No me funciona Rkill (parte 1)

La primera alarma en Windows Defender fue el 10 enero a partir de las 14:44 con los siguientes infecciones:

  • PWS:MSIL/RedLine.GG!MTB
  • Trojan:Win32/Skeeyah
  • Trojan:Win32/Casur.A!cl

Apliqué Rkill y tras esto Malwarebytes, Dr Web CureIT, ESET online y Karspesky. online

Todos tuvieron detecciones.

Tras ello apliqué CCleaner, AdwCleaner, TDSS Killer, Rogue Killer, Junkware removal tool y Glary Utilities.

Estaba en la ultima etapa ya con esperanzas de haber concluido con éxito, y me salta una nueva alarma de WD del virus RedLine. La puse en cuarentena y me resigné a empezar todo el proceso de nuevo pero siendo mas cuidadoso de hacer todos los pasos exactamente como dicen los manuales.

Lo primero fue el Rkill y ahi me percaté que algo no anda bien, porque se detiene en un paso intermedio y no sigue avanzando aunque pasen horas, según muestra el resultado:

"Rkill 2.9.1 by Lawrence Abrams (Grinler)

Copyright 2008-2022 BleepingComputer.com More Information about Rkill can be found at this link: http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 01/19/2022 07:53:36 AM in x64 mode. Windows Version: Windows 10 Home Single Language

Checking for Windows services to stop:

  • No malware services found to stop.

Checking for processes to terminate:

  • No malware processes found to kill.

Checking Registry for malware related settings:

  • No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

Me fijé que en los ejemplos, después de este paso hay un par mas y al final señala haber concluido y da hora y fecha. Que puede haber pasado?

Agradecido de antemano les saluda

Stubborn

1 me gusta

En un segundo intento del día de hoy, encontró un proceso y lo interrumpió, pero sigue quedándose pegada sin finalizar.

Además espero que resulté el fomato de los code.

Program started at: 01/19/2022 09:20:30 AM in x64 mode.
Windows Version: Windows 10 Home Single Language 

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * C:\Users\PABLOI~2\AppData\Local\Temp\IXP000.TMP\UpdateBrowserForApp.exe (PID: 9108) [T-HEUR]

1 proccess terminated!

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:
1 me gusta

Hola, buenas @Stubborn bienvenido al foro. Al ser nuevo te recomiendo que te leas las políticas de este. No porque hayas hecho nada mal, sino para saber más acerca del funcionamiento de este.

Voy a intentar ayudarte a resolver tu problema pero antes necesito que me respondas a unas preguntas:

  1. Desde cuando te está pasando el problema que comentas, cuéntame un poco más acerca de ello.
  2. Dices que le has pasado los siguientes programas: Dr.Web Cureit!; MalwareBytes; Eset Online scanner; Kaspersky; TdssKiller, RogueKiller; Junkware Removal Tool… pues bien, quiero que me envíes todos los "Informes" que hayan generado dichos programas para poder revisarlo.
  3. ¿Has descargado algún programa últimamente de alguna página poco fiable?

Para poder enviarme dichos "Informes" que le he solicitado siga estos pasos que le dejo a continuación:

Aquí le dejo los "Códigos" que tiene que poner en dicho ejemplo que se refleja para poder seguir correctamente el procedimiento que se menciona previamente en el ejemplo para que me pueda enviar correctamente dichos "Informes" de los programas que le he solicitado:

[code]

[/code].

Quedo a la espera de su respuesta!

Esto empezó con una película que descargué por utorrent en la fecha 10 u 11 de enero 2022 y que en lugar de abrir con un reproductor abría un ejecutable. La persona que lo hizo no lo pensó mas y aceptó ejecutarlo. No tengo claro que formato era porque Windows los oculta y en su minuto solo me ocupé de elimininarla lo mas pronto posible.

Trataré de recuperar los registros que pueda. Borré varios y apliqué el KpRm al final.

