Heur/agent.1137597

Eliminar Malwares
1

Hola a todos, se me ha instalado un Malware que el Avira ha detectado y ha enviado ya a cuarentena tres veces:

HEUR_AGENT.1137597

Suena a infección…

He pasado el Adwcleaner y el mbar ¿Qué puedo hacer? ¿Alguien sabe de este virus?

En la web de Avira aparece como: https://www.avira.com/es/support-threats-summary/7952?track=1

Muchas gracias y un saludo.

P.D. Acabo de actualizar la versión del Avira Free Security a la última (1.0.35.11288) y ahora, con la nueva versión, no se ven reflejadas en la cuarentena las tres detecciones. ¿Serán falsos positivos? Esperemos a ver si vuelve a detectarlo…

2

Hola.

Pega el reporte de AdwCleaner y MalwareBytes para revisarlos. En sus manuales respectivos encontraras como buscar y copiarlo.

:warning: Muy Importante: envuelve cada uno de los informes con una etiqueta escrita CODE_Inicial al inicio del informe y otra como este CODE_Final al final del mismo, aquí tienes un ejemplo de como hacerlo :

915×410 682 KB

imagen

Saludos.

3

¡Qué rápido! Gracias.

Pego el informe del AdwCleaner.

Voy a esperar a ver si el Avira me avisa de otra detección para instalar el Malwarebytes, por si la causa de la detección fuese que tenía una versión obsoleta del Avira instalado. Recuerdo que no pude instalarla hace tres meses y por eso busqué una versión anterior que funcionase y la actualicé. La nueva va MUCHO mejor.

# -------------------------------
# Malwarebytes AdwCleaner 8.0.7.0
# -------------------------------
# Build:    07-22-2020
# Database: 2020-07-20.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    09-05-2020
# Duration: 00:00:38
# OS:       Windows 7 Ultimate
# Scanned:  31837
# Detected: 0


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

No Preinstalled Software found.


AdwCleaner[S00].txt - [2165 octets] - [17/06/2020 08:00:06]
AdwCleaner[C00].txt - [2245 octets] - [17/06/2020 08:00:49]
AdwCleaner[S01].txt - [1531 octets] - [19/06/2020 18:03:26]
AdwCleaner[S02].txt - [1592 octets] - [21/06/2020 18:43:36]
AdwCleaner[S03].txt - [1653 octets] - [24/06/2020 10:55:42]
AdwCleaner[S04].txt - [1714 octets] - [24/06/2020 20:16:23]
AdwCleaner[S05].txt - [1775 octets] - [25/06/2020 02:44:18]
AdwCleaner[S06].txt - [1836 octets] - [26/06/2020 15:17:56]
AdwCleaner[S07].txt - [1897 octets] - [27/06/2020 14:11:02]
AdwCleaner[S08].txt - [1958 octets] - [28/06/2020 20:18:29]
AdwCleaner[S09].txt - [2019 octets] - [29/06/2020 19:50:18]
AdwCleaner[S10].txt - [2080 octets] - [01/07/2020 05:34:56]
AdwCleaner[S11].txt - [2141 octets] - [13/07/2020 17:19:52]
AdwCleaner[S12].txt - [2202 octets] - [13/07/2020 22:56:45]
AdwCleaner[S13].txt - [2263 octets] - [14/07/2020 16:20:05]
AdwCleaner[S14].txt - [2324 octets] - [03/08/2020 08:23:37]
AdwCleaner[S15].txt - [2385 octets] - [04/08/2020 14:59:18]
AdwCleaner[S16].txt - [2446 octets] - [08/08/2020 22:24:01]
AdwCleaner[S17].txt - [2507 octets] - [15/08/2020 22:10:41]
AdwCleaner[S18].txt - [2568 octets] - [16/08/2020 11:45:04]
AdwCleaner[S19].txt - [2629 octets] - [22/08/2020 04:14:39]
AdwCleaner[S20].txt - [2690 octets] - [28/08/2020 21:09:43]
AdwCleaner[S21].txt - [2751 octets] - [03/09/2020 13:16:30]
AdwCleaner[S22].txt - [2812 octets] - [03/09/2020 19:48:50]
AdwCleaner[S23].txt - [2873 octets] - [04/09/2020 19:00:22]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S24].txt ##########
4

Aqui te espero asi te mando indicaciones

5

Muchas gracias, le aviso si encuentra y pego el informe de lo analizado con el MwBytes.

Saludos

1 me gusta
6

Hola de nuevo, le pasé el MB pero antes me di cuenta de que la causa del positivo era un archivo de instalación infectado y lo borré. Asunto cerrado.

