Malware (COM surrogate - Netsky antivirus)

¡Muy buenas! tengo un problema y es que mi pc se ha infectado con un Malware. La situación es la siguiente; hace dos días intenté descargar el Adobe acrobat pro por varios métodos, por lo que temo que uno de esos fue el responsable de haber atacado mi computador. El virus ha robado información de algunas de mis cuentas (Instagram, Epic games e incluso ha intentado robar la de steam). Actualmente creo ya haber protegido mi correo y algunas cuentas exitosamente, cambiando contraseñas y desvinculándolas del ordenador, para que estas personas ya no tengan más acceso, no obstante, ahora busco la solución para este dilema ¿cómo elimino el malware?

En primera instancia, algunas veces aparece en el administrador de tareas un programa que se utiliza muchísimos recursos “COM surrogate”, no obstante, es intermitente, pues no ha vuelto a aparecer. Consecutivamente, el Windows Update y el Windows Defender se han visto comprometidos, pues las actualizaciones se han bloqueado de alguna manera, lo que me restringe de poder descargar aplicaciones de la windows store, mientras que el defender ha sido secuestrado, ya que, al abrirlo, veo como rápidamente se abre la ventana, se cierra y aparece otra “falsa” que lógicamente hacer ver como si todo estuviese bien, impidiendo que pueda actuar en contra de la amenaza. Al intentar instalar algún antivirus, como puede ser el malwarebytes, aparece una ventana que simula ser parte del sistema operativo diciendo lo siguiente; “windows protegió su PC”, de esa forma evita que pueda ejecutar el setup de cualquier programa antimalware. Lo mismo sucede con cualquier otro antivurs, como el Avast.

Estuve leyendo una publicación en este blog que recibe por título “Netsky Antivirus, un tipo de virus intalado en mi pc?”, en la que le brindan una solución al usuario con el inconveniente, intenté hacer lo mismo que le aconsejaron a él, infortunadamente, no me funcionó. Primero descargué el Rkill by Grinler, lo ejecuté y todo normal, sin embargo, no hizo nada, pues aún no tenía acceso a los setups de los antivirus, en ese caso “Malwarebytes”.

Suplico auxilio, espero que puedan brindarme su ayuda y conocimiento, pues, he buscado de diversas fuentes sin haber encontrado nada realmente útil. Quedo atento a su respuesta, gracias de antemano por leer.

David.

Hola, buenas @SameDeLuXE bienvenido al foro. Al ser nuevo le recomiendo que se lea las políticas de este. No porque haya hecho nada mal, sino para saber más acerca del funcionamiento de este.

Aclarado este punto, voy a intentar ayudarle pero antes necesito que me responda usted a algunas preguntas:

¿Dispone usted de alguno de los procesos de análisis realizados previo a la infección para que pueda revisar el tipo de infección que le ha accedido a su ordenador?

¿Ha probado usted a poner su ordenador en: Modo a prueba de fallos y realizarle un proceso de análisis con alguna Suite de Seguridad?

¿Desde cuando le está pasando el problema de su ordenador que usted comenta?

Quedo a la espera de su respuesta!

Una publicación ha sido separada a un nuevo tema: COM surrogate

Muy buenas, gracias por responder y disculpen la demora de la contestación. Vuelvo acá para actualizarlos sobre el caso y que quede registro para las próximas personas que vengan con el mismo problema.

Creo haber eliminado el malware que afectaba tanto los recursos como la integridad de mi ordenador ¿cómo? es simple, volví a intentar los métodos descritos en otro tema perteniciente a este foro, el que mencioné en el primer mensaje que recibe por nombre “Netsky antivurs, un tipo de virus instalado en mi pc”. En primera instancia descargué el rkill.exe y posteriormente REINSTALÉ EL SETUP DE MALWAREBYTES, esto es importantísimo dado que los archivos de este tipo ya instalados no funcionarán jamás, es necesario hacerlo de nuevo. Luego, corrí este y otros antivirus que me ayudaron a reducir la amenaza.

Ahora, el problema radica en que no he logrado recuperar la funcionalidad del windows update ni del windows defender, no sé bien cómo proceder o qué hacer para que sirva, puesto que he intentado ya varios métodos que he visto por ahí en internet, aquí es donde solicito la ayuda nuevamente. @Chicloi gracias por responder, con respecto a lo que me comentas; no creo poseo análisis previos a la infección, ya hice los análisis con los que detecté varios troyanos (esto en función al punto “2”) y el problema inició justo después de intentar descargar una versión crackeada del Adobe Acrobat DC pro.

Voy a intentar ayudarle a poder solucionar el problema que usted me comenta.

Ahora realice usted lo siguiente para asegurarnos que el sistema está bien:

Selecciona el botón y ve a > >

Maximice usted la pantalla y mándeme usted una Captura de Pantalla de todo lo que salga.

