Hola buenas antiguos compañeros, os pido ayuda en el siguiente tema.
Ha llegado a mis manos un ordenador con Windows XP que debo desinfectar si o si. En breves el propietario migrará de sistema operativo a uno actual, pero de momento este debe seguir funcionando. También la información que contiene se deberá migrar al nuevo sistema operativo, pero de momento quiero asegurarme que no queda ningún malware en el sistema antes de migrar la información.
Ya he realizado algunos pasos de desinfección como: Malwarebytes, AdwareCleaner, y Junkware Removal Tool. Las dos primeras han eliminado malwares, pero creo que sigue teniendo. Básicamente por los siguientes motivos:
Lentitud extrema debida al malware que hay (en este sentido ha mejorado un poco pero sigue bastante lento).
Direcciones url ofuscadas al pasar el Farbar como:
Para eliminarlos he realizado la ejecución de las herramientas citadas anteriormente, para ello he seguido las instrucciones de @Miguelgrado: Archivo pdf infectado o las instrucciones que @Javier da en: Los programas se cierran solos o cualquier tema/caso de eliminación de malwares que tenga la intervención de herramientas como OTL o Farbar o CF. En definitiva, que en las partes en las que tengo que utilizar herramientas como OTL o Farbar o CF se usarlos pero no recuerdo exactamente el uso después de tantísimo tiempo.
En definitiva, he pensado las siguientes estrategias para llevar a cabo dicha desinfección:
Aislar el ordenador de la red. Realizar los pasos que dan Javier o Miguel, incluido el FRST. Actualizar el software hasta donde se permita, poner malwarebytes en modo prueba 30 días junto con un antivirus + firewall y volverlo a conectar en la red.
Aislar el ordenador de la red. Lanzar alguno de estos kits de desinfección que no dependen del sistema operativo: ESET SysRescue Live, Kaspersky Rescue Disk 18, Dr.Web LiveDisk. Una vez ya desinfectado, actualizar el software hasta donde se permita, poner malwarebytes en modo prueba 30 días junto con un antivirus + firewall y volverlo a conectar en la red.
Pues bien, como vosotros estáis actualizados y yo en usar OTL, CF o FRST ya no. Os agradecería mucho que me ayudéis en dicha tarea de desinfección. Así que me pongo en vuestras manos.
En Tu próxima respuesta, debes pegar los dos reportes generados.
Debes copiarlos y pegarlos con todo su contenido y usaras varios mensajes si recibes un mensaje de error indicando que es muy largo(mas de 50.000 caracteres aprox.).
Hola buenas, que rápido que has ido. Se nota que estas curtido en mas de mil batallas. Bien, lo he realizado con el equipo desconectado de la red y también tengo los programas de seguridad inactivos (PC actualmente desconectado de la red).
Una vez ha realizado la eliminación del contenido de fixlist.txt, he aceptado en que se reiniciase el ordenador.
Aquí traigo el reporte solicitado:
Fixlog.txt
Muchísimas gracias por tu ayuda. Se nota que la máquina va mas fluida o rápida. De todas formas no se si en algún momento más adelante me recomendarías lanzar uno de estos: ESET SysRescue Live, Kaspersky Rescue Disk 18, Dr.Web LiveDisk?
No veo necesario usar un Live CD. Tene en cuenta que se trata de un equipo viejo, y estas herramientas pueden barrerte algunos archivos legítimos tomándolos como falsos positivos. Podrías llegar a desestabilizar completamente al sistema, que de por si, ya es inestable debido a que no tiene soporte de actualizaciones.
De haber indicios de infecciones, las hubiese visto en el reporte de FRST.
Vuelvo a activar los programas de seguridad inactivos? Después conecto a la red y finalmente realizo el procedimiento con delfix?
O bien descargo delfix en una usb, lo paso en el PC y después vuelvo a activar los programas de seguridad inactivos y finalmente conecto el PC a la red?
Como puedes ver las ha eliminado correctamente. El USBFix esta ahí de antes de abrir el tema del foro. Pues lo utilice hace unos días cuando elimine otros malwares.
Respecto el ordenador lo he reiniciado y ha tardado: 1 min y 52 segundos. Teniendo en cuenta la “carraca por no decir otra cosa…” que es pues creo que esta bastante bien. Va bastante por no decir mucho más fluido y rápido que antes.
Ahora lo tengo encendido y consume: unos 433 MB de RAM sobre 3 GB y entre un 1 % a 5 % de CPU.
Ahora como ya te he dicho antes al principio del tema:
Así que ahora yo le haría lo siguiente:
Actualizar el sistema operativo que es XP, al estar obsoleto y al no haber ya actualizaciones oficiales de Microsoft. ¿Me recomiendas que lo actualice desde: WSUS Offline Update o alguno por el estilo?
