Infeccion por Win32/Vigorf.A


#1

Hola,

Windows Defender me detecta este virus pero no es capaz de eliminarlo. El ordenador va muy lento. Estoy pasando tambien el Malwarebytes y me va encontrando Malware Adware.Agent…¿como debo hacer? Gracias …es lo masnurgente que podais por favor


#2

Hola y [email protected] al nuevo Forospyware

Realiza los siguientes pasos, , sin cambiar el orden

1) Descarga, actualiza y ejecuta Malwarebytes’ Anti-Malware,

Manual Malwarebytes , para que sepas usarlo y configurarlo.

  • Realiza un Análisis Personalizado, haciendo click en la sección “Analizar” y seguidamente haciendo click “Analisis personalizado” en y luego click en “Configurar análisis”, marcando Todas las casillas de la derecha y de la Izquierda actualizando si te lo pide.
  • Pulsar en “Eliminar Seleccionados” para enviarlo a la cuarentena y Reinicias el sistema.
  • Para acceder posteriormente al informe del análisis : Informes >> Registro de análisis >> Pulsar en >> Exportar >> Copiar al Portapapeles, y lo pegas en tu respuesta

2) Descarga Adwcleaner en el escritorio.

  • Desactiva tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad.
  • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
  • Pulsar en el botón Analizar Ahora, y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Iniciar Reparacion.
  • Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas.
  • Si no encuentra nada, pulsamos “Omitir Reparación”
  • El log lo encontramos en la pestaña “Informes”, volviendo a abrir el programa, si es necesario o en"C:\AdwCleaner\Logs\AdwCleaner[C0].txt"

Puedes mirar su manual >> Manual de Adwcleaner

3) Descarga Ccleaner

Instalalo y ejecútalo. En la pestaña limpiador dejas como esta configurada predeterminadamente, haces clic en analizar esperas que termine > clic en ejecutar limpiador. Clic en la pestaña Registro > clic en buscar problemas esperas que termine > clic en Reparar Seleccionadas y haces una copia de seguridad.

Pega los reportes de Malwarebytes, AdwCleaner y comentas como va el problema.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo :

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA(programas/software/complementos/extensiones del navegador…)
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…)
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Envuelve cada uno de los informes con una etiqueta escrita CODE_Inicial al inicio del informe y otra como este CODE_Final al final del mismo.

Saludos


#3

Hola,

Te paso los reportes.

Tengo que decirte que cuando pase el AdAware no desative el Windows Defender…se me paso!..lo siento. Si tengo que hacerlo de nuevo me dices por favor.

Estos son los reportes y puedo decirte que ahora el antivirus Windows Defender no indica ninguna amenaza.

# -------------------------------
# Malwarebytes AdwCleaner 7.2.4.0
# -------------------------------
# Build:    09-25-2018
# Database: 2018-09-21.1 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    11-05-2018
# Duration: 00:01:47
# OS:       Windows 10 Pro
# Scanned:  42056
# Detected: 8


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

PUP.Optional.Legacy             C:\Program Files\WinZip\WinZip Smart Monitor

***** [ Files ] *****

PUP.Optional.Legacy             C:\END

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

Adware.OnlineIO                 HKLM\Software\Wow6432Node\Microleaves
PUP.Optional.Microleaves        HKU\S-1-5-18\Software\Caphyon\Advanced Updater\{F039D4A9-14D3-4425-A4FA-F2F9D5B0E014}
PUP.Optional.Microleaves        HKU\.DEFAULT\Software\Caphyon\Advanced Updater\{F039D4A9-14D3-4425-A4FA-F2F9D5B0E014}
PUP.Optional.Microleaves        HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\436F6625D7B77354DBCD89DDC6CFAB1A
PUP.Optional.Microleaves        HKLM\Software\Classes\Installer\Products\436F6625D7B77354DBCD89DDC6CFAB1A
PUP.Optional.Microleaves        HKLM\Software\Classes\Installer\Features\436F6625D7B77354DBCD89DDC6CFAB1A

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.