Quedo a la espera de su respuesta!

image1920×1035 98.4 KB

Buenas, de esa manera.

Ahora, realice usted los siguientes pasos:

Haga usted click derecho sobre el botón de Inicio (Dicho botón se encuentra en la parte posterior izquierda).

Seleccione usted la opción . (Tal y como se refleja en la imagen siguiente):

image465×501 69.4 KB

Aparecerá una pantalla similar a esta:

image503×501 39.7 KB

• Maximice usted la pantalla y mándeme usted una Captura completa de todo lo que sale en toda la pantalla incluida si sale alguna notificación adicional y/o ventana adicional que te pueda salir al realizar dicho procedimiento que le he mencionado y envíemelo usted.

Quedo a la espera de su respuesta!

image1920×1080 189 KB

Aparece de esta forma.

Ahora, realice usted los siguientes pasos que le indico a continuación:

Deshabilite usted nuevamente su antivirus: ¿Cómo deshabilitar temporalmente su Antivirus?

En el equipo, con los demás programas cerrados abra usted el notepad; puede abrirlo en la barra de búsqueda de windows y escribiendo notepad.exe

Posteriormente, copie y pegue este script de reparación dentro del Notepad

Windows Registry Editor Version 5.00


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv]
"DependOnService"=hex(7):72,00,70,00,63,00,73,00,73,00,00,00,00,00
"Description"="@%systemroot%\\system32\\wuaueng.dll,-106"
"DisplayName"="@%systemroot%\\system32\\wuaueng.dll,-105"
"ErrorControl"=dword:00000001
"FailureActions"=hex:80,51,01,00,00,00,00,00,00,00,00,00,03,00,00,00,14,00,00,\
  00,01,00,00,00,60,ea,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00
"ImagePath"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,00,\
  74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,\
  00,76,00,63,00,68,00,6f,00,73,00,74,00,2e,00,65,00,78,00,65,00,20,00,2d,00,\
  6b,00,20,00,6e,00,65,00,74,00,73,00,76,00,63,00,73,00,20,00,2d,00,70,00,00,\
  00
"ObjectName"="LocalSystem"
"RequiredPrivileges"=hex(7):53,00,65,00,41,00,75,00,64,00,69,00,74,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,\
  65,00,61,00,74,00,65,00,47,00,6c,00,6f,00,62,00,61,00,6c,00,50,00,72,00,69,\
  00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,43,00,72,00,65,00,\
  61,00,74,00,65,00,50,00,61,00,67,00,65,00,46,00,69,00,6c,00,65,00,50,00,72,\
  00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,63,00,\
  62,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,\
  00,41,00,73,00,73,00,69,00,67,00,6e,00,50,00,72,00,69,00,6d,00,61,00,72,00,\
  79,00,54,00,6f,00,6b,00,65,00,6e,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,\
  00,67,00,65,00,00,00,53,00,65,00,49,00,6d,00,70,00,65,00,72,00,73,00,6f,00,\
  6e,00,61,00,74,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,49,00,6e,00,63,00,72,00,65,00,61,00,73,00,65,00,51,00,\
  75,00,6f,00,74,00,61,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,\
  00,00,00,53,00,65,00,53,00,68,00,75,00,74,00,64,00,6f,00,77,00,6e,00,50,00,\
  72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,44,00,65,\
  00,62,00,75,00,67,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,\
  00,00,53,00,65,00,42,00,61,00,63,00,6b,00,75,00,70,00,50,00,72,00,69,00,76,\
  00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,52,00,65,00,73,00,74,00,\
  6f,00,72,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,\
  00,53,00,65,00,53,00,65,00,63,00,75,00,72,00,69,00,74,00,79,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,54,00,61,00,6b,\
  00,65,00,4f,00,77,00,6e,00,65,00,72,00,73,00,68,00,69,00,70,00,50,00,72,00,\
  69,00,76,00,69,00,6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4c,00,6f,00,61,\
  00,64,00,44,00,72,00,69,00,76,00,65,00,72,00,50,00,72,00,69,00,76,00,69,00,\
  6c,00,65,00,67,00,65,00,00,00,53,00,65,00,4d,00,61,00,6e,00,61,00,67,00,65,\
  00,56,00,6f,00,6c,00,75,00,6d,00,65,00,50,00,72,00,69,00,76,00,69,00,6c,00,\
  65,00,67,00,65,00,00,00,00,00
"ServiceSidType"=dword:00000001
"Start"=dword:00000003
"SvcHostSplitDisable"=dword:00000001
"SvcMemHardLimitInMB"=dword:000000f6
"SvcMemMidLimitInMB"=dword:000000a7
"SvcMemSoftLimitInMB"=dword:00000058
"Type"=dword:00000020

