Ransomware .nile

Re agradezco mucho tu ayuda, descansa y muchas gracias de nuevo

1 me gusta

Hola:

Una ultima consulta por hoy, que software estabas intentando instalar cuando te infectaste por desactivar el antivirus??

Salu2

Dr fone algo así para respaldar y recuperar un iphone

Hola @MaynardZombie

Disculpa la demora he estado investigando mucho sobre tu tema.

Paso 1:

Siguiendo la ruta buscas el siguiente archivo, lo abres y nos pegas su contenido en la próxima respuesta:

  • C:\WINDOWS\ntbtlog.txt

Paso 2:

Por el momento desinstala Malwarebytes con su herramienta especifica.

Paso 3:

Con mucha atención sigue estos pasos obviamente desde Modo Seguro >>> Aplicable a Windows 10. o Windows 7.

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga/Ejecuta DelFix desde el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

Luego ve a::

2.- Inicio >>> Ejecutar >>> Escribe notepad.exe o abra un nuevo archivo Notepad y copie y pegue lo siguiente:

Start::
CloseProcesses:
Task: C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job => C:\WINDOWS\explorer.exe
S3 MBAMSwissArmy; \SystemRoot\System32\Drivers\mbamswissarmy.sys [X]
2020-08-14 22:20 - 2020-08-14 22:32 - 000000214 _____ C:\WINDOWS\Tasks\CreateExplorerShellUnelevatedTask.job
2020-08-14 10:12 - 2020-08-14 10:12 - 013099408 _____ (AVG Technologies CZ, s.r.o.) C:\Users\theou\Desktop\avgclear.exe
2020-08-14 10:12 - 2020-08-14 10:12 - 011342944 _____ (AVAST Software) C:\Users\theou\Desktop\avastclear.exe
2020-08-14 10:12 - 2020-08-14 10:12 - 004146112 _____ (AVG Technologies CZ, s.r.o.) C:\WINDOWS\system32\avgremoverx.exe
2020-08-04 20:58 - 2020-08-04 20:58 - 002025944 _____ (Malwarebytes) C:\Users\theou\Downloads\MBSetup (1).exe
2020-08-04 20:56 - 2020-08-04 20:56 - 002025944 _____ (Malwarebytes) C:\Users\theou\Downloads\MBSetup.exe
2020-08-04 01:12 - 2020-08-04 01:12 - 001988280 _____ (Malwarebytes) C:\Users\theou\Downloads\MBSetup-009996.009996-consumer (2).exe
2020-08-04 00:54 - 2020-08-04 00:54 - 001988280 _____ (Malwarebytes) C:\Users\theou\Downloads\MBSetup-009996.009996-consumer (1).exe
2020-08-03 23:02 - 2020-08-03 23:02 - 000000000 ____D C:\Users\theou\AppData\Local\mbam
2020-08-03 23:00 - 2020-08-03 23:00 - 000000000 ____D C:\Malwarebytes
2020-08-03 22:59 - 2020-08-03 22:59 - 001988280 _____ (Malwarebytes) C:\Users\theou\Downloads\MBSetup-009996.009996-consumer.exe
2020-08-03 22:37 - 2020-08-03 23:49 - 000000000 ____D C:\Users\theou\AppData\Local\ScrSnap
2020-08-03 22:37 - 2020-08-03 22:37 - 000001035 _____ C:\Users\theou\Desktop\ScrSnap.lnk
2020-08-03 22:28 - 2020-08-03 22:36 - 000000000 ___HD C:\Program Files (x86)\DrFoneAndroid_Temp
2020-08-14 22:31 - 2020-06-21 23:49 - 000008192 ___SH C:\DumpStack.log.tmp
AlternateDataStreams: C:\Users\theou\OneDrive:${3D0CE612-FDEE-43f7-8ACA-957BEC0CCBA0}.SyncRootIdentity [130]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\MSIServer => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Option => "OptionValue"="2"
ExportKey: HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
CMD: bcdedit
RemoveProxy:
EmptyTemp:
Hosts:
End::
  • Lo guarda bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe/Frst64.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajará.

3.-

  • Ejecute Frst.exe o Frst64.exe. según el caso.
  • Presione el botón Fix/Corregir y aguarde a que termine.
  • La Herramienta guardará el reporte en su escritorio (Fixlog.txt).
  • Reinicia y lo pega en su próxima respuesta.

Nos comentas…

Salu2

Hola no habia podido publicar mi respuesta te agradezco tu ayuda

Fixlog.txt (26,9 KB)

1 me gusta

Hola @MaynardZombie

Prueba lo siguiente desde Modo Seguro con Red:

1.- Análisis del PC con Eset Online Scaner : Manual de Uso lee las instrucciones para salvar el reporte.

2.- Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso

  • Este no da reporte cuando te encuentres, si es que lo hace con alguna infección, tomas una imagen y la subes.