AdwCleaner[S00].txt - [1298 octets] - [15/10/2018 00:00:52]
AdwCleaner[C00].txt - [1464 octets] - [15/10/2018 00:01:14]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S01].txt ##########

 # -------------------------------
# Malwarebytes AdwCleaner 7.2.4.0
# -------------------------------
# Build:    09-25-2018
# Database: 2018-09-21.1 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    11-05-2018
# Duration: 00:00:07
# OS:       Windows 10 Pro
# Cleaned:  7
# Failed:   1


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Not Deleted   C:\Program Files\WinZip\WinZip Smart Monitor

***** [ Files ] *****

Deleted       C:\END

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKLM\Software\Wow6432Node\Microleaves
Deleted       HKU\S-1-5-18\Software\Caphyon\Advanced Updater\{F039D4A9-14D3-4425-A4FA-F2F9D5B0E014}
Deleted       HKU\.DEFAULT\Software\Caphyon\Advanced Updater\{F039D4A9-14D3-4425-A4FA-F2F9D5B0E014}
Deleted       HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\436F6625D7B77354DBCD89DDC6CFAB1A
Deleted       HKLM\Software\Classes\Installer\Products\436F6625D7B77354DBCD89DDC6CFAB1A
Deleted       HKLM\Software\Classes\Installer\Features\436F6625D7B77354DBCD89DDC6CFAB1A

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1298 octets] - [15/10/2018 00:00:52]
AdwCleaner[C00].txt - [1464 octets] - [15/10/2018 00:01:14]
AdwCleaner[S01].txt - [2068 octets] - [05/11/2018 10:05:24]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C01].txt ##########

Un saludo


#4

Falta el reporte de Malwarebytes, lee bien las indicaciones y sigue con el.


#5

Tienes razon…disculpa

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 5/11/18
Hora del análisis: 9:36
Archivo de registro: d5a944a0-e0d5-11e8-92f6-b86b23b5b4c7.json

-Información del software-
Versión: 3.6.1.2711
Versión de los componentes: 1.0.482
Versión del paquete de actualización: 1.0.7695
Licencia: Gratis

-Información del sistema-
SO: Windows 10 (Build 17763.55)
CPU: x64
Sistema de archivos: NTFS
Usuario: LUISCALVO\Luis Calvo

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 386137
Amenazas detectadas: 6
Amenazas en cuarentena: 6
Tiempo transcurrido: 19 min, 37 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 3
Adware.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\OPERA SCHEDULED AUTOUPDATE 3055412667, En cuarentena, [103], [537380],1.0.7695
Adware.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{3063CF6C-4DBC-4DF3-B3F2-8935DFFE3DD0}, En cuarentena, [103], [537380],1.0.7695
Adware.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{3063CF6C-4DBC-4DF3-B3F2-8935DFFE3DD0}, En cuarentena, [103], [537380],1.0.7695

Valor del registro: 1
Adware.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{3063CF6C-4DBC-4DF3-B3F2-8935DFFE3DD0}|PATH, En cuarentena, [103], [537382],1.0.7695

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 2
Adware.Agent, C:\WINDOWS\SYSTEM32\TASKS\OPERA SCHEDULED AUTOUPDATE 3055412667, En cuarentena, [103], [537380],1.0.7695
Backdoor.Tofsee, C:\USERS\LUIS CALVO\APPDATA\LOCAL\TEMP\7A0A.TMP.EXE, En cuarentena, [3989], [593393],1.0.7695

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

#6

Realizaste un Análisis de Amenazas, se te pidio un Analisis Personalizado.

Clickea en la sección Analizar >> click en Análisis Personalizado y seguidamente click en el boton Configurar análisis >> Marcas todas las casillas incluida Análisis en busca de rootkits y marcas todas las unidades que te detecta el Malwarebytes >> Click en Analizar ahora. Una vez terminado, y te muestre todo lo detectado, envialo a Cuarentena, con esto, lo detectado no crearan mas problemas.

Pegame su reporte, buscandolo en la seccion Informes fijándote en la Fecha y Hora.

Espero su reportes, y respectivos comentarios del funcionamiento del PC tras finalizar. Saludos.


#7

Disculpa, pero todavía ha acabado ahora de examinar el pc.

