Phishing y un secuestro semiresuelto, el problema lleva meses! Ayuda porfavor

Hola! Primero que nada, Saludos a toda la comunidad, a los moderadores y al ángel que espero me pueda ayudar.

Les platico mi caso: Hace algunos meses mis hijos instalaron algún juego o programa en mi Laptop de trabajo, de inmediato detecté que algo había mal en ella, después de pasar varios antivirus online se detectó que se descargó en el sistema un Trojano muy agresivo llamado Pitou, que a su vez instaló otras cosas peores, keyloggers y demás virus, incluso uno que comenzó a encriptar los archivos de mi PC a la vez de que me mandaban un mail a mi correo, pidiendo que pagara por los archivos secuestrados (Ransomware), afortunadamente tenía respaldo de mis archivos y tuve que restablecerlos, siguiendo estas guías logré eliminar la mayoría del malware, las dejo por acá por si a alguien le son de utilidad:

[How to Remove Trojan.Pitou] (How to Remove Trojan.Pitou)

Retire Pitou Troya y Bootkit por completo de su PC - Cómo, Foro de Tecnología y Seguridad PC

En estas guías aparece que el troyano se instala en el MBR (Master Boot Record) por lo que seguro la desinfección que hice no funcionó del todo o algo hice mal.

Después de la limpieza todo volvió a funcionar con normalidad, pero tuve que restablecer Windows sin borrar mis archivos porque en modo seguro parecía que todos los malwares ya habían sido eliminados.

También había un problema recurrente con la WIFI (se desconectaba continuamente la red y en los browsers me salía un mensaje como ERR: Network has changed o algo así o que la red no era segura, y me desconectaba el wifi hasta que lo conectara manualmente cada 5, 10, 15 min y otras veces nunca y todo normal) y asumí que la razón era otra, eventualmente se solucionó con algo que hice posiblemente relacionado con los comandos sfc / scanow y dism que por lo que entiendo escanean archivos corruptos, y se descargan de la nube los archivos del sistema a su forma original y como normalmente estoy conectado por Ethernet y este problema sólo ocurre cuando estoy conectado por la via inalámbrica, podría no darme cuenta de lo seguido que ocurría.

A lo largo de los meses posteriores, noté que el uso del disco se disparaba de 20% a 50% y luego hasta el 100% pero no le presté atención porque era un problema esporádico. Después el problema fue recurrente y el uso de disco se iba al 100% en toda ocasión pero el sistema seguía utilizable, hasta que ya era tan lento que no se podía ni escanear y lo adjudiqué a las instalaciones de Windows update y al Windows modules installer que consumían todos los recursos y no instalaban nada y se quedaban descargando e instalando en bucle. hice una reparación de Windows update con los mismos comandos y otros que encontré en foros, finalmente tuve que volver a cargar Windows con un Punto de Restauración anterior porque el sistema quedó inutilizado y funcionó los problemas se fueron, aclaro que con 3 antivirus; 2 online (ESET Online y Panda Online y el AVG instalado en PC no se detectó nada en modo a prueba de fallos.

Volví a instalar Chrome y de ahí craso error… Me salen mensajes de que la conexión no es segura, avisos de redireccionamiento, desconexiones de la WIFI, etc.

Ahora estoy convencido de que el o los bichos han vuelto y lo he comprobado porque ambos problemas volvieron y que tiene algo que ver con que desinstalé AVG Secure Browser (una versión de AVG Antivirus de Chrome) y haber vuelto a instalar Chrome normal. Al Desinstalar ambos el uso de disco disminuyó a la normalidad, pero volvió el problema de la WIFI.

Por último les comento que pensé que eran problemas de Windows y no sospechaba que podría seguir infectado porque ningún antivirus de los que son online detectaron nada en modo a prueba de fallos, pero sospecho que alguna directriz en el registro se pudo quedar y al momento de reinstalar el Chrome se volvió a montar algún bicho, por cierto, Panda Online ya lleva como 7 horas escaneando y se quedó trabado en bucle en el 54% ya esto es un calvario pero no he querido formatear completo aunque a veces pienso que ya es la última solución, tengo millones de archivos, juegos, música etc. que tomarían días y hasta semanas de instalar y dejar a tono.

