Ransomware Nitro Discord

Hola buenas, vengo a comentar que desde hace unos días he detectado en mi pc un virus ransomware. He estado leyendo algunos post del foro donde mencionan virus de este tipo, pero en mi caso no he recibido ninguna nota de rescate ni tengo archivos encriptados; solamente no para de mandar mensajes en la aplicación de Discord sobre ¨Discord Nitro¨ a otros usuarios. He probado instalandome Malwarebytes y el ESET Internet security pero nada, no lo detecta. Quería saber si podrías ayudarme de alguna forma.

  • Sistema operativo: Windows 10
  • Antivirus: McAfee Total protection (Tampoco detecta nada)
2 Me gusta

Sigue estos pasos al pie de la letra y sin saltarte ninguno y en el orden establecido, es decir, primero le pasas el primer programa y no le pases el siguiente programa hasta que termine dicho proceso por completo y así con el resto de programas.

:one: EN BUSCA / ELIMINACIÓN DE INFECCIONES

0) Descarga Adwcleaner en el escritorio.

  • Desactiva tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
  • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
  • Pulsar en el botón Analizar Ahora, y espera a que se termine el análisis. Inmediatamente pulsa sobre el botón Iniciar Reparación.
  • Espera a que termine y sigue las instrucciones que te aparezcan. Si te pidiera Reiniciar, pues reinicias el ordenador pulsando en Aceptar.
  • Si “encuentra infecciones” “elimínelas” por completo. Si “NO” encuentra nada, pulsa en "Omitir Reparación".
  • El log lo encontrarás en la pestaña **"**Informes"****, volviendo a abrir el programa, si es necesario o en la siguiente ubicación: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
  • Para más información aquí te dejo su manual: Manual de Adwcleaner .
  • Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

1) Descarga, instala, actualiza y ejecuta “Malwarebytes’ Anti-Malware”. en el "ESCRITORIO" de tu ordenador. Aquí te dejo su manual: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente.

  • Realizas un **"**Análisis Personalizado"****, marcando "Todas" las casillas de la “Derecha” y de la “Izquierda”, actualizando si te lo pide. Es decir: conectas “TODOS” tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas “todas” las unidades de disco disponibles y las siguientes casillas:
  1. Analizar objetos en memoria
  2. Analizar configuracion de inicio y registro
  3. Analizar dentro de los archivos
  • Pulsar en "Eliminar Seleccionados" para enviar las infecciones a la cuarentena Reinicias el ordenador.
  • Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

2) Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

  • Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, USB, etc).
  • Descarga: "Eset Online Scaner" en el “ECRITORIO” de tu ordenador, Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y realizas un Análisis Personalizado tal y como se indica en su manual. Me traes su reporte.
  • Elimina “TODO” lo que encuentre y “NO” restaures nada.
  • Envíame dicho “Informe” al finalizar dicho Proceso de Análisis por completo.

3) Descarga, instala, y ejecuta “Dr. Web Cureit”. en el “ESCRITORIO” de tu ordenador. Aquí te dejo su manual: Manual: Manual de Uso Dr.Web Cureit! para que sepas como usarlo y configurarlo correctamente.

  • Click en “Neutralizar” y elimine “TODO” lo que encuentre y “NO” restaures nada.
  • Envíame dicho “Informe” al finalizar dicho Proceso de Análisis por completo.

IMPORTANTE:

Finalizado “TODOS” los programas de Analizar por completo, mándame “TODOS” los Informes de dichos programas que le he solicitado.

Para poder mandarme dichos “Informes” siga estos pasos como se reflejan a continuación:

Hola buenas con permiso del compañero @chicloi

¿Tienes el malware de la doble tilde? Sí es así, dímelo ya que no lo podremos eliminar así como así.

¿La infección que tratas de combatir es la misma que en este otro tema: Virus de la doble tilde de nuevo - nº 2 por Ariana_Basile_Funes @Ariana_Basile_Funes?

Si la respuesta es Sí, seguimos en el otro tema que ya has puesto los reportes de FRST.

Salu2.

1 me gusta

El virus de la doble tílde ya me desapareció gracias a uno de sus foros. Este otro tiene que ver con la aplicación Discord y no se va, estoy seguiendo los pasos del compañero @chicloi, pero llevo 20 horas de análisis en Malwarebytes.