Aquí esta el reporte


Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 5/11/18
Hora del análisis: 11:50
Archivo de registro: 9af9495a-e0e8-11e8-abd2-b86b23b5b4c7.json

-Información del software-
Versión: 3.6.1.2711
Versión de los componentes: 1.0.482
Versión del paquete de actualización: 1.0.7697
Licencia: Gratis

-Información del sistema-
SO: Windows 10 (Build 17763.55)
CPU: x64
Sistema de archivos: NTFS
Usuario: LUISCALVO\Luis Calvo

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 443505
Amenazas detectadas: 8
Amenazas en cuarentena: 8
Tiempo transcurrido: 10 hr, 58 min, 6 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 3
Adware.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{9B2B7962-C85D-4848-B8A6-FEC23429233C}, Se eliminará al reiniciar, [103], [537383],1.0.7697
Adware.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{9B2B7962-C85D-4848-B8A6-FEC23429233C}, Se eliminará al reiniciar, [103], [537383],1.0.7697
Adware.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Opera scheduled Autoupdate 3055412667, En cuarentena, [103], [537383],1.0.7697

Valor del registro: 1
Adware.Agent, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{9B2B7962-C85D-4848-B8A6-FEC23429233C}|PATH, En cuarentena, [103], [537382],1.0.7697

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 4
Adware.Agent, C:\WINDOWS\SYSTEM32\TASKS\OPERA SCHEDULED AUTOUPDATE 3055412667, En cuarentena, [103], [537383],1.0.7697
Trojan.MalPack.GS, C:\USERS\LUIS CALVO\APPDATA\ROAMING\MICROSOFT\WINDOWS\JSDGCDEF\SRGJFECS.EXE, En cuarentena, [9570], [593628],1.0.7697
Trojan.MalPack.GS, C:\USERS\LUIS CALVO\APPDATA\LOCAL\TEMP\A730.TMP.EXE, En cuarentena, [9570], [593628],1.0.7697
Trojan.Agent.Generic, C:\USERS\LUIS CALVO\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP-\JSDGCDEF.LNK, En cuarentena, [3697], [536200],1.0.7697

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

#8

Hola nuevamente,

Como sigue la computadora, sigue detectando Windows Defender el malware?

Saludos.


#9

Hola,

He dejado pasando el Windows Defender en un análisis completo y aun no ha acabado, pero cuando acabo el análisis de Malwarebytes todavía detectaba 2 Vigorf.A


#10

Hola,

Descarga los siguientes programas y dejalos en el escritorio:

:one:

  • Ejecuta como admnistrador Rkill
  • Se abrira una consola similar a CMD
  • Deja que trabaje de 2 a 5 minutos
  • Pega el reporte que esta dentro de Rkill.txt guardado en el escritorio. :warning: No reinicies el PC al terminar, y sigue con MBAM anti-rootkit :warning:

:two:

Espero sus reportes y respetivos comentarios si aun sigue detectando. Saludos.


#11

Aquí estoy de nuevo, He pasado el Rkill y el MalwareBytes Anti-Rootkit. El primero no encontro nada pero el segundo si. Ahí van los informes.


Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2018 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 11/06/2018 08:16:31 PM in x64 mode.
Windows Version: Windows 10 Pro 

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * No malware processes found to kill.

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * No issues found.

Searching for Missing Digital Signatures: 

 * No issues found.

Checking HOSTS File: 

 * HOSTS file entries found: 

  127.0.0.1 209.34.83.73:443
  127.0.0.1 209.34.83.73:43
  127.0.0.1 209.34.83.73
  127.0.0.1 209.34.83.67:443
  127.0.0.1 209.34.83.67:43
  127.0.0.1 209.34.83.67
  127.0.0.1 ood.opsource.net
  127.0.0.1 199.7.52.190:80
  127.0.0.1 199.7.52.190
  127.0.0.1 OCSP.SPO1.VERISIGN.COM
  127.0.0.1 199.7.54.72:80
  127.0.0.1 199.7.54.72
  127.0.0.1 192.150.14.69
  127.0.0.1 192.150.18.101
  127.0.0.1 192.150.18.108
  127.0.0.1 192.150.22.40
  127.0.0.1 192.150.8.100
  127.0.0.1 192.150.8.118
  127.0.0.1 209-34-83-73.ood.opsource.net
  127.0.0.1 3dns-1.adobe.com

  20 out of 86 HOSTS entries shown.
  Please review HOSTS file for further entries.

