Gandcrab ?

gandcrab

#1

Buenas tardes… ANTECEDENTE: Hace una semana, se me instaló en mi escritorio un icono llamado STRONG, junto con una nota que en letras rojas hablaba que mis archivos serian encriptados etc, etc… No era muy legible toda la nota que abarcaba el fondo de pantalla de mi escritorio, pero si estoy seguro que decía GANDCRAB. Junto al icono STRONG, se crearon un montón de carpetas, creo que 5 que decia KRAB_1 al KRAB_5. Bien… junto con ese icono me hizo desaparecer, el acceso a chrome, me quitá el MalwareBites y anula el Glary utilities (hoy lo desinstalé). Lo eliminé la semana pasada, mediante la utilizacion del ESET online. Si bien todo parece correcto, todos los días me hace desaparecer el chrome, y el malwarebytes, y se instala en mi escritorio un icono que dice KORES H . Me pueden ayudar para erradicarlo de forma definitiva, desde ya muchas gracias _=


#2

Hola y bienvenido al nuevo Forospyware

Realizas en orden y me pegas los logs:

Realiza un análisis personalizado, como se indica en:

  • Desactiva Temporalmente tu antivirus y cualquier programa de seguridad.

  • Descarga a Tu Escritorio >> Esto es muy importante<<.,Fabar Recovery Scan Tool, considerando la versión adecuada para tu equipo. (32 o 64 bits) :arrow_forward: ¿Cómo saber si mi Windows es de 32 o 64 bits?

  • Doble clic para ejecutar Frst.exe. En la ventana del Disclaimer, presiona Yes.

  • En la nueva ventana que se abre, presiona el botón Scan y espera a que concluya el análisis.

  • Se abrirán dos (2) archivos (Logs), Frst.txt y Addition.txt, que estarán grabados en Tu escritorio.

En Tu próxima respuesta, copias y pegas los dos reportes Frst.txt y Addition.txt de FRST

Nota: Si el/los reportes solicitados no entraran en una sola respuesta porque superan la cantidad de caracteres permitidos, puedes utilizar dos o mas respuestas para pegarlos completamente.

Me pegas logs de Mbar, Dr Web y Fabar


#3

Hola @Bravo737,

Si, por lo que comentas, seguramente te infectaste con el ransomware GandCrab 5.x, el cual en algunas versiones utiliza una redundancia para volver a seguir cifrando los archivos.

Aparte de seguir los pasos entregados por @Miguelgrado, lo mas importante es que nos subas los reportes de Farbar a ver si aparece donde quedo algo escondido.

También pasando Malwarebytes en modo seguro, te tiene que poder eliminar todo, pero es importante que no estés conectado en red o con otros discos conectados o compartiendo carpetas, para que están no resulten infectadas también.

Salu2


#5

Addition.txt (21,4 KB)

FRST.txt (34,3 KB)

Exactamente Marcelo, ese cartel en letras rojas, en el fondo de pantalla, los otros carteles, ciertamente no lo recuerdo haber visto… Ya les envié los archivos FABAR … (no sé muy bien como subierlos, le dí a la opción subir, y agregé la etiqueta CODE… Muchas gracias…


#7

Revisamos y ya te respondemos.

Ademas realiza Dr Web y pega el log.

Lo de las etiquetas, es , copia y pega directamente en el foro, en tu respuestas y antes de darle a responder, colocas las etiquetas en cada respuesta.

Si los subes, no hace falta ponerlas.

El log de Dr Web pegalo directamente en tu respuesta


#9

Estoy haciendo el escanéo desde modo seguro, ya que desde el encendido normal de mi PC, se mueve el ratón, clickeo sobre el icono de algún programa y no hace ninguna función, no se ejecuta nada. En modo seguro, que si puedo realizar el escanéo… al tiempo se me apaga la PC :(…lo sigo intentando … les informo…muchas gracias

Buenos días, pude realizar escanéo con el Dr.Web… detectó 27 amenazas… al finalizar, le dí a “neutralizar”… ahora os paso el informe. Trato de enviarlo, pero dice que es muy grande el archivo …:thinking:… Son 21,7 megas…


#10

Fijate en las indicaciones del manual para ver que parte hay que pegar


#11

Total 45117516504 bytes in 70754 files scanned (103574 objects) Total 70731 files (102980 objects) are clean Total 27 files are infected Total 19 files (567 objects) are raised error condition Scan time is 01:13:46.562

Una vez que le dí a neutralizar, luego de terminar el escanéo dijo que tenía 0 amenazas.