1 me gusta

Eso es porque has habilitado la opción en: "Análisis Personalizado" la opción que pone: "Análisis en busca de Rootkits" cuando yo "NO" había dicho en mi "Manual de Uso" que se habilitara dicha opción, por eso te está tardando tantas horas en terminar de analizar. Por ello debes de seguir MUY AL PIE DE LA LETRA EL "MANUAL DE USO" QUE PONGO QUE PARA ESO LO PONGO Y "NO" HABILITAR OPCIONES QUE "NO" HAYA REFLEJADO EN DICHO "MANUAL DE USO".

En cuanto termine de Analizar por completo todos los programas y seguido SU MANUAL DE USO me mandas el Informe de cada uno de ellos.

A la espera de su respuesta.

1 me gusta

Te voy pasando los informes que tengo, ya que el del Dr. Web todavía no ha terminado, pero para que vayas hechando un vistazo.

Informe AdwCleaner:

# -------------------------------
# Malwarebytes AdwCleaner 8.3.1.0
# -------------------------------
# Build:    11-18-2021
# Database: 2021-12-02.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    01-13-2022
# Duration: 00:00:06
# OS:       Windows 10 Home
# Scanned:  32002
# Detected: 38


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

PUP.Optional.WebCompanion       C:\ProgramData\Application Data\Lavasoft\Web Companion

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.SafeFinder         HKCU\Software\Microsoft\Internet Explorer\Main|ImageStoreRandomFolder
PUP.Optional.WebCompanion       HKCU\Software\Lavasoft\Web Companion
PUP.Optional.WebCompanion       HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
PUP.Optional.WebCompanion       HKLM\Software\Wow6432Node\Lavasoft\Web Companion
PUP.Optional.WebCompanion       HKU\.DEFAULT\Software\Mozilla\NativeMessagingHosts\com.webcompanion.native
PUP.Optional.WebCompanion       HKU\S-1-5-18\SOFTWARE\Mozilla\NativeMessagingHosts\com.webcompanion.native

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

PUP.Optional.Legacy             My Bing Search
PUP.Optional.Legacy             https://mysearchengine.co/homepage?hp=1&bitmask=9996&pId=BT170603&iDate=2020-10-10 09:50:01&bName=
PUP.Optional.MySearch           My Bing Search
PUP.Optional.MySearch           https://mysearchengine.co/homepage?hp=1&bitmask=9996&pId=BT170603&iDate=2020-10-10 09:50:01&bName=

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.HPAudioSwitch   Folder   C:\Program Files (x86)\HP\HPAUDIOSWITCH 
Preinstalled.HPAudioSwitch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D1BAFED3-BCA5-4EB5-8CCE-A76E3664BA33}  
Preinstalled.HPAudioSwitch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HPAudioSwitch 
Preinstalled.HPAudioSwitch   Task   C:\Windows\System32\Tasks\HPAUDIOSWITCH 
Preinstalled.HPCleanFLC   Registry   HKCU\Software\Microsoft\Windows\CurrentVersion\Run|HPSEU_Host_Launcher 
Preinstalled.HPRegistrationService   Folder   C:\ProgramData\HP\HP REGISTRATION SERVICE 
Preinstalled.HPSupportAssistant   Folder   C:\HP\SUPPORT 
Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK 
Preinstalled.HPSupportAssistant   Folder   C:\ProgramData\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK 
Preinstalled.HPSupportAssistant   Folder   C:\Users\usuario\AppData\Roaming\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK 
Preinstalled.HPSupportAssistant   Registry   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE} 
Preinstalled.HPSupportAssistant   Registry   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE} 
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE} 
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE} 
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE} 
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE} 
Preinstalled.HPSureConnect   Folder   C:\Program Files\HPCOMMRECOVERY 
Preinstalled.HPSureConnect   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{6468C4A5-E47E-405F-B675-A70A70983EA6} 
Preinstalled.HPTouchpointAnalyticsClient   Folder   C:\ProgramData\HP\HP TOUCHPOINT ANALYTICS CLIENT 
Preinstalled.HPTouchpointAnalyticsClient   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E5FB98E0-0784-44F0-8CEC-95CD4690C43F} 
Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDGAMES 
Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDTANGENT GAMES 
Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDTANGENT GAMES\SHORTCUTPROVIDER 
Preinstalled.WildTangentGamesBundle   Folder   C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WILDTANGENT GAMES 
Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangent wildgames Master Uninstall 
Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{80831F60-19D7-43B3-A60C-5CAF8C478DF6} 
Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{A39303AB-4898-4F12-BAA0-0B8630F86DB4} 



