Malware publicitario de VPNs

Siento discrepar sobre el manual, ya que pone que hay que activar la opción de rootkits, no encuentro en ninguna parte del manual que haya que desactivar eso. La captura del manual donde especifica que hay que marcar todo es esta:

Si me equivoco dímelo, pero tal vez tendréis que revisar ese manual. En cualquier caso, como me lo comentaste por aquí, desmarcaré la opción de rootkits la próxima vez, que será el fin de semana que viene. En ese momento te pasaré el informe. Gracias por esperar.

1 me gusta

Tiene usted razón, debe de activar la opción de Rootkits y seguir lo que dice su manual, a lo que me refería con desactivar la opción de Rootkits era con el programa de MalwareBytes, pero en este caso que me pregunta debe de activar la opción de Rootkits y seguir lo que dice dicho manual y cuando termine todo el Proceso de Análisis le da a la opción que pone: Neutralizar y si dicho programa te pide reiniciar, pues reiniciar, pero sólo si dicho programa te lo pide, y con ello el programa eliminará automáticamente las infecciones y virus que haya encontrado.

Me manda una Captura de Pantalla cuando haya terminado todo el Proceso de Análisis con todas las infecciones y virus que se reflejen que haya eliminado dicho programa.

Quedo a la espera de su respuesta!

Buenas, @digitoforo ¿Pudo realizar algún avance?

Quedo a la espera de su respuesta!

Hola chicloi, ahora mismo le voy a pasar el Dr Web Cureit! a la unidad externa, que es lo que me falta. Supongo que tardará todo el día por la cuenta que hice , entonces te pasaré los informes.

El informe de Rkill:

Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2022 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 03/19/2022 08:24:57 AM in x64 mode.
Windows Version: Windows 7 Ultimate Service Pack 1

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * No malware processes found to kill.

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * Windows Defender Disabled

   [HKLM\SOFTWARE\Microsoft\Windows Defender]
   "DisableAntiSpyware" = dword:00000001

Searching for Missing Digital Signatures: 

 * No issues found.

Checking HOSTS File: 

 * No issues found.

Program finished at: 03/19/2022 08:25:29 AM
Execution time: 0 hours(s), 0 minute(s), and 32 seconds(s)

El informe de Dr Web Cureit! para la unidad externa (el de la interna te lo he puesto en un mensaje anterior) no lo he podido sacar ya que ocupa 342 Mb y no me lo abre el Notepad++ pero te dejo la captura final con la información necesaria.

Neutralicé y eliminé lo que estaba en cuarentena.

Había 4 amenazas pero seguramente no tienen que ver con el malware del navegador.

¿Cómo procedo ahora o con qué herramienta seguimos?.

1 me gusta

Perfecto! El programa ha realizado correctamente su función!

Realice los siguientes pasos:

IMPORTANTE:

:one: EJECUTE EL PROGRAMA QUE SE LE INDIQUE EN ESTE PROCEDIMIENTO A SEGUIR SIGUIENDO SU MANUAL QUE LE DEJO AQUÍ Y ELIMINE TODAS LAS AMENAZAS E INFECCIONES QUE ENCUENTRE.

:two: QUE NO SE LE APAGUE LA PANTALLA, ES DECIR, QUE SU ORDENADOR NO SE PONGA EN ESTADO DE SUSPENSION YA QUE PUEDE INTERRUMPIR EL PROGRAMA DE DESINFECCIÓN Y NO ELIMINARSE TODAS LAS AMENAZAS Y VIRUS QUE ENCUENTRE.

:three: SI ALGÚN PROGRAMA LE PIDE REINICIAR, REINICIAS, PERO SOLO SI SE LO SOLICITA EL PROGRAMA DE DESINFECCIÓN PARA PODER ELIMINAR TODAS LAS AMENAZAS E INFECCIONES QUE ENCUENTRE.