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 13/1/22
Hora del análisis: 12:32
Archivo de registro: f3a0ee1c-7485-11ec-a8f6-705a0fcd1b43.json

-Información del software-
Versión: 4.5.0.152
Versión de los componentes: 1.0.1538
Versión del paquete de actualización: 1.0.49749
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 19044.1466)
CPU: x64
Sistema de archivos: NTFS
Usuario: LAPTOP-AF7LB9S1\Pablo Iñiguez Araven

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Cancelado
Objetos analizados: 600769
Amenazas detectadas: 3
Amenazas en cuarentena: 3
Tiempo transcurrido: 77 hr, 15 min, 54 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 3
Trojan.Agent, C:\USERS\PABLO IñIGUEZ ARAVEN\APPDATA\LOCAL\TEMP\MSBUILD.EXE, Sustituido, 495, 221331, 0.0.0, , ame, , 8FDF47E0FF70C40ED3A17014AEEA4232, ED9884BAC608C06B7057037CC91D90E4AE5F74DD2DBCE2AF476699C6D4492D82
Malware.Heuristic.1003, C:\PROGRAMMI\WINAMP3\WACS\CNV_FLACPCM.WAC, En cuarentena, 1000001, 0, 1.0.49749, 0000000000000000000003EB, dds, 01596374, FDA276CE8854543365708BA6CB550461, 2FEAD74B08194F28A07FB4131024C8054640B6BE4C7D9618F0A6BA7B479F4736
Spyware.PasswordStealer.MSIL, C:\USERS\PABLO IñIGUEZ ARAVEN\APPDATA\LOCAL\TEMP\WICJHQRKKWMGAXFSVZNEWPORNRED.EXE, Se eliminará al reiniciar, 7405, 933888, 1.0.49749, 3840FD47CA9E34132661C283, dds, 01596374, E140682F2E7B327BE89E3CAEA83CA878, DA777D3C5074ED900562D056E9E75526D922EA797BADC0CDA4A1208D55B5AF63

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)
Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 18/1/22
Hora del análisis: 18:04
Archivo de registro: 3038f4b2-78a2-11ec-a169-705a0fcd1b43.json

-Información del software-
Versión: 4.5.0.152
Versión de los componentes: 1.0.1538
Versión del paquete de actualización: 1.0.49941
Licencia: Gratis

-Información del sistema-
SO: Windows 10 (Build 19044.1466)
CPU: x64
Sistema de archivos: NTFS
Usuario: LAPTOP-AF7LB9S1\Pablo Iñiguez Araven

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Cancelado
Objetos analizados: 239196
Amenazas detectadas: 1
Amenazas en cuarentena: 1
Tiempo transcurrido: 2 hr, 50 min, 26 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 1
Trojan.Agent, C:\USERS\PABLO IñIGUEZ ARAVEN\APPDATA\LOCAL\TEMP\MSBUILD.EXE, Sustituido, 495, 221331, 0.0.0, , ame, , 8FDF47E0FF70C40ED3A17014AEEA4232, ED9884BAC608C06B7057037CC91D90E4AE5F74DD2DBCE2AF476699C6D4492D82

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)
1 me gusta

Le agrego que ahora al encender el computador aparece este mensaje:

host

En el primer registro de Malwarebytes del 13 de enero podría sorprender que el análisis fue Cancelado, pero cabe notar también que ya llevaba 77 hrs. seguidas y los 3 positivos de infección se obtuvieron en las 3 primeras horas de escaneo. Allí 3 días después, opté por cancelarlo y escanear con otro antivirus. Kaspersky online tardó menos de 12 horas en escanear el PC completo y encontró 6 infecciones mas. Lamento no haber guardado esos registros.

Quisiera agregar que había puesto a malwarebytes como antivirus por el periodo de prueba, pero opté por sacarlo cuando creí resuelto el problema porque en el proceso me había desinstalado uTorrent y aTube Catcher sin siquiera preguntar ni advertir nada. Esta mañana cuando volví a tratar de ponerlo de nuevo no me da la opción salvo de pago.