Actualizar los diferentes programas / software hasta donde se permita, puesto que es XP y ya esta más que obsoleto.
Poner malwarebytes en modo prueba 30 días junto con un antivirus (¿Cual me recomiendas? Yo pondría Avast o Kaspersky).
Volver a activar el firewall de Windows.
Finalmente, volverlo a conectar a la red.
¿Que te parecen dichas acciones? Las hago para que quede algo más defendido y que mientras deba seguir funcionando (por poco tiempo) este mínimamente protegido.
Finalmente, por curiosidad. ¿Que tipo de infecciones/malware eran? Eran: Trojans, Virus, Rootkits, Hijackers, etc.
Muchas gracias por tu ayuda compañero, eres un: maquina, crack, etc.
1.-Ok, eso ya lo se. Pero quiero decir que las actualizaciones que se crearon de Windows XP hasta el último día en el que estuvo operativo que fue el: 9 de abril de 2019. ¿No podría poner un WSUS o algo por el estilo que las tenga recopiladas y las instale hasta la fecha de 9 de abril de 2019 que es cuando se dejo de dar soporte?
2.-OK, de momento funciona bien. Así que de momento lo dejaré así, de todas formas dejame unas horas a que lo pruebe un poco más y te comento.
3.- OK, pues solo nuestro amigo Malwarebytes.
4.-OK.
5.-OK.
Vale okey. Es decir:
6.-¿Que realmente infecciones como tal no tenía, no? Yo en su momento al pasar las herramientas que te dije eliminaron Adwares variopintos (pocos) y lo mas preocupante o grave que lo elimino el Malwarebytes. El reporte es:
7.-¿Exactamente que eran dichas infecciones? Pues antes de desinfectarlo como tal vi que se conectaban una serie de IPs remotas. Se que el archivo legítimo de r_server.exe es Radmin que es un servidor de administrador remoto, pero en este caso creo que estaba comprometido como tal por el siguiente motivo:
Pues tengo entendido que el malwarebytes al decir: MachineLearning/Anomalous.100% es un nombre genérico de detección de Malwarebytes para los archivos marcados por el módulo de aprendizaje automático de Malwarebytes como 100% anómalos. También se que pueden haber porcentajes más bajos en los resultados del scan. Se que el porcentaje se utiliza para mostrar qué tan grande es la desviación del archivo examinado de los archivos legítimos o originales en el conjunto de entrenamiento. Donde un porcentaje del 100% significa que se ven completamente diferentes del conjunto de archivos legítimos de capacitación.
En otras palabras, no se lo que era exactamente pero seguro que estaba infectado o corrompido ya que la desviación era del 100 x 100. Y por lo que vi, dicho atacante debía conectarse remotamente a la máquina para monitorizarla o vete a saber que. ¿Que opinas tú al respecto?
También que no te lo he dicho pero le pase el mbar y el TDSKIller y salio todo limpio. Así que rootkits no creo que lo fueran.
En un rato realizo los cinco pasos comentados anteriormente, lo pruebo un poco más y te comento para ya ir finalizando.
ya te había dicho antes que no hace falta hacer nada mas. Si el sistema esta limpio y estable, y lo van a cambiar en poco tiempo, para que cambiar las cosas ?
No siempre hacer mas cosas, significa mejorar. Aveces empeora todo.
Hola de nuevo. Primero de todo, te pido disculpas si he realizado alguna pregunta o acción que te haya molestado. Disculpas.
Mas que nada para intentar darle algo más de seguridad o estabilidad, ya se que le queda poco tiempo en uso pero más que nada para intentar reforzarlo un poco antes de cambiarlo. Pero claro, si le realizo demasiadas cosas, pueden pasar dos cosas:
Que el sistema se vuelva inestable y se convierta en un caos, como tu bien dices. Y que se y soy consciente de que puede pasar.
O que vaya bien y consiga dicho grado más de estabilidad y seguridad.
Siendo un riesgo como tal ir a buscar ese grado extra de seguridad y estabilidad considero que no vale la pena arriesgarse. Por lo tanto, optaré por la opción conservadora y solo realizare lo de los 5 puntos que hablamos en los post número: 13, 14 y 15. Así que lo realizo y te comento como sigue para ya ir finalizando el tema.
Y las 6 y 7 eran más a nivel de curiosidad/conocimiento mío. Quiero decir, que lo he preguntado para saber más, aprender y por curiosidad.
En unas horas realizo lo que te he dicho y te comento para ir cerrando.
Hola buenas. Primero de todo disculpa la demora, pues realice lo que acordamos en dichos puntos y he estado probando el PC estos días para asegurarme de su correcta estabilidad y funcionamiento.
Pues te informo que funciona correctamente, no se puede comparar con antes. Así que podemos dar el tema por solucionado.