Aclarado esto, realice lo siguiente:

:zero: Ejecute el programa RKill, en primer lugar, como lo ha estado realizando correctamente y seguidamente:

:one: Descargue, instale y ejecute el siguiente programa: Kaspersky Virus Removal Tool. A continuación, le dejo la Url de Descarga del programa: Kaspersky Virus Removal Tool para que pueda ejecutar e instalar el programa correctamente. Aquí le dejo su Manual para que sepas cómo utilizarlo y configurarlo correctamente:

:one: . :one:. Url de Descarga de Kaspersky Virus Removal Tool: Url de Descarga: Kaspersky Virus Removal Tool para que pueda ejecutar e instalar el programa correctamente.

:one: . :two:. Manual del Kaspersky Virus Removal Tool para que sepas cómo utilizarlo y configurarlo correctamente: Manual Kaspersky Virus Removal Tool (Elimine TODAS las amenazas e infecciones que encuentre).

:one: . :three:. Siga su manual al pie de la letra y me manda una Captura de Pantalla y el Informe con todas las amenazas e infecciones que encuentre.

Una vez finalizado el proceso de análisis por completo me manda una Captura de Pantalla y el informe donde se reflejen las Infecciones y Virus que hayan sido eliminados por el programa.

Quedo a la espera de su respuesta!

Buenas chicloi.

Ante todo, gracias por el interés en librarme de este malware.

¿Es necesario pasarle todos los antivirus generalistas gratuítos que existen?. Lo digo porque tengo que esperar hasta el fin de semana siguiente a tener el ordenador disponible tanto tiempo seguido como requieren estos programas. Concretamente el Dr Web Cureit! llevó dos días completos (lo que son para mí dos semanas). Otros más específicos de navegador como ZHPCleaner tarda una hora y me ha solucionado.

En definitiva, si crees totalmente necesario seguir con Kaspersky Virus Removal Tool, seguimos la semana que viene. Ya me cuentas.

Por cierto, por lo que veo en el manual de Kaspersky Virus Removal Tool, actúa en la unidad del sistema solamente, con lo que me libraría de escanear la unidad externa, que es la que más cosas tiene, así que debe tardar mucho menos en escanear que Dr web Cureit!, ¿me equivoco?

1 me gusta

En respuesta a su pregunta, sí, tiene que seguir el orden de los procesos de desinfección que yo le indique para poder eliminar de raíz y sin excepción todas aquellas amenazar y virus que tenga en su ordenador y por ello, le tiene que pasar todos los antivirus que yo le indique.

No se preocupe, para cuando disponga del ordenador sigue con las indicaciones que le he mandado.

En respuesta a su pregunta no se trata de poder usar el programa ZHPCleaner ya que eso sólo soluciona una parte del problema pero no soluciona el problema completo de infección por ello, debe de seguir mis indicaciones dadas que le indico en este foro para poder desinfectar y eliminar TODOS los virus y amenazas que encuentren dichos programas de desinfección.

En respuesta a su pregunta, sí, lo considero necesario el que debe de pasarle el programa de desinfección Kaspersky Virus Removal Tool. Puede seguir la semana que viene con pasándole dicho programa que le he comentado y siguiendo su manual así como las indicaciones dadas.

Quedo a la espera de su respuesta!

Buenas @digitoforo, ¿Pudo realizar algún avance?

Salud2s

Hola @Chicloi. Ya tengo el ordenador disponible y ahora mismo comenzaré el escaneo con Kaspersky Virus Removal Tool. En cuanto termine pongo los informes.

1 me gusta

Por cierto, desactivaré los otros antivirus residentes para ejecutar este. Supongo que es correcto aunque no lo indicas en tu mensaje sobre Kaspersky Virus Removal Tool pero que fue una de las primeras indicaciones que me diste. Por otro lado, en el manual no indica que añada unidades externas, sólo que marque lo que aparece y empiece a escanear. Aquí te dejo la captura del manual que lo demuestra:

Con lo cual, como me dices que lo siga al pie de la letra, no sé si añadir la unidad externa, supongo que sí lo haré. Comenta esto

1 me gusta

Buenas de nuevo @Chicloi.