Por ultimo agregaria que mientras estuvo Malwarebytes en versión de prueba bloqueaba un sitio web al que el virus trataba de comunicarse:

Este es el último reporte de WD:

1 me gusta

Acabo de ver todos los Informes que me has mandado y efectivamente, tu ordenador está infectado! Vamos a desinfecatarlo, tienes que seguir TODOS los pasos que te ponga al pie de la letra y sin saltarte ninguno.

Sigue estos pasos:

descarga todos estos programas en el ESCRITORIO de tu ordenador, descárgalos pero NO los inicie y aplique su Manual de Uso en cada uno de ellos que te dejo a continuación. Pásele cada programa por separado y cuando termine el primer programa el proceso de Análisis "ELIMINE" "TODO" lo que encuentre y realice el mismo procedimiento con el resto de programas en el orden indicado. (Es "MUY IMPORTANTE" que descargues "TODOS" estos programas en el "ESCRITORIO" de tu ordenador y "NO" en otro sitio):

"IMPORTANTE": Los programas que ya tenga instalado en su ordenador de los que yo le haya comentado por aquí NO hace falta que los instale de nuevo simplemente aplique los pasos a seguir con su respectivo Manual de Uso.

Url descarga programa: “Kaspersky Virus Removal Tool” https://devbuilds.s.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

Manual de Uso: Url de Descarga: “Kaspersky Virus Removal Tool” y sigue los pasos por el orden establecido y como se indican en dicho Manual: Manual de Kaspersky Virus Removal Tool

Url de Descarga TdssKiller: https://latam.kaspersky.com/downloads/tdsskiller

descarga el que pone: TDSSKiller Version 3.1.0.28

el que pone esto:

el que pone EXE, 4,82 MB

Aquí te dejo su **Manual de Uso: TDSSKiller Version 3.1.0.28 ** Manual de TDSSKiller - nº 2 por SanMar

Ahora siga este paso! Descarga e Instala el siguiente programa: MALWAREBYTES ANTI-ROOTKIT BETA y siga su: Manual de Uso y elimine TODAS las amenazas que encuentre:

Url de Descarga: MALWAREBYTES ANTI-ROOTKIT BETA:Malwarebytes Anti-Rootkit BETA es una tecnología puntera para la detección y eliminación de los rootkits maliciosos más agresivos | Malwarebytes

Manual de Uso: MALWAREBYTES ANTI-ROOTKIT BETA: Manual Malwarebytes Anti-Rootkit Beta

Mándeme dicho Informe que genere ó una Captura de Pantalla cuando acaben de Analizarse por Completo.

Para mandarme dichos Informes siga este ejemplo:

Aquí le dejo dichos códigos para que me pueda enviar dicho Informe siguiendo el ejemplo que le he puesto:

[code]

[/code].

Quedo a la espera de su respuesta!

IMPORTANTE:

Aplique cada uno de los "Manuales de Uso" que le he dejado a continuación de cada programa y sígalos al pie de la letra y en el orden indicado y "ELIMINE", "TODO", lo que encuentre.

Cuando haya terminado cada uno de los programas del Proceso de Análisis me manda sus respectivos "Informes" y una Captura de Pantalla:

A la espera de su respuesta!

Muchas gracias!

Manos a la obra.

Tengo una duda si.

A veces los programa dan la opcion de curar o poner en cuarentena, ademas de eliminar. Aun en esos casos elimino?

1 me gusta

Eureka!

Aunque había eliminado la Karpersky tool, al reinstalarla, me aparece el registro del scan anterior:

1 me gusta

Respondiendo a tu pregunta, los programas que den la opción de PONER EN CUARENTENA, los pones en Cuarentena y los programas que den opción a Eliminar le das a la opción de Eliminar y los programas que den opción a Curar le das a la opción de Curar.

Sigue "todos los pasos que te he Indicado" con sus Respectivos "Manuales de Uso" al pie de la letra y "ELIMINA", “TODO”, lo que encuentre!!!

1 me gusta

Termino el Kaspersky removal Tool. Pero hubo una anomalía porque al intentar limpiar y reiniciar, en vez de reiniciar el coputador reinició el antivirus . Asi que tuve que forzar el apagado.

Luego al reiniciar, WD arrojo una infección y apreté quitar.