De antemano gracias!!! ayúdenme pleaseee!

1 me gusta

Hola buenas @Miguel_Castillo1 foro. Al ser nuevo te recomiendo que te leas las políticas de este. No porque hayas hecho nada mal, sino para saber más acerca del funcionamiento de este.

Estas fuentes que has utilizado y sus respectivas herramientas no tienen muy buena reputación :-1:, no son fiables, y un largo etc de cosas :-1: malas podría decir.

Puede… es una posibilidad…

Cancela ese análisis.

Bien dicho todo lo anterior. Haremos esto:

Lo que debemos hacer es matar al bicho que está en tu máquina. Pero primero de todo y MUY IMPORTANTE desconecta todos tus otros dispositivos que tengas en la Red, absolutamente todos. Déjala solo con esta máquina conectada.

Y ni se te ocurra conectar ningún dispositivo externo como USBs, discos duros externos, NAS, SAN… pues es MUY PERO QUE MUY PROBABLE DE QUE TAMBIÉN PUEDA CIFRAR TODOS LOS DATOS QUE TENGAS ALLÍ.

:one: EN BUSCA / ELIMINACIÓN DE MALWARE

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

Inicia de nuevo el equipo desde el :arrow_forward: Modo Seguro – con funciones de Red, de Windows. Si no funcionasen los métodos que se explican en el anterior post, prueba estos otros. Más concretamente, primero el 3 (Seleccionando Red en lugar de Mínimo) y si no el 2 (también Red).

Una vez iniciado en este modo, empiezas haciendo todos los pasos que te pondré a continuación.

P.D.: Si el quipo no te arrancase en Modo seguro (cosa que puede pasar), me lo dices e intentaremos arreglar el sistema para que arranque en Modo Seguro. Pues hay malwares que ya se encargaran de que no puedas iniciar en Modo Seguro.

  1. Descarga y ejecuta RKill, más concretamente debes de descargar la que está renombrada bajo el nombre de iExplore.exe. Para evitar el bloqueo de posibles malwares que pueda haber en tu equipo. Una vez que esta haya sido ejecutada, es muy importante no reiniciar el sistema hasta que te lo solicite yo o alguno de los programas de desinfección de los que estemos utilizando.

Me explico, por ejemplo: has iniciado la máquina en Modo Seguro con funciones de Red, has ejecutado Rkill y seguidamente realizas un Análisis con Malwarebytes. Este te detecta infecciones y te pide reiniciar la máquina para poder finalizar exitosamente su desinfección. Seguidamente, yo te he indicado que ejecutes por ejemplo el ESET Online Scanner, pues bien como no hemos acabado de desinfectar la máquina y estamos realizando el proceso de desinfección, y has tenido que reiniciar, ya que te lo ha pedido Malwarebytes pues debes de ejecutar nuevamente Rkill y después acto seguido el ESET ONline.

¿Me entiendes?

Si por ejemplo, incluso con Rkill, Malwarebytes AntiMalware o la herramienta que sea que te he pedido que utilices, ves que se bloquea y que al cabo de un buen rato no responde. Pues pasas a la siguiente y me informas de ello. Y así con todas. ¿OK? ¿Se entiende?

Realizas lo siguiente:

  1. Manual Malwarebytes Anti-Rootkit Beta sigues las instrucciones de su manual y me traes sus correspondientes Informes de análisis: Mbar-log.txt y System-log.txt tal como se indica en su manual.

  2. Descarga, instala y ejecuta TDSKiller de acuerdo a su Manual TDSKiller. Marca todas las casillas (Loaded Modules, Verify file digital signatures y Detect TDLFS file system). Sí te pide reiniciar lo haces, ejecutas de nuevo la herramienta y al marcar nuevamente las casillas que te he dicho, ya te dejara analizar.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

EN TU PRÓXIMA RESPUESTA

  • Respondes a las preguntas que te haya realizado.
  • Traes los reportes de Malwarebytes Anti-Rootkit y TDSKiller.
  • Comentas el estado en general del ordenador respecto al problema inicial planteado.

Salu2.