El antivirus Kaspersky está teniendo un comportamiento que ralentiza el escaneo excesivamente. En los nombres de archivos que está escaneando aparecen constantemente archivos con extensión .class. Creo que estos archivos provienen de una copia de seguridad de un disco externo averiado que realicé con el programa TestDisk. Resulta que este programa detectaba no sólo los archivos habituales del disco si no también archivos de nombre igual a estos pero con extensión .class y de tamaño ínfimo. Te dejo una captura con indicación de uno de ellos según el antivirus:

Parece que estos archivos están a millones y no los detecta el explorador de windows cuando navego por las carpetas pero los antivirus sí lo hacen e intentan escanearlos como cualquier otro. Le indiqué a Kaspersky Virus Removal Tool que escaneara el disco interno (unidades C y D), que tienen unos 480000 archivos y ocupan 165 GB pero Kaspersky Virus Removal Tool me indica que lleva lleva casi 4 millones de objetos y le falta un montón para terminar, después de más de 8 horas. Aquí te dejo la captura del conteo que me hace windows y el que hace el antivirus. Compárese…:

Como ves, hay muchos más archivos según el antivirus que número de archivos según windows. No sé porqué me detectó estos archivos tesdisk que parecen no tener ninguna utilidad. No son archivos de java ni nada por el estilo, se detectaron por el software de recuperación de discos TestDisk.

Hasta que resuelva esto creo que no puedo seguir escaneando con este antivirus ya que pienso que puede tardar un día entero o más en escanearme la unidad interna, y la externa que ocupa cuatro veces más ya ni te digo… No me parece razonable, ¿qué me sugieres para continuar?

1 me gusta

Si puede añadir la unidad externa también.

No se preocupe, deje que escanee por completo el Proceso de Análisis y cuando haya terminado siga el manual que le he indicado y me manda lo que le he solicitado!

A la espera de su respuesta!

El problema es que estos archivos que detecta el antivirus son tantos que enlentecen mucho el escaneo. Puedo intentar escanear la unidad interna, la semana que viene, que calculo tardará un día entero, pero la unidad externa que ocupa cuatro veces más tardaría varios días y eso no lo puedo hacer. ¿Tienes idea por lo que te he dicho de lo que son esos archivos?

1 me gusta

Lo mejor sería que se escaneara todo de golpe, tanto la Unidad Interna como la Unidad Externa pero si me comenta que no lo puede hacer todo de golpe, realice primero el escaneo de la Unidad Interna de todo su ordenador y deje que acabe el Proceso por Completo y elimine todas las amenazas e infecciones que encuentre y me manda el Informe que genere con todas las amenazas e infecciones que refleje dicho programa que haya eliminado. y realice el mismo procedimiento con la Unidad Externa. y me manda dicho informe que genere dicho programa reflejando todas las amenazas e infecciones que encuentre.

Url: ¿Como Pegar Reportes en el Foro?

Quedo a la espera de su respuesta!

Insisto en que en estas circunstancias creo que la unidad externa me tardaría varios días seguidos en escanearla y no me es posible ni razonable. Vamos a buscarle una solución mejor. Estoy pensando en excluír los archivos .class del análisis, pero esto no es una opción posible en la herramienta gratuíta de Kaspersky.

Podría bajarme la herramienta de pago Kaspersky Internet Security y usarla en el período de prueba. Tendría todas las funcionalidades durante los primeros días y en esta sí podría programarle una exclusión general de los archivos .class. Todavía no sé si funcionará ya que no son archivos normales, no salen en el explorador de windows y se generaron a raíz de la copia de seguridad con TestDisk. El único problema es que también excluiría del análisis los archivos con extensión .class que son normales, los de java, pero esto sería un mal menor si pudiera escanear todo lo demás en un tiempo razonable.