Ahora me enfrento a que sólo mi PC funciona en MODO SEGURO, en un encendido normal, NO puedo trabajar…cualquier icono de mi escritorio que quiera entrar, la máquina no hace nada, si apunto el ratón a la barra de herramientas, está el relojito, como funcionando y así se queda :frowning:- En modo Seguro, al tiempo, se apaga mi PC…ésto no lo hacia…que puede ser? Muchas Gracias


#12

En revisando los logs de Fabar te comento


#13

Hice un análisis con el spybot y detecto ésto.–


Corregí los errores…y aún sigo sin poder operar en modo normal, y sólo puedo trabajar en Modo Seguro…


#15

Por favor, no hagas ningún paso adicional hasta que revisemos todo

Los Code etiquetas no se pone a archivos que subas, sol oa logs que pegues directamente en las respuestas

Aunque tengo que revisar mas a fondo, realizas:

Bien… y ahora sigue estos pasos, MUY Importante ~ Realiza una copia de seguridad del registro :

  • Para hacerlo descarga Delfix en tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona "Ejecutar como Administrador.")

  • Atención, ahora marca/selecciona únicamente la casilla "Create registry backup", las demás NO

  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.


En el equipo con los demas programas cerrados:

Inicio >>> Ejecutar >>>Escribes notepad.exe.

Ahora copia y pega estos archivos dentro del Notepad:


Start
CreateRestorePoint:
CloseProcesses:

Winlogon\Notify\cscdll: cscdll.dll [X]
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local\ipsecPolicy{c46a5d3b-091f-434a-81a4-35e8d6d1edad} <==== ATTENTION (Restriction - IP)
URLSearchHook: HKLM -> Default = {CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}
SearchScopes: HKU\S-1-5-19 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
SearchScopes: HKU\S-1-5-20 -> DefaultScope {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL = 
S3 catchme; \??\C:\WINDOWS\TEMP\catchme.sys [X]
NETSVC: mshdp -> no filepath.
2018-10-09 08:45 - 2015-11-05 08:25 - 000000000 ____D C:\Archivos de programa\7k7kWeb
ContextMenuHandlers1: [AGpShellExt] -> {5CD76C57-6893-478A-B776-47E7C82504BE} =>  -> No File
ContextMenuHandlers1: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} =>  -> No File
ContextMenuHandlers3: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} =>  -> No File
ContextMenuHandlers6: [Glary Utilities] -> {B3C418F8-922B-4faf-915E-59BC14448CF7} =>  -> No File
ContextMenuHandlers6: [MBAMShlExt] -> {57CE581A-0CB6-4266-9CA0-19364C90A0B3} =>  -> No File

HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
END

Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.<<

Nota: Es importante que la Hta Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no no trabajara.

  • Y ahora usa esta Faq de Windows ¿Cómo iniciar Windows en Modo Seguro?, para trabajar desde ese modo de windows.

  • Ejecutas Frst.exe.

  • Presionas el botón Fix y aguardas a que termine.

  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).

Lo pegas en tu próxima respuesta, comentado como va el problema


#17

Fantástico… realice al pie de la letra tus instrucciones, ya puedo operar en MODO NORMAL. Gracias. Adjunto archivo fixlog.txt

Fixlog.txt (6,1 KB)

También ejecuté el Delfix, y guardé el archivo de informe.


#18

Bien, ahora como indico @Marcelo, vas a realizar un análisis en modo seguro.

Realiza el análisis Personalizado y marcas todas las casillas y me subes el log y comentas como sigue el pc


#19

DelFix.txt (5,5 KB)


#20

Nadie indico Delfix marcando opcion de remover herramientas


#22

No entiendo evidentemente éste punto… de ahí mi confusión con el Delfix… podrías indicarme mejor ésto? Gracias.


#23

No entiendo bien…solo debes hacer, en Modo Seguro, según el manual que te puse de Malwarebytes, el denominado análisis personalizado y subir el log

En ese manual no pone nada de Delfix ni nada…solo debes hacer lo indicado


#24

A ver Miguel… arranco mi PC en modo SEGURO con función de RED, vale? Luego, al final del post vosotros me indicáis que tengo que ejecutar el SAFE MODE REPAIR, vale? elijo mi versión de Windows (XP en mi caso) y lo ejecuto…hasta ahí todo perfecto… vale? Me puedes decir donde están todas las casillas que debo marcar??? no veo nada de lo que tu cuentas o estoy en otra película.


#25

Veamos …

El usar safe mode repair…es Solo si tienes problemas para entrar en ese modo…se indica claramente…por lo que si no…eso nada…

Luego en analisis personalizado…al seleccionar esa opcion de Malwarebytes veras una pantalla dónde debes marcar todo antes de iniciar el análisis

Tienes el manual donde se ve…analisis personalizado


#26

Ahora sí Miguel, gracias, pero cuando quiero ejecutar el Malwarebytes me tira el siguiente error… "Runtime Error (at 414:120) Could not call proc. "

El equipo me está funcionando perfectamente ahora…