PC infectado con Ground.exe

Hola, antes que nada, quiero dejar claro que no soy experto ni mucho menos, soy un simple aficionado que he aprendido por ensayo y error y buscando en internet. Por lo tanto, al ser empírico mi conocimiento, hay muchas cosas de las que desconozco su origen, explicación y/o funcionamiento exacto. Yendo a mi consulta, hace poco descargué una actualización del programa WinRAR, la versión 5.91, pero no tomé la precaución de hacerlo desde la página oficial, por lo que creo que al ejecutar la actualización introduje un virus en mi PC. Y es el peor que he metido en él, ya que los anteriores los eliminé reinstalando el clon que realicé al instalar el SO y los programas más importantes. Pero éste me ha corrompido archivos que tenía en las particiones que realicé para guardar todo lo que no fuera del SO. Y lo peor es que, antes de conocer su existencia, conecté los dos discos duros externos que tengo con toda mi información respaldada. El virus es el Ground.exe, que cambia el nombre de los ejecutables agregándole una “g” delante y los oculta, y a los originales los corrompe y quedan todos de 524 Kb. También he encontrado otros archivos, MANIFEST y .avi corrompidos. Descargué e hice correr un antivirus, el ScanGuard, que eliminó el archivo original (el Ground.exe, que se aloja en C:\Users\Nombre\AppData\Roaming y en algún otro directorio), ya no lo veo en los procesos del Administrador de Tareas al iniciar el SO (Windows 7 Ultimate). No eliminó los archivos creados cambiando el nombre del ejecutable, agregándole una g delante y ocultándolos, ni en la partición del SO ni en las otras (tengo el log del proceso). Mi mayor duda y consulta es: 1°: soluciono totalmente el problema en el SO reinstalando el clon fresco?; 2°: al eliminar el virus en el SO, los archivos corrompidos en las otras particiones, quedan en un estado de “latencia” (no sé si ése es el término) hasta que sean activados ejecutándolos?, o se activan autónomamente y se siguen reproduciendo? digo ésto porque yo los he estado eliminando manualmente desde el mismo PC que tuvo el virus (desactivando las opciones de vista, de ocultar archivos del sistema, ocultar las extensiones y no mostrar archivos ocultos), para no arriesgar a conectar los HDD externos en otra computadora. Como precaución, por si los archivos corrompidos en los discos duros tienen un autoejecutable, presiono mayúscula izquierda para que no se ejecute el autorun, que no sé si es totalmente efectivo y si funciona también a la inversa (es decir, que no se trasladan y ejecutan archivos con virus que están en el dispositivo, en el USB). 3°: Es correcto que los archivos que están dentro de un compresor - RAR, ISO, IMG, GHO, etc. - no son alcanzados por los virus? Yo lo he asumido como cierto y he comprimido todos los ejecutables que tengo en otras computadoras, y he conservado los que tengo ya comprimidos como no corrompidos. Les pido me disculpen por la extensión de mi consulta, pero he tratado de dejar clara la misma. Agradezco desde ya su atención.

Hola @juce1208

Te has pescado un buen gusano infector.

Por lo general los archivos comprimidos que ya lo están cuando llega la infección no se infectan, ahora si los comprimes después de haber sido infectados, estas posiblemente comprimiendo también la infección.

No es eficaz ni seguro el método que utilizas.

Entiendo todos tus interrogantes, pero lo recomendable antes de reinstalar con el clon y mucho mejor es limpiar todo primero, y una vez seguro de ello si podrás reinstalar.

Necesito que con mucha paciencia y respetando estrictamente el orden de los pasos realices lo siguiente:

Paso 1:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga, instala y/o actualiza a las siguientes herramientas:

3.- Ejecutas respetando el orden los pasos:

USBFix:

  • Conecte todos sus dispositivos extraibles, USB/Pendrive\Micro SD, etc.
  • Ejecute USBFix.exe
  • Una vez conectados todos sus dispositivos presione en "Ejecutar análisis."
  • Posteriormente seleccione “Full Análisis” y espere a que termine.
  • En caso de detectar amenazas, seleccione todo los elementos detectados y presione "Limpiar todo"
  • Si le pidiera reiniciar el sistema, Acepte .
  • Una vez que se reinicie el equipo, se abrirá el reporte de USBFix indicando lo detectado y lo eliminado.
  • Copie y pegue entero dicho reporte en su próxima respuesta (en caso de que no se abra, el reporte se guarda con el nombre de UsbFix_Report.txt en el Escritorio)

Una vez terminado el análisis, con todas las unidades conectadas, vuelva a ejecutar USBFix como Administrador, y vacune los mismos, siguiendo los pasos del Manual.

Malwarebytes

  • No olvides actualizarlo.
  • Lee detenidamente su Manual para saber como usarlo.
  • Realiza un Análisis Personalizado.
  • Envía a cuarentena todo lo que te encuentre.
  • Reinicias el Sistema.

Paso 2:

Luego de reiniciar y con las unidades externas conectadas:

1.- Análisis del PC con Eset Online Scaner : Manual de Uso lee las instrucciones para salvar el reporte.

2.- Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso

  • Este no da reporte cuando te encuentres, si es que lo hace con alguna infección, tomas una imagen y la subes.

Elimina todo lo que te detecten.

Nota Importante:En tu próxima respuesta debes pegar los reportes de Malwarebytes, USBFix y los Antivirus Online.

Los analisis podrán demorar bastante dependiendo de la cantidad de archivos que tengan para analizar, ten paciencia.

Guía: ¿Como Pegar reportes en el Foro? Utiliza el Método 4.

Salu2