Si te parece razonable esto dímelo y el sábado lo intento así.

Vamos a hacer una cosa, extraiga de modo seguro las Unidades Externas de su ordenador y deje sólo el Disco Duro de la Unidad Interna donde sólo esté instalado su Sistema Operativo y realice el Proceso de Análisis de nuevo siguiendo su manual y una vez finalizado el Proceso de Análisis por completo, le da a la opción de eliminar todas las infecciones y amenazas que encuentre dicho programa y me manda el informe que haya generado dicho programa reflejando las Infecciones y Virus que haya eliminado.

Quedo a la espera de su respuesta!

Buenas. Hoy he borrado cosas de la unidad interna de las que tengo copia en la unidad externa para acelerar el proceso de análisis de Kaspersky Virus Removal Tool y finalmente ha tardado 7.5 horas en analizar unos 100 GB, como siempre una barbaridad… Los informes a continuación.

RKill:

Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2022 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 04/02/2022 07:29:11 AM in x64 mode.
Windows Version: Windows 7 Ultimate Service Pack 1

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * No malware processes found to kill.

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * Windows Defender Disabled

   [HKLM\SOFTWARE\Microsoft\Windows Defender]
   "DisableAntiSpyware" = dword:00000001

Searching for Missing Digital Signatures: 

 * No issues found.

Checking HOSTS File: 

 * No issues found.

Program finished at: 04/02/2022 07:29:36 AM
Execution time: 0 hours(s), 0 minute(s), and 25 seconds(s)

Kaspersky Virus Removal Tool:

No se detectaron amenzas.

¿Cómo procedemos ahora?

1 me gusta

:one: Ejecute el programa en primer lugar el programa: RKill que puede encontrar en este mismo foro y cuando finalice dicho Proceso de Análsisis siga estos pasos:

:two: Descargue, Instale y ejecute el siguiente programa: TDSSKiller. A continuación, le dejo la Url de Descarga del programa: TDSSKiller y su Manual para que sepas cómo utilizarlo y configurarlo correctamente:

:two: . :one:. Url de Descarga de TDSSKiller: Url de Descarga: TDSSKiller para que pueda ejecutar e instalar el programa correctamente.

:two: . :two:. Manual del TDSSKiller para que sepas cómo utilizarlo y configurarlo correctamente: Manual TDSSKiller (Elimine TODAS las amenazas e infecciones que encuentre).

Me manda el informe y una Captura de Pantalla que genere el programa reflejando todas las amenazas e infecciones que haya eliminado!

Url: ¿Como Pegar Reportes en el Foro?

Quedo a la espera de su respuesta!

En esta ocasión el programa ha escaneado rápidamente. No se encontraron amenazas.

Pero primero el informe de RKill:

Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2022 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 04/02/2022 05:44:31 PM in x64 mode.
Windows Version: Windows 7 Ultimate Service Pack 1

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * No malware processes found to kill.

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * Windows Defender Disabled

   [HKLM\SOFTWARE\Microsoft\Windows Defender]
   "DisableAntiSpyware" = dword:00000001

Searching for Missing Digital Signatures: 

 * No issues found.

Checking HOSTS File: 

 * No issues found.

Program finished at: 04/02/2022 05:44:54 PM
Execution time: 0 hours(s), 0 minute(s), and 22 seconds(s)

La captura de finalización de TDSSKiller es esta:

Y sólo la parte del final del (largo) informe sería:

17:47:47.0636 0x1b6c  ============================================================
17:47:47.0636 0x1b6c  Scan finished
17:47:47.0636 0x1b6c  ============================================================
17:47:47.0661 0x0828  Detected object count: 0
17:47:47.0661 0x0828  Actual detected object count: 0

Cómo seguimos?

1 me gusta