Tambien notificó un intento de cambios a la memoria protegida:

1 me gusta

Luego apliqué TDSS Killer y arrojó “No Threats”, pero no pude pasar los reportes (que son extensos) a txt:

TDSS

1 me gusta

Buenos Días Chicloi!

Este es el reporte de TDSS killer. Primero me demoré en encontrarlo y luego en encontrar la forma de subirlo por su extensión, además que superé el máximo de posteos del primer día! :sweat_smile: El MB antirootkit beta esta por terminar…

TDSSKiller.3.1.0.28_20.01.2022_02.02.32_log.txt (304,4 KB)

Hola de nuevo.

El Malwarebytres anti Rootkit lleva 4 ó 5 horas asi, detenido.

Al principio se movían unos puntitos pero ya ni eso.

Parece que este malware logra afectar a los programas que tratan de eliminarlo…

1 me gusta

Déjalo así hasta que termine, "NO" interrumpas el programa! Acabar acabará seguro! Cuando acabe el proceso de Análisis “ELIMINA”, "TODO", lo que encuentre "desde la misma opción que te dará el programa" y si dicho programa te pide "Reiniciar" para poder eliminar las amenazas encontradas "REINICIAS", pero si dicho programa "NO" te pone nada de "REINICIAR" pues entonces "NO" reinicies, sólo "REINICIAS" si te lo pide dicho programa.

Cuando termine el Proceso de Análisis por Completo me mandas el "Informe" y una "Captura de Pantalla".

1 me gusta

Terminó el anti-rootkit beta.

Me pidió reiniciar. Los registros son estos:

mbar-log-2022-01-20 (02-42-19).txt (2,5 KB)

system-log.txt (26,8 KB)

Cabe agregar que como ya es habitual, al reiniciar Windows Defender volvió a informar de un ataque grave y a sugerir quitar, pero luego lo dejó en cuarentena:

5ctnB

1 me gusta

Perfecto! Estoy revisando los Informes.

Quiero asegurarme de una cosa! Pásale de nuevo el siguiente programa que le has pasado correctamente anteriormente. El programa que quiero que le pases se llama: Kaspersky removal Tool y sigue su Manual de Uso que te he dejado en este tema al pie de la letra y "ELIMINAS", "TODAS," las "AMENAZAS" y/o "INFECCIONES" que encuentre en la opción que te salga en el mismo programa. Si dicho programa te pide REINICAR para poder ELIMINAR las amenazas y/o Infecciones que encuentres "Reinicias", pero si no te dice nada dicho programa de que "REINICIES" "NO" reinicies, sólo si dicho programa te lo pide.

Una vez finalizado el Proceso de Análisis por completo me envías el "Informe" que genere dicho programa y una "Captura de Pantalla".

Quedo a la espera de tu respuesta!

1 me gusta

Quisiera agregar los reportes del Kaspersky, porque hubo dos procesos adicionales que hizo “solo”:

Buenos días Chicloi:

Estoy muy agradecido por la ayuda que me estás prestando.

Hice lo que me pediste y al terminar de escanear Kaspersky me mostró el botón de limpiar y reiniciar, lo apreté y nuevamente lo que hizo fue reiniciar un escaneo. No hice nada a la espera de que pasaría, y esta vez a los 2 ó 3 minutos si reinició el computador.

De vuelta del reinicio Kaspersky se inició solo y empezó un nuevo escaneo que ya lleva casi una hora. No lo he detenido a la espera de instrucciones.

Observé que al dar click en la pestaña cuarentena, no figura el virus supuestamente detectado en este escaneo ni en el primero, del 19 de enero, sino solo el anterior, que detectó el 17 de enero, la primera vez que utilicé la herramienta, antes de consultarles a ustedes en forospyware.

Te envío las capturas de pantalla.

Mi impresión es que esto podría continuar ad infinitum.

PD: Al reiniciar, Windows Defender una vez mas me notificó de una infección grave y la volví a poner en cuarentena

5

Ya entendí, se trata de un virus distinto. El de ahora no figura en cuarentena porque fue desinfectado y curado.