Limpieza Pc, posible Trojan (RAT) o algo parecido

Eliminar Malwares
1

Hola a todos, el pasado mes de Diciembre sufrí de phising, os comento, me descargue una nueva versión de CCleaner y era un .exe que por las prisas no lo revisé bien y cai en la trampa, el .exe no tenía ni el nombre de CCcleaner, el caso es que lo ejecuté, abrió un cmd rapido y se cerró y entonces dije… me han cazado… entonces navegando noté que de repente se cerraban las ventanas de chrome.

El caso es que me hicieron bastante daño robo de credenciales, accesos, etc, formatee pero lo hice de modo restaurar a origen no borrar todo y dejar el SSd limpio, no se si eso influye, el caso es que despues del formateo la cosa parece que paró pero no este último mes ha sido un caos, intentos de acceso a las redes sociales, robo de identidad, intentos de compras, etc entonces buscando y revisando, he visto que ejecutando en cmd netstat -ano aparecen muchos puertos TCP abiertos, que llevan a Dublin, China, EEUU y creo que han debido abrir puertos del pc y están trabajando con algún Trojan (RAT) pero no estoy seguro ya no me fio de que hayan llegado hasta el router y estén comprometidos todos los equipos y moviles de la casa, necesito si me podéis ayudar a comprobar que el ordenador no tiene puertos abiertos y que está limpio de trojanos o malware, cuando paso malwarebytes, eset, etc no me salen resultados, me dice que está todo limpio, pero creo que sigo infectado.

Tambien creo que han podido instalar algo en chrome que cuando inicio sesion o navego es cuando abre los puertos, pero ya no se si es poaranoia mia del estres.

He notado que de repente la maquina ha usado mucho intenter y yono he descargado nada destacable, el tipeo del teclado a veces tipea dos veces la misma letra cuando escribo y eso antes no pasaba, el sistema va un poco más lento de lo que lo recuerdo.

Espero que podáis ayudarme a comprobar que esté todo ok y dejar el pc protegido de futuros ataques.

Gracias por vuestro tiempo.

2

Este caso tiene varias señales de alerta que indican la posible presencia de malware persistente en el sistema, posiblemente un RAT (Remote Access Trojan) puedes realisar este tipo de ejemplos espero y te ayuden Dado que mencionó netstat -ano, haga lo siguiente:

  1. Abra CMD como administrador y ejecute:

netstat -ano | findstr “ESTABLISHED”

Esto mostrará las conexiones activas.

  1. Para ver qué proceso está detrás de cada conexión, use:

netstat -ano | findstr :<puerto_sospechoso>

Reemplace <puerto_sospechoso> con uno de los que le aparezca conectado a ubicaciones como Dublín, China o EE.UU.

  1. Luego, con el PID (identificador del proceso), puede ver qué aplicación lo usa:

tasklist | findstr

:two: Revisar procesos en ejecución

Para ver procesos sospechosos:

  1. Abrir el Administrador de Tareas (Ctrl + Shift + Esc) y verificar procesos desconocidos.

  2. Desde CMD, listar procesos con:

wmic process get description,executablepath

  1. Si ve procesos sin ruta clara o nombres extraños, anótelos.

:three: Escanear en busca de rootkits y RATs

Los antivirus comunes no siempre detectan RATs. Pruebe:

Kaspersky Virus Removal Tool:

ESET Online Scanner:

Malwarebytes Anti-Rootkit:

Escanee en Modo Seguro para efectividad:

  1. Reinicie y presione F8 antes de que cargue Windows.

  2. Seleccione Modo Seguro con funciones de red.

  3. Ejecute los escaneos.

:four: Revisar configuraciones del router

Si el atacante tiene acceso a su red, podría estar controlando otros dispositivos. Acceda al router y revise:

Dispositivos conectados → Verifique si hay dispositivos desconocidos.

Redirección de puertos (Port Forwarding) → Si hay reglas activas sospechosas, elimínelas.

DNS modificado → Asegúrese de que el DNS sea el de su proveedor o 1.1.1.1 / 8.8.8.8 (Google y Cloudflare).

Si sospecha que el router está comprometido, haga un reset de fábrica y cambie las contraseñas.

:five: Formateo completo y reinstalación limpia

Si sigue teniendo problemas, lo mejor es un formateo completo (no restauración parcial):

  1. Descargue Windows desde la página oficial.

  2. Haga una instalación limpia desde un USB booteable con Rufus.

  3. No conecte dispositivos externos hasta confirmar que está limpio.