PC secuestrado por virus "S-1-5-21-..." instalado en $Recycled.bin

Hace aproximadamente 15 días, desde que perdí acceso a una carpeta, y detecté que tenia intervenida la papelera por $Recycled.bin, detecté una carpetas llamada “S-1-5-21-1129585265-713405196-2616796127-1001”. Al parecer cada vez que intenté eliminar $Recycled.bin , estas carpetas que comenzaron a replicarse la infección se apoderó del equipo tomando Control Total del disco C y de los usuarios y carpetas. Ya no puedo realizar busquedas, cambios, y mucho menos volver a tomar el control del PC. (Un HP Pavillon Nuevo. Con Window 10). La infección paso a mi disco duro externo USB, y sus particiones. Tambien a unidades pendrive USB.

IMPORTANTE: Iniciando el PC desde una unidad Booteable con la aplicación “Active File Recovery”, exploré el PC buscando “S-1-5-21-1129585265-713405196-2616796127-1001” y aparecieron másde 1.700 resultados de carpetas y archivos infectados. Además aparecieron otras teminadas en el numero -1002, -500 y otros.

Sin embargo al examinar con Eset Nod32 aparecieron muchos resultados de archivos infectados que no se pudieron abrir por acceso denegado. Eset Antivirus- Primera exploracion (22-02-21).txt (39,1 KB)

Y luego al examinar con la ultima version de Malwarebytes hubo cero resultados. Es decir el virus se oculta completamente o no permite ser borrado. Malwarebytes analisis 1.txt (1,7 KB)

La web esta plagada de preguntas y formulas para eliminar este peligroso virus y al parecer todos han terminado teniendo que formatear sus computadoras. ya que incluso vuelve a aparecer despues de un punto de recuperacion y de todo intento y vías de eliminación

Agradeceré considerar mi caso y como referencia puedo indicar un caso del mismo virus que al parecer fue solucionado en su foro: Virus-que-no-se-pueden-eliminar/17032

Muchas gracias

Hola buenas @Turroni

Esto se debe a que no has realizado correctamente el Análisis con Malwarebytes por eso no te aparecen todas las infecciones que deben de aparecer.

:one: EN BUSCA / ELIMINACIÓN DE MALWARE

(Mantén conectados todos tus dispositivos externos que tengas como: USBs, discos duros externos, etc).

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluido el disco duro externo USB que me has dicho anteriormente.

Inicia de nuevo el equipo desde el :arrow_forward: Modo Seguro – con funciones de Red, de Windows. Si no funcionasen los métodos que se explican en el anterior post, prueba estos otros. Más concretamente, primero el 3 (Seleccionando Red en lugar de Mínimo) y si no el 2 (también Red).

Una vez iniciado en este modo, empiezas haciendo todos los pasos que te pondré a continuación.

P.D.: Si el quipo no te arrancase en Modo seguro (cosa que puede pasar), me lo dices e intentaremos arreglar el sistema para que arranque en Modo Seguro. Pues hay malwares que ya se encargaran de que no puedas iniciar en Modo Seguro.

Realizas lo siguiente:

  1. Descarga y ejecuta RKill, más concretamente debes de descargar la que está renombrada bajo el nombre de iExplore.exe. Para evitar el bloqueo de posibles malwares que pueda haber en tu equipo. Una vez que esta haya sido ejecutada, es muy importante no reiniciar el sistema hasta que te lo solicite yo o alguno de los programas de desinfección de los que estemos utilizando.

Me explico, por ejemplo: has iniciado la máquina en Modo Seguro con funciones de Red, has ejecutado Rkill y seguidamente realizas un Análisis con Malwarebytes. Este te detecta infecciones y te pide reiniciar la máquina para poder finalizar exitosamente su desinfección. Seguidamente, yo te he indicado que ejecutes por ejemplo el ESET Online Scanner, pues bien como no hemos acabado de desinfectar la máquina y estamos realizando el proceso de desinfección, y has tenido que reiniciar, ya que te lo ha pedido Malwarebytes pues debes de ejecutar nuevamente Rkill y después acto seguido el ESET ONline.

¿Me entiendes?

Si por ejemplo, incluso con Rkill, Malwarebytes AntiMalware o la herramienta que sea que te he pedido que utilices, ves que se bloquea y que al cabo de un buen rato no responde. Pues pasas a la siguiente y me informas de ello. Y así con todas. ¿OK? ¿Se entiende?