Como subir imágenes al Foro ?

Luego prueba crear desde Modo Seguro con Red, una nueva cuenta de Usuario con derechos de Administrador.

Reinicia el equipo, e intenta entrar a la cuenta que has creado, probando si te deja en Modo Normal.

Nos comentas.

Salu2

Hola, realicé los pasos como me indicaste, y al querer entrar en la nueva cuenta me sale una pantalla azul que dice “Hubo un problema, pero puedes intentarlo de nuevo” y abajo dice “OOBESETTINGS”.

Te adjunto el reporte de Eset y la captura de kaspersky.

AnalisisEset.txt (8,9 KB)

Hola @MaynardZombie

Eset ademas de detectar los txt de las nota de rescate, detecto algo interesante tal como intuías quien te infecto hasta la médula fue:

E:\NO ES EL SSD\Descargas\Nueva carpeta\asetup_dr-fone-cracked-full_1205316858701.zip.nile una variante de Win32/Kryptik.HEVY troyano eliminado


Realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga a tu escritorio las siguientes herramientas:

3.- Malwarebytes Anti-Rootkits

  • Lo Instalas y actualizas.
  • Realiza un Análisis Completo de acuerdo a su Manual.
  • Envías a cuarentena todo lo que detecte.

4.- Luego de reiniciar ejecutas TDSSKiller siguiendo los pasos de su Manual


Te dejo información sobre tu error:

https://support.microsoft.com/es-ar/help/4020048/windows-oobe-fails-when-you-start-a-new-windows-based-computer-for-the

Salu2

Hola muchas gracias de nuevo, ninguno me detecto ninguna amenaza ya y sigue igual al entrar en modo normal se queda la pantalla negra solo el cursor como cargando, intento abrir el administrador de tareas y nada

Hola @MaynardZombie

Revisaste el enlace que te deje sobre el error con la nueva cuenta que creaste?

Salu2

Hola gracias de nuevo como siempre por tu ayuda, ya intente lo del enlace pero no no me funciono lo hice varias veces y no pasa de ese error.

Hola @MaynardZombie

Lamentablemente se me van terminando las ideas.

Inicia en las Opciones Avanzadas de Windows 10 como ya lo has hecho pero esta vez selecciona >>> Símbolo del Sistema

En la consola escribes tal cual respetando los espacios)

bcdedit /deletevalue {default} safeboot

Reinicias el equipo y compruebas si pudo arrancar en Modo Normal.


Si aun no, prueba lo siguiente en Modo Seguro con funciones de Red

Descargas y ejecutas la Herramienta de creación de medios de Windows 10.

Siguiendo los pasos elijes actualizar este equipo, luego seleccionas conservar programas y archivos.

Una vez que termine el proceso, reinicias y ve si logras hacerlo en Modo Normal.

Cualquier error o problema en ambos pasos toma imágenes y las subes.

Salu2

Esto me marca en simbolo de sistema

Hola @MaynardZombie

Sobre la consola al hacerlo desde las Opciones avanzadas aparece con la letra X como se ve en tu imagen:

X:\Windows\system32

Por ello el error del comando que te di.

Prueba lo siguiente:

Inicia en las Opciones Avanzadas de Windows 10 como ya lo has hecho pero esta vez selecciona >>> Símbolo del Sistema

En la consola cuando se abre y a ti te aparece.

X:\Windows\system32

Escribes tal cual respetando los espacios:

C:

Presionas Enter.

Luego escribes:

cd windows

Presionas Enter

Escribes:

cd system32

Ahora si la consola pasara a:

C:\Windows\system32>

Allí escribes tal cual:

bcdedit /deletevalue {current} safeboot

Presionas Enter, cierras la consola y reinicias, prueba a ver si así funciona el Modo Normal.


En cuanto a tu versión de Sistema Operativo tu tienes Windows 10 2004, recuerdas cuando actualizaste? Lo hiciste después de haberte infectado?

Intentaste en algún momento volver para atrás en la actualización? Te lo pregunto porque esta versión aun tiene muchos errores.

Salu2

No, actualice antes del error ya despues intente instalar malware y otros antivirus ahi fue cuando vi los .nile

Estaba pensando que ya tengo mucho tiempo con mi pc así, se podría instalar Windows de 0 y volver a instalar todo? Ya doy por perdido mis archivos :frowning:

Hola @MaynardZombie

Disculpa la demora, los domingos a veces se me complican.

Si creo es la mejor opción a estas alturas, sabes como formatear Windows 10 desde 0 o necesitas el paso a paso?

Lamentablemente los encriptados por el Ransomware no pueden ser desencriptados por el momento.

Nos comentas.

Salu2

Solo lei que debia hacer un formateo profundo o limpiado profundo eso no se como el windows lo tengo en un ssd 120gb y lo demas en un hd 1tb