No me funciona Rkill (parte 1)

Noto una diferencia en este proceso: Va en la etapa 4/4 antes eran cinco etapas, el escaneo de archivos era la etapa 4/5.

7

Buenas tardes:

A las 15:40 (hace 18 minutos) terminó el nuevo escaneo de Kaspersky iniciado esta madrugada.

Acá están los reportes:

La segunda foto muestra que reinició un nuevo escaneo completo. WD detectó de nuevo lo mismo y yo lo volví a poner en cuarentena. Pido permiso para parar este nuevo escaneo, salvo que me digan que sirve de algo :rofl: :rofl: :rofl:

1 me gusta

Vamos a realizar un nuevo procedimiento, le estoy realizando los procedimientos a seguir. En cuanto lo tenga listo te lo mando para que pueda seguir dicho procedimiento que le indique.

Siga estos pasos:

En Windows 10 Ve a Inicio , entramos en Configuración , vamos a Actualización y seguridad y entramos en Seguridad de Windows .

Click en la opción que pone: Abrir Seguridad de Windows, en las opciones que salen click en la opción que pone: Protección antivirus y contra amenazas, en las diferentes opciones que sale clickea en la opción que pone: Protección contra ransomware y "DESMARQUE", "DESTINDE", la opción que pone: Controla el acceso a la carpeta, y "DESHABILITE", "DESTILDE" tiene que estar como se muestra en la siguiente pantalla:

Una vez haya realizado el procedimiento que le he indicado pásele el mismo programa que le acaba de pasar, deje que finalice el Proceso de Análisis por completo y "ELIMINE", TODO, lo que encuentre. Si te sale una notificación del programa diciéndote que tiene que REINICIAR para poder ELIMINAR las AMENZAS y/o INFECCIONES "REINICIE". Si dicho programa [color=red]“NO”[/color] te da la opción de que REINICIE [color=red]“NO”**[/color] reinicie.

Cuando haya terminado de Analizar todo el Proceso de Análisis por completo mándeme el Informe que haya generado dicho programa.

Quedo a la espera de su respuesta!

1 me gusta

Muy bien.

Hice todo como lo indicó y está funcionando Kaspersky.

Ayer encontré una foto de cuando apliqué Dr. Web que no había enviado. Aunque no es el reporte final, salen las detecciones y las acciones que hizo (Obvio que después de la captura apreté “neutralizar”).

Puede verse la fecha en la barra de tareas abajo: 16 de enero 17:36 hrs.

1 me gusta

Cuando termine el proceso de Análisis por completo de dicho programa me manda el “Informe” y una Captura de Pantalla

Quedo a la espera de su respuesta!

1 me gusta

Ya. Terminó. Envío los resultados:

Salvo que todo se mueve mas lento, es similar a escaneos anteriores. WD volvió a alertar de infección y Kaspersky removal volvió a iniciar un escaneo completo como muestra la segunda captura. Me dispongo a detenerlo.

1 me gusta

Vamos a intentar otro procedimiento!

Si tardo en contestar es porque tengo poco tiempo, tenga paciencia que su reparación quedará solucionada.

1 me gusta

Si, lo comprendo. Espero con paciencia.

Le agradezco su valiosa y desinteresada ayuda, y que además me permite aprender a mi.

1 me gusta

0) IMPORTANTE: si el programa: MalwarteBytes` Anti-Malware ya lo tiene Instalao ya no hace falta que lo instale de nuevo

SIGA ESTOS PASOS:

1) Actualiza y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente.

  • Realizas un Análisis Personalizado, marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:
  1. Analizar objetos en memoria

  2. Analizar configuraciòn de inicio y registro

  3. Analizar dentro de los archivos

  • Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
  • Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

Entiendo perfectamente, pero quiero comentarle lo siguiente a ver qué me dice:

La vez pasada que apliqué este análisis con estas mismas características lo suspendi a las 77 horas porque me aburrí. Leí posteriormente en alguno de los post del foro que la razón de la lentitud sería por marcar la casilla análisis en busca de rootkits. ¿Sería conveniente dejarla desmarcada para no estar mas de 3 dias esperando?

Entiendo además que es lo mismo que puede hacer mas rápido el MB Antirootkit que ya apliqué en la primera fase

2 Me gusta

Tardó tantas horas en Analizar porque HABILITASTE la opción que pone: Análisis en busca de Rootkits. cuando esa opción la tiene que "DESHABILITAR", "DESTILDAR" dicha opción.

Realice el Proceso de Análisis siguiendo el Manual de Uso que le he dejado para saber cómo utilizar y configurar correctamente el programa. IMPORTANTE: deshabilite la opción previamente que le he comentado!

Una vez finalizado dicho proceso de Análisis por Completo me manda el Informe que genere dicho programa.