Program finished at: 11/06/2018 08:17:55 PM
Execution time: 0 hours(s), 1 minute(s), and 24 seconds(s)

Malwarebytes Anti-Rootkit BETA 1.10.3.1001
www.malwarebytes.org

Database version:
  main:    v2018.11.06.06
  rootkit: v2018.11.06.06

Windows 10 x64 NTFS (Safe Mode/Networking)
Internet Explorer 11.55.17763.0
Luis Calvo :: LUISCALVO [administrator]

06/11/2018 20:23:54
mbar-log-2018-11-06 (20-23-54).txt

Scan type: Quick scan
Scan options enabled: Anti-Rootkit | Drivers | MBR | Physical Sectors | Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken
Scan options disabled: 
Objects scanned: 288842
Time elapsed: 41 minute(s), 14 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 1
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{14599DA1-8703-463C-955F-70358886729E} (Adware.Agent) -> Delete on reboot. [bad4df626059a98dab5221a22ad610f0]

Registry Values Detected: 1
HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{14599DA1-8703-463C-955F-70358886729E}|Path (Adware.Agent) -> Data: \Opera scheduled Autoupdate 3055412667 -> Delete on reboot. [bad4df626059a98dab5221a22ad610f0]

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

Physical Sectors Detected: 0
(No malicious items detected)

(end) 

Voy a pasar el Windows Defender de nuevo a ver si detecta algo y te cuento.

Muchas gracias por toda la ayuda que estas prestandome y disculpa por mi torpeza a la hora de llevarla a la práctica.

Un saludo :wink:


#12

He pasado el WD Analisis Rapido y no ha detectado nada…voy a hacer uno completo y te digo


#13

Primero, reinicia la PC 1-2 veces, y después realiza un análisis completo con Windows Defender. Necesitas reiniciar para eliminar lo encontrado.

Espero tu respuesta comentando como sigue el pc.


#14

Ok probare como dices


#15

Hola,

Examen completo de WD y no ha encontrado nada.

Alguna cosa mas que deba de hacer para finalizar?

Gracias


#16

Pues, ya el virus fue eliminado, dime si deseas dar como solucionado el tema, o si tienes alguna duda.

Saludos.


#17

No nada, muchas gracias por todo


#21

Perfecto, :+1: y ahora Para terminar:

  • Descarga :arrow_forward: DelFix.exe en tu escritorio.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona "Ejecutar como Administrador.")

  • Marca todas las casillas.

  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), copia y pega ese informe en tu próxima respuesta.

Y nos comentas como sigue el problema inicialmente planteado. :face_with_monocle:

Saludos.


#22
# DelFix v1.013 - Logfile created 07/11/2018 at 14:07:38
# Updated 17/04/2016 by Xplode
# Username : Luis Calvo - LUISCALVO
# Operating System : Windows 10 Enterprise  (64 bits)

~ Activating UAC ... OK

~ Removing disinfection tools ...

Deleted : C:\AdwCleaner

~ Creating registry backup ... OK

~ Cleaning system restore ...

Deleted : RP #28 [Instalador de Módulos de Windows | 10/29/2018 21:44:26]
Deleted : RP #29 [Instalador de Módulos de Windows | 10/30/2018 21:48:21]
Deleted : RP #30 [Instalador de Módulos de Windows | 10/31/2018 23:40:28]
Deleted : RP #31 [Instalador de Módulos de Windows | 11/02/2018 01:05:10]
Deleted : RP #32 [Instalador de Módulos de Windows | 11/04/2018 19:06:02]
Deleted : RP #33 [Instalador de Módulos de Windows | 11/05/2018 21:10:59]
Deleted : RP #34 [Instalador de Módulos de Windows | 11/06/2018 22:46:21]

New restore point created !

~ Resetting system settings ... OK

########## - EOF - ##########

De momento todo bien. Supongo que debe estar todo normal. Muchísimas gracias por vuestra ayuda.


#23

Perfecto @siulius :+1: excelente, nos alegra ver que ya está el problema inicial completamente arreglado. :clap:


Para cualquier otro problema, no dudes en volver a postear., ya sabes dónde estamos. :+1:

Tema Solucionado.

Saludos, Javier.