por no decir mucho más fluido y rápido que antes.

Ahora lo tengo encendido y consume: unos 433 MB de RAM sobre 3 GB y entre un 1 % a 5 % de CPU.

Ahora como ya te he dicho antes al principio del tema:

Así que ahora yo le haría lo siguiente:

  1. Actualizar el sistema operativo que es XP, al estar obsoleto y al no haber ya actualizaciones oficiales de Microsoft. ¿Me recomiendas que lo actualice desde: WSUS Offline Update o alguno por el estilo?

  2. Actualizar los diferentes programas / software hasta donde se permita, puesto que es XP y ya esta más que obsoleto.

  3. Poner malwarebytes en modo prueba 30 días junto con un antivirus (¿Cual me recomiendas? Yo pondría Avast o Kaspersky).

  4. Volver a activar el firewall de Windows.

  5. Finalmente, volverlo a conectar a la red.

¿Que te parecen dichas acciones? Las hago para que quede algo más defendido y que mientras deba seguir funcionando (por poco tiempo) este mínimamente protegido.

Finalmente, por curiosidad. ¿Que tipo de infecciones/malware eran? Eran: Trojans, Virus, Rootkits, Hijackers, etc.

Muchas gracias por tu ayuda compañero, eres un: maquina, crack, etc.

Salu2.

Hola

1.- No es posible. Windows XP dejo de tener soporte técnico. No hay actualizaciones

2.- Si el sistema funciona bien así, así debes dejarlo.

3.- Solo con Malwarebytes esta bien. Ponerle mas cosas seria sobrecargarlo.

4.- Si

5.- Si

Solo tenia entradas obsoletas. Nada importante.

Saludos

Hola de nuevo.

1.-Ok, eso ya lo se. Pero quiero decir que las actualizaciones que se crearon de Windows XP hasta el último día en el que estuvo operativo que fue el: 9 de abril de 2019. ¿No podría poner un WSUS o algo por el estilo que las tenga recopiladas y las instale hasta la fecha de 9 de abril de 2019 que es cuando se dejo de dar soporte?

2.-OK, de momento funciona bien. Así que de momento lo dejaré así, de todas formas dejame unas horas a que lo pruebe un poco más y te comento.

3.- OK, pues solo nuestro amigo Malwarebytes.

4.-OK.

5.-OK.

Vale okey. Es decir:

6.-¿Que realmente infecciones como tal no tenía, no? Yo en su momento al pasar las herramientas que te dije eliminaron Adwares variopintos (pocos) y lo mas preocupante o grave que lo elimino el Malwarebytes. El reporte es:

7.-¿Exactamente que eran dichas infecciones? Pues antes de desinfectarlo como tal vi que se conectaban una serie de IPs remotas. Se que el archivo legítimo de r_server.exe es Radmin que es un servidor de administrador remoto, pero en este caso creo que estaba comprometido como tal por el siguiente motivo:

Pues tengo entendido que el malwarebytes al decir: MachineLearning/Anomalous.100% es un nombre genérico de detección de Malwarebytes para los archivos marcados por el módulo de aprendizaje automático de Malwarebytes como 100% anómalos. También se que pueden haber porcentajes más bajos en los resultados del scan. Se que el porcentaje se utiliza para mostrar qué tan grande es la desviación del archivo examinado de los archivos legítimos o originales en el conjunto de entrenamiento. Donde un porcentaje del 100% significa que se ven completamente diferentes del conjunto de archivos legítimos de capacitación.

En otras palabras, no se lo que era exactamente pero seguro que estaba infectado o corrompido ya que la desviación era del 100 x 100. Y por lo que vi, dicho atacante debía conectarse remotamente a la máquina para monitorizarla o vete a saber que. ¿Que opinas tú al respecto?

También que no te lo he dicho pero le pase el mbar y el TDSKIller y salio todo limpio. Así que rootkits no creo que lo fueran.

En un rato realizo los cinco pasos comentados anteriormente, lo pruebo un poco más y te comento para ya ir finalizando.

Muchas gracias nuevamente.

Salu2.

1 me gusta

P.D.: ¿Me recomendarías que le pasase un ESET Online? O mejor que no para no sobrecargarlo.

Gracias.

Salu2.

Estimado.

Esto parece un interrogatorio.

ya te había dicho antes que no hace falta hacer nada mas. Si el sistema esta limpio y estable, y lo van a cambiar en poco tiempo, para que cambiar las cosas ?

No siempre hacer mas cosas, significa mejorar. Aveces empeora todo.

Saludos

Hola de nuevo. Primero de todo, te pido disculpas si he realizado alguna pregunta o acción que te haya molestado. Disculpas.

Mas que nada para intentar darle algo más de seguridad o estabilidad, ya se que le queda poco tiempo en uso pero más que nada para intentar reforzarlo un poco antes de cambiarlo. Pero claro, si le realizo demasiadas cosas, pueden pasar dos cosas:

  1. Que el sistema se vuelva inestable y se convierta en un caos, como tu bien dices. Y que se y soy consciente de que puede pasar.

  2. O que vaya bien y consiga dicho grado más de estabilidad y seguridad.

Siendo un riesgo como tal ir a buscar ese grado extra de seguridad y estabilidad considero que no vale la pena arriesgarse. Por lo tanto, optaré por la opción conservadora y solo realizare lo de los 5 puntos que hablamos en los post número: 13, 14 y 15. Así que lo realizo y te comento como sigue para ya ir finalizando el tema.

Y las 6 y 7 eran más a nivel de curiosidad/conocimiento mío. Quiero decir, que lo he preguntado para saber más, aprender y por curiosidad.

En unas horas realizo lo que te he dicho y te comento para ir cerrando.

Muchas gracias por todo.

Salu2.

Hola buenas. Primero de todo disculpa la demora, pues realice lo que acordamos en dichos puntos y he estado probando el PC estos días para asegurarme de su correcta estabilidad y funcionamiento.

Pues te informo que funciona correctamente, no se puede comparar con antes. Así que podemos dar el tema por solucionado.

Muchísimas gracias por tu ayuda.

Salu2. Marr0n

P.D.:Nos leemos / vemos pronto.

Este tema se cerró automáticamente 2 días después del último post. No se permiten nuevas respuestas.