Quedo a la espera de su respuesta!

1 me gusta

Ya terminó el análisis. No se si estar sorprendido o intrigado.

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 22/1/22
Hora del análisis: 20:17
Archivo de registro: 75c5415e-7bd9-11ec-ba77-705a0fcd1b43.json

-Información del software-
Versión: 4.5.2.157
Versión de los componentes: 1.0.1562
Versión del paquete de actualización: 1.0.50171
Licencia: Gratis

-Información del sistema-
SO: Windows 10 (Build 19044.1466)
CPU: x64
Sistema de archivos: NTFS
Usuario: LAPTOP-AF7LB9S1\Pablo Iñiguez Araven

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 776615
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 6 hr, 30 min, 50 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Como no detectó nada, no me pidió reiniciar.

Apagué y volví a encender y WD volvió a detectar la misma amenaza y la puse en cuarentena.

Quedo a la espera de indicaciones.

Estuve revisando nuevamente el manual de Malwarebytes y el programa propiamente tal, y encontré que hay varias exclusiones que hice en el pasado de PUPs de baja peligrosidad, la mayoría relacionados con uTorrent.

No figuraba allí el MSBuild que solía aparecer infectado. Sin embargo, para asegurarme que no lo haya detectado por algún error de mis anteriores escaneos, decidí desinstalar y reinstalar el programa de malwarebytes.

Una vez hecho esto, volví a iniciar un nuevo escaneo con los mismos parámetros fijados en sus instrucciones.

No ha concluído aún, pero ya ha detectado al menos una infección.

Listo. Solo salen los PUPs, pero los puse en cuarentena igual.

No me pidió reiniciar.

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 23/1/22
Hora del análisis: 5:32
Archivo de registro: 051ac700-7c27-11ec-afc3-705a0fcd1b43.json

-Información del software-
Versión: 4.5.2.157
Versión de los componentes: 1.0.1562
Versión del paquete de actualización: 1.0.50185
Licencia: Gratis

-Información del sistema-
SO: Windows 10 (Build 19044.1466)
CPU: x64
Sistema de archivos: NTFS
Usuario: LAPTOP-AF7LB9S1\Pablo Iñiguez Araven

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 776833
Amenazas detectadas: 5
Amenazas en cuarentena: 5
Tiempo transcurrido: 8 hr, 29 min, 39 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 1
PUP.Optional.BundleInstaller, HKU\S-1-5-21-3719264506-3836934912-673182883-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\uTorrent, En cuarentena, 510, 977807, , , , , , 

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 4
PUP.Optional.BundleInstaller, C:\USERS\PABLO IñIGUEZ ARAVEN\APPDATA\ROAMING\UTORRENT\UPDATES\3.5.5_46090.EXE, En cuarentena, 510, 977807, 1.0.50185, , ame, , 316C70E0D79DBC9C1430AD49FF56BD6D, 628E54FD63A30DA509B1E6006639BFBB457C753D5E029CA0EDA32197B06EBB58
PUP.Optional.BundleInstaller, C:\USERS\PABLO IñIGUEZ ARAVEN\APPDATA\ROAMING\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk, En cuarentena, 510, 977807, , , , , AA90C919789670933399F17F7F9F2B54, EF46F4F9A853C9A909BF421CACEAC50F09150097C6AE15A78754A31821C0B440
PUP.Optional.BundleInstaller, C:\USERS\PABLO IñIGUEZ ARAVEN\APPDATA\ROAMING\Microsoft\Windows\Start Menu\µTorrent.lnk, En cuarentena, 510, 977807, , , , , 41357E3F50625DD43584D4EC24233E37, 462DCFF193E0518B8D7E00EA5171314D96F97CD113A3A16FDC6324BF51510A84
PUP.Optional.BundleInstaller, C:\USERS\PABLO IñIGUEZ ARAVEN\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE, En cuarentena, 510, 977807, 1.0.50185, , ame, , 316C70E0D79DBC9C1430AD49FF56BD6D, 628E54FD63A30DA509B1E6006639BFBB457C753D5E029CA0EDA32197B06EBB58

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Yo estaba esperando detectar al menos este virus:

Trojan.Agent, C:\USERS\PABLO IñIGUEZ ARAVEN\APPDATA\LOCAL\TEMP\MSBUILD.EXE, Sustituido, 495, 221331, 0.0.0, , ame, , 8FDF47E0FF70C40ED3A17014AEEA4232, ED9884BAC608C06B7057037CC91D90E4AE5F74DD2DBCE2AF476699C6D4492D82

pero me doy cuenta que no lo encontró porque, a diferencia de los escaneos del 13 y 18 de enero mas arriba reportados, y estos dos ultimos de ayer y hoy, es que en los primeros la opcion rootits estaba activada. Cuando utilicé MB anti rootkit beta también fueron detectadas dos infecciones en el mismo archivo.

