No consigo eliminar: Trojan:Script/Wacatac.H!ml

Estoy desesperado ya, a continuación dejo mas información:

Tengo una amenaza llamada Backdoor:Win32/Bladabindi!ml, por mucho que lo intente no consigo eliminarlo por completo. He usado diferentes antivirus pero windows me o sigue detectado.

Buenas @FactorX

Bienvenido al foro, te recomiendo leer

• Primeros pasos en el Foro de InfoSpyware - Bienvenidos - ForoSpyware

Realiza los siguientes pasos:

(Mantén conectados todos tus dispositivos externos que tengas como: USBs, discos duros externos, etc).

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas y discos duros externos si también tienes.

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

0) Descarga Ccleaner . Aquí te dejo su manual: Manual de CCleaner , para que sepas como usarlo y configurarlo correctamente.

Lo instalas y lo ejecutas. En la pestaña Limpieza personalizada dejas la configuración predeterminada. Haces clic en Analizar y esperas a que termine. Seguidamente haz clic en Ejecutar Limpiador. Clic en la pestaña Registro > clic en Buscar Problemas esperas que termine. Finalmente clic en Reparar Seleccionadas y realizas una Copia de Seguridad del registro de Windows.

1) Descarga, instala, actualiza y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes , para que sepas como usarlo y configurarlo correctamente.

• Realizas un Análisis Personalizado, marcando Todas las casillas (menos la que dice analizar rootkits) de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas y marcas todas las unidades de disco disponibles y las siguientes casillas:

1. Analizar objetos en memoria
2. Analizar configuracion de inicio y registro
3. Analizar dentro de los archivos

• Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
• Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

2) Descarga Adwcleaner en el escritorio.

• Desactiva tu antivirus Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
• Ejecuta Adwcleaner.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
• Pulsar en el botón Analizar Ahora, y espera a que se termine el análisis. Inmediatamente pulsa sobre el botón Iniciar Reparación.
• Espera a que termine y sigue las instrucciones que te aparezcan. Si te pidiera Reiniciar, pues reinicias el ordenador pulsando en Aceptar.
• Si no encuentra nada, pulsa en Omitir Reparación.
• El log lo encontrarás en la pestaña Informes, volviendo a abrir el programa, si es necesario o en la siguiente ubicación: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
• Para más información aquí te dejo su manual: Manual de Adwcleaner.
• Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

3) Utiliza nuevamente CCleaner tal como te dije en el punto 0.

Pegas los reportes de Malwarebytes y AdwCleaner y comentas como va el problema inicial planteado por el cual abriste este tema. También responde a las preguntas que te haya realizado a lo largo de este Post, siempre que te haya hecho alguna, si no, no

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

• No realices pasos/acciones que NOSOTROS no te hayamos indicado.
• No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
• No instales NADA (programas/software/complementos/extensiones del navegador…).
• No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
• No realices por tu cuenta otros procedimientos.
• Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

Muy Importante Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report703×272 3.73 KB

Salu2.

Ahora, despues de pasar el CCleaner, no me funciona ninguna aplucación que tenga internet y lo he hecho como usted dice!

Se genera algún tipo de error? En que momento ocurre?

Ya esta solucinado, muchas gracias (Me refiero al tema de CCleaner) ha sido suficiente con reiniciar el ordenador.

De todas formas es muy extraño que te haya dejado sin internet

Continua con los demas pasos

Saludos

Paso 1:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 20/1/23
Hora del análisis: 1:42
Archivo de registro: 4c87fe36-985b-11ed-bc7d-f02f7422f199.json

-Información del software-
Versión: 4.5.20.230
Versión de los componentes: 1.0.1868
Versión del paquete de actualización: 1.0.64789
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 19045.2486)
CPU: x64
Sistema de archivos: NTFS
Usuario: Jan-PC\Jan

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 327992
Amenazas detectadas: 6
Amenazas en cuarentena: 6
Tiempo transcurrido: 1 min, 41 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 3
PUP.Optional.Conduit, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, En cuarentena, 153, 236865, , , , , , 
PUP.Optional.Conduit, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, En cuarentena, 153, 236865, , , , , , 
PUP.Optional.Conduit, HKU\S-1-5-21-3377696204-2356603465-1357226226-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}, En cuarentena, 153, 236865, 1.0.64789, , ame, , , 

Valor del registro: 2
PUP.Optional.Conduit, HKU\S-1-5-21-3377696204-2356603465-1357226226-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}|URL, En cuarentena, 153, 236865, 1.0.64789, , ame, , , 
PUP.Optional.Conduit, HKU\S-1-5-21-3377696204-2356603465-1357226226-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}|TOPRESULTURL, En cuarentena, 153, 236865, 1.0.64789, , ame, , , 

Datos del registro: 1
PUP.Optional.Conduit, HKU\S-1-5-21-3377696204-2356603465-1357226226-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|START PAGE, Sustituido, 153, 293058, 1.0.64789, , ame, , , 

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)

Paso 2:

# -------------------------------
# Malwarebytes AdwCleaner 8.4.0.0
# -------------------------------
# Build:    08-30-2022
# Database: 2022-10-10.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    01-20-2023
# Duration: 00:00:02
# OS:       Windows 10 (Build 19045.2486)
# Cleaned:  37
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\ProgramData\Application Data\Lavasoft\Web Companion
Deleted       C:\Users\Jan\AppData\LocalLow\.acestream
Deleted       C:\Users\Jan\AppData\Roaming\.acestream
Deleted       C:\Users\Jan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ace Stream Media
Deleted       C:\Users\Jan\AppData\Roaming\acestream