Pego el informe antes de eliminar los posibles virus y después:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 7/9/20
Hora del análisis: 12:26
Archivo de registro: a0f6091a-f0f4-11ea-b5c9-bc5ff46df346.json

-Información del software-
Versión: 4.2.0.82
Versión de los componentes: 1.0.1036
Versión del paquete de actualización: 1.0.29563
Licencia: Prueba

-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x64
Sistema de archivos: NTFS
Usuario: Usuario-PC\Usuario

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 289195
Amenazas detectadas: 4
Amenazas en cuarentena: 0
Tiempo transcurrido: 5 min, 42 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 2
PUM.Optional.DisableMRT, HKLM\SOFTWARE\WOW6432NODE\POLICIES\MICROSOFT\MRT|DONTREPORTINFECTIONINFORMATION, Sin acciones por parte del usuario, 6899, 676881, 1.0.29563, , ame, , , 
PUM.Optional.DisableMRT, HKLM\SOFTWARE\POLICIES\MICROSOFT\MRT|DONTREPORTINFECTIONINFORMATION, Sin acciones por parte del usuario, 6899, 676881, 1.0.29563, , ame, , , 

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 2
PUP.Optional.BundleInstaller, C:\USERS\USUARIO\APPDATA\ROAMING\UTORRENT\UPDATES\3.3.1_30017.EXE, Sin acciones por parte del usuario, 515, 816339, 1.0.29563, , ame, , 06C2194152BA6CBA13E98F57CD4D5A76, 85049673986934F5F08EA965B2F7C949F47B68952A43155FE4C5945D7C314682
Malware.AI.2777825430, C:\USERS\USUARIO\DESKTOP\PENDRIVE VERDE\EASEUS.TODO.BACKUP.WORKSTATION.SERVER.ADVANCED.SERVER.V10.0.0.1.MULTILINGUAL.INCL.KEYGEN-KINDLY\EASEUS.TODO.BACKUP.10.X.KEYGEN-KINDLY.ZIP, Sin acciones por parte del usuario, 1000000, 0, 1.0.29563, 59AA65B60FEA10E5A5924096, dds, 00886028, 42345524CC0FBECEA645786E2B0B4C7B, 201C601F6AA16E1FA25FB8D69A3D80173C1F67C44A8F22247599DB9D63E7BBCE

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Después del MB:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 7/9/20
Hora del análisis: 12:26
Archivo de registro: a0f6091a-f0f4-11ea-b5c9-bc5ff46df346.json

-Información del software-
Versión: 4.2.0.82
Versión de los componentes: 1.0.1036
Versión del paquete de actualización: 1.0.29563
Licencia: Prueba

-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x64
Sistema de archivos: NTFS
Usuario: Usuario-PC\Usuario

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 289195
Amenazas detectadas: 4
Amenazas en cuarentena: 4
Tiempo transcurrido: 5 min, 42 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 2
PUM.Optional.DisableMRT, HKLM\SOFTWARE\WOW6432NODE\POLICIES\MICROSOFT\MRT|DONTREPORTINFECTIONINFORMATION, En cuarentena, 6899, 676881, 1.0.29563, , ame, , , 
PUM.Optional.DisableMRT, HKLM\SOFTWARE\POLICIES\MICROSOFT\MRT|DONTREPORTINFECTIONINFORMATION, En cuarentena, 6899, 676881, 1.0.29563, , ame, , , 

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 2
PUP.Optional.BundleInstaller, C:\USERS\USUARIO\APPDATA\ROAMING\UTORRENT\UPDATES\3.3.1_30017.EXE, En cuarentena, 515, 816339, 1.0.29563, , ame, , 06C2194152BA6CBA13E98F57CD4D5A76, 85049673986934F5F08EA965B2F7C949F47B68952A43155FE4C5945D7C314682
Malware.AI.2777825430, C:\USERS\USUARIO\DESKTOP\PENDRIVE VERDE\EASEUS.TODO.BACKUP.WORKSTATION.SERVER.ADVANCED.SERVER.V10.0.0.1.MULTILINGUAL.INCL.KEYGEN-KINDLY\EASEUS.TODO.BACKUP.10.X.KEYGEN-KINDLY.ZIP, En cuarentena, 1000000, 0, 1.0.29563, 59AA65B60FEA10E5A5924096, dds, 00886028, 42345524CC0FBECEA645786E2B0B4C7B, 201C601F6AA16E1FA25FB8D69A3D80173C1F67C44A8F22247599DB9D63E7BBCE

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

No estoy seguro si modifiqué yo mismo el registro para que no alertara el antivirus de windows que mantengo desactivado porque uso Avira. De todas formas la clave de registro volvió a estado neutro de aviso si encuentra algo. No sé si debe estar así.

Pasé de nuevo el MB y no detectó nada.

Muchas gracias.

Saludos.

P.D. Dejaré instalado el MB hasta que venza y después reinstalaré el MB Anti-Exploit.