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Parameters]
"ServiceDll"=hex(2):25,00,73,00,79,00,73,00,74,00,65,00,6d,00,72,00,6f,00,6f,\
  00,74,00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,\
  77,00,75,00,61,00,75,00,65,00,6e,00,67,00,2e,00,64,00,6c,00,6c,00,00,00
"ServiceDllUnloadOnStop"=dword:00000001
"ServiceMain"="WUServiceMain"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\Security]
"Security"=hex:01,00,14,80,78,00,00,00,84,00,00,00,14,00,00,00,30,00,00,00,02,\
  00,1c,00,01,00,00,00,02,80,14,00,ff,00,0f,00,01,01,00,00,00,00,00,01,00,00,\
  00,00,02,00,48,00,03,00,00,00,00,00,14,00,9d,00,02,00,01,01,00,00,00,00,00,\
  05,0b,00,00,00,00,00,18,00,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,\
  20,02,00,00,00,00,14,00,ff,01,0f,00,01,01,00,00,00,00,00,05,12,00,00,00,01,\
  01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,00,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo\0]
"Type"=dword:00000005
"Action"=dword:00000001
"Guid"=hex:e6,ca,9f,65,db,5b,a9,4d,b1,ff,ca,2a,17,8d,46,e0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wuauserv\TriggerInfo\1]
"Type"=dword:00000005
"Action"=dword:00000001
"Guid"=hex:c8,46,fb,54,89,f0,4

• Vaya usted a Archivo y seleccione usted Guardar Como.

• En la parte de Codificación elija Unicode o UTF8 según le de la opción.

• Guárdelo bajo el nombre de SCRIPT.reg en el escritorio. Esto es muy importante.

¡ATENCIÓN! El anterior Script de reparación fue hecho específicamente por un miembro del Staff para este usuario, si tiene un problema similar por favor abra su propio tema para recibir ayuda personalizada. Usar Scripts de otros usuarios puede causar daños a su equipo

• Ejecute el Script que se ha creado en el escritorio de su ordenador y siga las indicaciones que se le vaya indicando en el proceso de instalación del SCRIPT.reg

• Instalado el SCRIPT.reg Reinice su ordenador.

Cuando haya usted reiniciado su ordenador me lo comunica usted por aquí!

Quedo a la espera de su respuesta!

Muy buenas, ya he realizado las acciones que me indicó en el último mensaje! Ahora ¿cómo procedemos?

Muchas gracias.

Ahora para proseguir realice usted lo siguiente para asegurarnos que el sistema está bien:

Selecciona el botón y ve a > >

Máximice la pantalla y mándeme una Captura de Pantalla de todo lo que salga.

Quedo a la espera de su respuesta!

Buenas @SameDeLuXE reinicie usted su ordenador y cuando inicie de nuevo me lo comunica por aquí!

Quedo a la espera de su respuesta!

¡Buenas! Ya lo he reiniciado/apagado y sigue dando el mismo mensaje de error, no obstante, el servicio de la “windows store” se ha normalizado por completo, ya me permite actualizar y descargar aplicaciones sin problema, esto no me era posible anteriormente y el inconveniente estaba ligado al error del “windows update”.

Hola buenas, intervengo brevemente con permiso de @SameDeLuXE y de @Chicloi

El compañero @Chicloi está reevaluando alguna otra posible alternativa de solución de tu problema. Quizás no sería necesario hacer lo que te comento en su último mensaje.

En cuando pueda, te responderá nuevamente con la solución más adecuada en función de su criterio.

Salu2.

Ahora, @SameDeLuXE realice usted los siguientes pasos que le indico a continuación:

EN BUSCA / ELIMINACIÓN DE MALWARE

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

Inicia de nuevo el equipo desde el Modo Seguro – con funciones de Red, de Windows. Si no funcionasen los métodos que se explican en el anterior post, prueba estos otros. Más concretamente, primero el 3 (Seleccionando Red en lugar de Mínimo) y si no el 2 (también Red).

Una vez iniciado en este modo, empiezas haciendo todos los pasos que te pondré a continuación.

P.D.: Si el quipo no te arrancase en Modo seguro (cosa que puede pasar), me lo dices e intentaremos arreglar el sistema para que arranque en Modo Seguro. Pues hay malwares que ya se encargaran de que no puedas iniciar en Modo Seguro.

0. Descarga y ejecuta RKill, más concretamente debes de descargar la que está renombrada bajo el nombre de iExplore.exe. Para evitar el bloqueo de posibles malwares que pueda haber en tu equipo. Una vez que esta haya sido ejecutada, es **muy importante no reiniciar el sistema hasta que te lo solicite yo o alguno de los programas de desinfección de los que estemos utilizando.