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKCU\SOFTWARE\Classes\Applications\ace_player.exe
Deleted       HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.acelive
Deleted       HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.acemedia
Deleted       HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.acestream
Deleted       HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.tslive
Deleted       HKCU\Software\AceStream
Deleted       HKCU\Software\Classes\.acelive
Deleted       HKCU\Software\Classes\.acemedia
Deleted       HKCU\Software\Classes\.acestream
Deleted       HKCU\Software\Classes\.tslive
Deleted       HKCU\Software\Classes\AudioCD\shell\PlayWithACEStream
Deleted       HKCU\Software\Classes\DVD\shell\PlayWithACEStream
Deleted       HKCU\Software\Classes\acestream
Deleted       HKCU\Software\Lavasoft\Web Companion
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\ACEStreamPlayCDAudioOnArrival
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\ACEStreamPlayDVDAudioOnArrival
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\ACEStreamPlayDVDMovieOnArrival
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\ACEStreamPlayMusicFilesOnArrival
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\ACEStreamPlaySVCDMovieOnArrival
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\ACEStreamPlayVCDMovieOnArrival
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\ACEStreamPlayVideoFilesOnArrival
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run|Web Companion
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\AceStream
Deleted       HKCU\Software\RegisteredApplications|AceStream
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{3ADA71A3-D075-44E9-A965-6013EEB5BAD1}C:\users\jan\appdata\roaming\acestream\engine\ace_engine.exe
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{E98FAB94-D660-4C1F-BF10-1D1BB0669AD9}C:\users\jan\appdata\roaming\acestream\engine\ace_engine.exe
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{2B90C007-B040-4D41-8543-3E0F8E20795D}
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{D9CD7A6A-CF0A-4A7A-8CCF-0F4FDD22BAFD}
Deleted       HKLM\Software\Classes\.acestream
Deleted       HKLM\Software\Wow6432Node\Lavasoft\Web Companion
Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{79690976-ED6E-403C-BBBA-F8928B5EDE17}

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [5436 octets] - [20/01/2023 01:52:18]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Hola @FactorX

Repite el analisis con malwarebytes, realizaste un análisis de amenazas

y no uno personalizado, que analiza el sistema en mayor profundidad.

Te dejo un gif quizás se vea mejor de esta manera.

Repite el análisis si tienes dudas me comentas y trae el reporte

Saludos

Disculpe, le estaba dando donde no era, estoy un poco nervioso, lo siento.

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 20/1/23
Hora del análisis: 2:00
Archivo de registro: e2fb7742-985d-11ed-bbd5-f02f7422f199.json

-Información del software-
Versión: 4.5.20.230
Versión de los componentes: 1.0.1868
Versión del paquete de actualización: 1.0.64791
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 19045.2486)
CPU: x64
Sistema de archivos: NTFS
Usuario: Jan-PC\Jan

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 1030671
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 6 min, 41 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Aqui tiene el ultimo registro que me ha pedido!

Bien ahora lo ejecutaste correctamente

Realizaremos un par mas de análisis ya que se detectaron varias cosas dando vuelta.

Descarga Malwarebytes-AntiRootkits sigues las instrucciones de su manual y me traes sus correspondientes Informes de análisis: Mbar-log.txt y System-log.txt tal como se indica en su manual (Actualizando la Database).

Descarga, instala y ejecuta TDSKiller . Marca todas las casillas (Loaded Modules, Verify file digital signatures y Detect TDLFS file system). Sí te pide reiniciar lo haces, ejecutas de nuevo la herramienta y al marcar nuevamente las casillas que te he dicho, ya te dejara analizar.

Traes los reportes y nos comentas como va todo

Saludos

Le doy a descargar programa en el primero (AntiRootkits) y no se descarga nada!

Hola nuevamente

A mi me lo descarga sin problemas…

Fíjate si el navegador no te bloqueo la descarga al detectarlo como un archivo no seguro, si es eso en algún lugar debería estar la opción de permitir la descarga.

Saludos

Nada, no se me descarga ni pone que se bloquee nada

Prueba desde aqui Download Malwarebytes Anti-Rootkit (bleepingcomputer.com)

Comentas

Hola buenas, @FactorX intervengo brevemente y con el permiso del compañero @DanielG y tuyo.

Prueba a descargarlo de: https://www.infospyware.com/Software/click.php?id=19

Y si no, prueba este otro: http://downloads.malwarebytes.org/file/mbar

Salu2.

Ahora si, gracias compañeros ;)!

¿Que enlace te ha funcionado @FactorX?

Buenas, Windows me dice que ya no hay nada pero a la vez si, explico:

image1023×793 20.1 KB

Ya que no puedo escribir mas hasta dentro de 17 horas, aqui os dejo los logs:

MBAR: mbar-log-2023-01-20 (02-29-45).txt (2,1 KB) system-log.txt (121,2 KB)

Kaspersky: kasperskylog.txt (76,1 KB)

Comenta como sigue el problema inicial

Saludos

Buenas! Buenas, Windows me dice que ya no hay nada pero a la vez si, explico:

image1023×793 20.1 KB