1 me gusta

No se preocupe, aún no hemos terminado de desinfección de su ordenador.

Le pongo los pasos a seguir.

Si tardo en contestar es porque dispongo de poco tiempo. No se preocupe, su reparación quedará resuelta.

1 me gusta

Disculpad mi intromisión. Con permiso de @chicloi y @Stubborn

Correcto. Muy probablemente esa lentitud y el tardar tantas horas en realizar el Análisis Personalizado del MB fue al marcar la casilla de Rootkits. Pues esta puede hacer que el programa se cuelgue y no finalice el análisis o hacer que este tarde muchísimo (como lo ha sido en tu caso 77 horas y subiendo…).

Sí como :+1: ya te dijo el compañero @chicloi

Si se sospecha que hay Rootkits, hay mejores formas de buscar Rootkits en una máquina. Que de hecho, ya veo que habéis efectuado algunos procedimientos de este tipo.

Salu2.

2 Me gusta

EN BUSCA / ELIMINACIÓN DE MALWARE

MUY INPORTANTE:

DEBE DE LEER ESTAS INDICACIONES QUE LE DEJO A CONTINUACIÓN AL PIE DE LA LETRA HASTA EL FINAL Y UNA VEZ LEIDAS DEBE DE SEGUIR LOS PASOS QUE SE LE INDICAN.

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

Inicia de nuevo el equipo desde el Modo Seguro – con funciones de Red, de Windows. Si no funcionasen los métodos que se explican en el anterior post, prueba estos otros. Más concretamente, primero el 3 (Seleccionando Red en lugar de Mínimo) y si no el 2 (también Red).

Una vez iniciado en este modo, empiezas haciendo todos los pasos que te pondré a continuación.

  1. Descarga y ejecuta RKill, más concretamente debes de descargar la que está renombrada bajo el nombre de iExplore.exe. Para evitar el bloqueo de posibles malwares que pueda haber en tu equipo. Una vez que esta haya sido ejecutada, es muy importante no reiniciar el sistema hasta que te lo solicite yo o alguno de los programas de desinfección de los que estemos utilizando.

¿Me entiendes?

Si por ejemplo, incluso con Rkill, Malwarebytes AntiMalware o la herramienta que sea que te he pedido que utilices, ves que se bloquea y que al cabo de un buen rato no responde. Pues pasas a la siguiente y me informas de ello. Y así con todas. ¿OK? ¿Se entiende?

En primer lugar debes de descargar y ejecutar RKILL y dejas que acabe por completo y seguidamente ejecutar el programa: MalwareBytes y dejar que analice por completo y me mandas ambos Informes cuando acaben ambos programas.

En primer lugar debes de descargar y ejecutar RKILL y dejas que acabe por completo y seguidamente ejecutar el programa: Dr.WebCureit! y dejar que analice por completo y me mandas ambos Informes cuando acaben ambos programas.

  1. Descarga y ejecuta RKill, más concretamente debes de descargar la que está renombrada bajo el nombre de iExplore.exe. Para evitar el bloqueo de posibles malwares que pueda haber en tu equipo. Una vez que esta haya sido ejecutada, es muy importante no reiniciar el sistema hasta que te lo solicite yo o alguno de los programas de desinfección de los que estemos utilizando.

  2. 1) Actualiza y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente. (Como este programa ya lo tiene instalado en su ordenador “NO” hace falta que lo instale de nuevo.)

  • Realizas un Análisis "Personalizado", marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:
  1. Analizar objetos en memoria
  2. Analizar configuracion de inicio y registro
  3. Analizar dentro de los archivos
  • Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
  • Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

En cuanto finalice dicho proceso de analizar por completo me manda dicho Informe que le he solicitado!

Quedo a la espera de su respuesta!

1 me gusta

Buen día, y muchas gracias.

Por como está redactado me queda la duda si debo aplicar R Kill y malwarebytes solamente o si también debo aplicar Dr. Web?

Y si este ultimo fuera el caso, en qué orden? y si entre uno y otro debo volver a ejecutar rKill?.

Un saludo!

Debe aplicar RKill y Malwarebytes y NO reiniciar hasta que te lo pida el programa: Malwarebytes, sólo Reinicias si te lo pide el programa: Malwarebytes si NO te pide reiniciar dicho programa, NO reinicies, sólo reinicias si te lo pide el programa: Malwarebytes.

Cuando hayas realizado dicho procedimiento me mandas el Informe que genere Malwarebytes.

Quedo a la espera de su respuesta!

1 me gusta

Debe aplicar en primer lugar RKill y cuando termine dicho procedimiento inmediatamente aplicar el programa: Malwarebytes

1 me gusta