Me explico, por ejemplo: has iniciado la máquina en: Modo Seguro con funciones de Red**, has ejecutado: Rkill y seguidamente realizas un: Análisis con Malwarebytes. Este te detecta infecciones y te pide reiniciar la máquina para poder finalizar exitosamente su desinfección. Seguidamente, yo te he indicado que ejecutes por ejemplo el ESET Online Scanner, pues bien como no hemos acabado de desinfectar la máquina y estamos realizando el proceso de desinfección, y has tenido que reiniciar, ya que te lo ha pedido: Malwarebytes pues debes de ejecutar nuevamente Rkill y después acto seguido el ESET ONline.

¿Me entiendes?

Si por ejemplo, incluso con Rkill, Malwarebytes AntiMalware o la herramienta que sea que te he pedido que utilices, ves que se bloquea y que al cabo de un buen rato no responde. Pues pasas a la siguiente y me informas de ello. Y así con todas. ¿OK? ¿Se entiende?

Realizas lo siguiente:

1. Manual Malwarebytes Anti-Rootkit Beta sigues las instrucciones de su manual y me traes sus correspondientes Informes de análisis: Mbar-log.txt y System-log.txt tal como se indica en su manual.

2. Descarga, instala y ejecuta TDSKiller de acuerdo a su Manual TDSKiller. Marca todas las casillas (Loaded Modules, Verify file digital signatures y Detect TDLFS file system). Sí te pide reiniciar lo haces, ejecutas de nuevo la herramienta y al marcar nuevamente las casillas que te he dicho, ya te dejara analizar.

3. Descarga, instala, actualiza y ejecuta: Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Clik aquí: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente.

   • Realizas un Análisis PERSONALIZADO, marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:

   1. Analizar objetos en memoria

   2. Analizar configuracion de inicio y registro

   3. Analizar dentro de los archivos

   • Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
   • Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

NOTA IMPORTANTE:

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

• No realices pasos/acciones que NOSOTROS no te hayamos indicado.
• No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
• No instales NADA (programas/software/complementos/extensiones del navegador…).
• No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
• No realices por tu cuenta otros procedimientos.
• Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

EN TU PRÓXIMA RESPUESTA

• Respondes a las preguntas que te haya realizado.
• Traes los reportes de: Malwarebytes Anti-Rootkit, TDSKiller y Malwarebytes.
• Comentas el estado en general del ordenador respecto al problema inicial planteado.

Quedo a la espera de su respuesta!

Buenas @SameDeLuXE ¿Pudo usted realizar algún avance?

Quedo a la espera de su respuesta!

Muy buenas estimados colaboradores, paso por acá en primera instancia para agradecer todo el apoyo, asesoramiento y ayuda que me han brindado estos últimos días en pro de solucionar mi inconveniente, de igual forma pido perdón por no contestar hasta este momento. Con respecto a la reparación de las aplicaciones dañadas; Windows defender y update, las corregí restaurando el sistema como se me había aconsejado en un principio, lamento no haber visto antes la posible solución que me adjuntaron arriba, principalmente porque pudo haber sido una guía de apoyo para otras personas que vengan con algún problema similar. En conclusión, destaco el hecho de que, para eliminar este virus, usé la guía mencionada en esta publicación, además de múltiples “antivirus” que me ayudaron a eliminar el mismo, el script realizado me sirvió para devolverle la funcionalidad a la Windows store, sin embargo, para normalizar las funciones de las aplicaciones anteriormente mencionadas, tuve que restaurar el sistema, no tuve chance de probar el método sugerido de arriba. Dejo constancia de esto para las futuras personas que estén leyendo esto en búsqueda de respuestas, además, hago hincapié en la importancia de no descargar nada que no sea oficial. Muchas gracias.

Gracias a ti por la paciencia que has tenido en la realización de todos los procedimientos que se han ido realizando, me alegro que se te haya podido solucionar el problema el cual has abierto este foro.

A continuación, te indicaré como debes de cerrar el tema.

¿Cómo dar un tema por “Solucionado”?

En el tema que hayas abierto con tu problema, en el caso que se resuelva con las indicaciones dadas por el ayudante, después de responder con los reportes, haz clic en este símbolo .

Después de darlo por solucionado, en la respuesta de quien le ayuda se verá así:

Durante los 2 siguientes días a darlo por solucionado, el tema quedará abierto por si volviera el problema y tuviera que comentarlo.

No olvides de marcar el tema como Solucionado. Para ello miras el enlace que te he pasado y marcas como solución alguna de las respuestas.

Como consejo/apunte final, te invito a que nos sigas en nuestras redes sociales para estar al tanto y prevenido de los nuevos tipos de malwares y de otros temas relacionados que puedan ser de tu interés.

Blog

Twitter

Facebook

Ha sido un placer ayudarte en ayudarte a dar por SOLUCIONADO EL TEMA y en esta parte final de este. Has tenido paciencia y has sido muy fácil de llevar a lo largo del tema. Muchas gracias por confiar en ForoSpyware.