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

0) Descarga Ccleaner Aquí te dejo su manual: Manual de CCleaner , para que sepas como usarlo y configurarlo correctamente.

Lo instalas y lo ejecutas. En la pestaña Limpieza personalizada dejas la configuración predeterminada. Haces clic en Analizar y esperas a que termine. Seguidamente haz clic en Ejecutar Limpiador. Clic en la pestaña Registro > clic en Buscar Problemas esperas que termine. Finalmente clic en Reparar Seleccionadas y realizas una Copia de Seguridad del registro de Windows.

1) Descarga IFS

  • Desactiva tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
  • Cierra todos los programas que tengas abiertos.
  • Ejecuta IFS.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
  • Pulsar en el botón Analizar, y espera a que se realice el proceso. Puede tardar varios minutos.
  • Al terminar se abrirá un informe, lo adjuntas en tu próxima respuesta (puedes encontrarlo en C:\IFS.log).
  • Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

2) Descarga, instala, actualiza y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente.

  • Realizas un Análisis Personalizado, marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:

1. Analizar objetos en memoria

2. Analizar configuracion de inicio y registro

3. Analizar dentro de los archivos

  • Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
  • Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

3) Descarga Adwcleaner en el escritorio.

  • Desactiva tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
  • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
  • Pulsar en el botón Analizar Ahora, y espera a que se termine el análisis. Inmediatamente pulsa sobre el botón Iniciar Reparación.
  • Espera a que termine y sigue las instrucciones que te aparezcan. Si te pidiera Reiniciar, pues reinicias el ordenador pulsando en Aceptar.
  • Si no encuentra nada, pulsa en Omitir Reparación.
  • El log lo encontrarás en la pestaña Informes, volviendo a abrir el programa, si es necesario o en la siguiente ubicación: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
  • Para más información aquí te dejo su manual: Manual de Adwcleaner.
  • Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

4) Descarga JunkwareRemoval Tool en el escritorio.

  • Ejecuta JRT.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
  • Presiona cualquier tecla para continuar y espera pacientemente a que termine su proceso.
  • Al finalizar, se guardará el siguiente registro en el escritorio: JRT.txt.

5) Ejecuta un Full Análisis con UsbFix y adjuntas su log. Aquí te dejo su manual: Manual de UsbFix , para que sepas como usarlo y configurarlo correctamente. Recuerda conectar todos tus dispositivos extraíbles (USBs, discos duros, Micro SD, etc).

  • En caso de detectar amenazas, selecciona todo los elementos detectados y presiona “Limpiar todo
  • Si te pide reiniciar el sistema, Aceptas.
  • Una vez que se reinicie el equipo, se abrirá el reporte de USBFix indicando lo detectado y lo eliminado. Pon el reporte en tu próxima respuesta (en caso de que no se abra, el reporte se guarda con el nombre de UsbFix_Report.txt en el Escritorio).

Una vez terminado el análisis, con todas las unidades conectadas, vuelve a ejecutar USBFix como Administrador, y vacunas los mismos, siguiendo los pasos del Manual.

Nota: UsbFix creará una carpeta oculta llamada “$RECYCLE.BIN” “autorun.inf” en cada partición y cada unidad USB que se encuentre conectado al momento de ejecutar este. No elimines estas carpetas de ningún lugar en el que se hayan creado, ya que estas ayudará a prevenir y proteger tus dispositivos extraíbles y particiones de futuras infecciones.

6) Utiliza nuevamente CCleaner tal como te dije en el punto 0.

Pegas los reportes de IFS, Malwarebytes, AdwCleaner, JRT y UsbFix y comentas como va el problema inicial planteado por el cual abriste este tema. También responde a las preguntas que te haya realizado a lo largo de este Post.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

Hola Marr0n ! Muchas gracias por la pronta respuesta. Estoy claro y seguiré paso a paso el proceso. Comenzaré mañana cuando tenga acceso a una red rapida.

Un par de dudas antes de comenzar:

  1. El virus me desconecta de Internet esporadicamente. Tambien ralentiza la bajada de sofware. Aun así, de todos modos, debo descargar cada elemento en el momento indicado y no antes todos los mencionados verdad?
  2. Que pasa si tuviese mas unidades USB que las entradas del PC… incluso con un HUB ?
  3. El proceso eliminará también todos los cracks de aplikaciones guardadas en DD externo?

Y para terminar el siguiente mensaje se generó por algún cambio que realizaste tu o por otro motivo?

Gracias por todo