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########

Segundo informe de AdwCleaner:

# -------------------------------
# Malwarebytes AdwCleaner 8.3.1.0
# -------------------------------
# Build:    11-18-2021
# Database: 2021-12-02.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    01-13-2022
# Duration: 00:00:01
# OS:       Windows 10 Home
# Cleaned:  11
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\ProgramData\Application Data\Lavasoft\Web Companion

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKCU\Software\Lavasoft\Web Companion
Deleted       HKCU\Software\Microsoft\Internet Explorer\Main|ImageStoreRandomFolder
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
Deleted       HKLM\Software\Wow6432Node\Lavasoft\Web Companion
Deleted       HKU\.DEFAULT\Software\Mozilla\NativeMessagingHosts\com.webcompanion.native
Deleted       HKU\S-1-5-18\SOFTWARE\Mozilla\NativeMessagingHosts\com.webcompanion.native

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

Deleted       My Bing Search
Deleted       My Bing Search
Deleted       https://mysearchengine.co/homepage?hp=1&bitmask=9996&pId=BT170603&iDate=2020-10-10 09:50:01&bName=
Deleted       https://mysearchengine.co/homepage?hp=1&bitmask=9996&pId=BT170603&iDate=2020-10-10 09:50:01&bName=

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [5574 octets] - [13/01/2022 17:31:45]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########
1 me gusta

Informe Malwarebytes:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 14/1/22
Hora del análisis: 14:40
Archivo de registro: 8cc42c9e-753f-11ec-a364-c0e434f98fc0.json

-Información del software-
Versión: 4.5.0.152
Versión de los componentes: 1.0.1538
Versión del paquete de actualización: 1.0.49795
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 19042.1415)
CPU: x64
Sistema de archivos: NTFS
Usuario: DESKTOP-K4MMKQ1\usuario

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 788865
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 43 min, 51 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)
1 me gusta

Informe ESET:

14/01/2022 16:16:56
Archivos analizados: 643996
Archivos detectados: 0
Archivos desinfectados: 0
Tiempo total de análisis: 00:47:43
Estado del análisis: Finalizado
1 me gusta

He estado revisando el Informe del programa: AdwCleaner y ponía que ha detectado: 38 y que ha eliminado: 11. Te comenté que eliminaras TODO lo que encontrara. Porqué no le has dado a eliminar el resto ya que sólo ha eliminado: 11 de un total de: 38.

A la espera de su respuesta.

Eso hice, cuando los detecto los metí en cuarentena y luego los elimine, pero me salío que solo se eliminaron 11, y ya no se más.

Informe Dr. Web:

Total 173609568706 bytes in 663075 files scanned (848894 objects)
Total 663143 files (846602 objects) are clean
There are no infected objects detected
Total 179 files (2290 objects) are raised error condition
Scan time is 00:34:24.492
1 me gusta

Sin problema, cuando terminen de analizarse el resto de programas por completo, estoy al tanto de ello y cuando yo te lo comunique se lo pasamos de nuevo.

Cuando acabe el programa restante que se está pasando me pasas dicho Informe.

Realice lo siguiente, Descargue e Instale el siguiente programa en el escritorio de su ordenador: Kaspersky Virus Removal Tool y siga su Manual de Uso que le dejo a continuación:

Url descarga programa: "Kaspersky Virus Removal Tool" https://devbuilds.s.kaspersky-labs.com/devbuilds/KVRT/latest/full/KVRT.exe

Manual de Uso: Url de Descarga: "Kaspersky Virus Removal Tool" y sigue los pasos por el orden establecido y como se indican en dicho Manual: Manual de Kaspersky Virus Removal Tool y ELIMINE “TODO” lo que encuentre.

Mándeme dicho Informe que genere dicho programa cuando acabe de analizarse por completo.

1 me gusta

Tengo un pequeño problema ya ha terminado el análisis pero cuando le doy a details, para poder eliminar lo encontrado no me deja, adjunto foto.

1 me gusta

Maximiza la ventana y mándame una captura de pantalla con todo lo que sale, que se corta en la parte de abajo y no puedo ver si se refleja alguna opción más.

y si le das sale esto

1 me gusta

Baja del todo para ver toda la información que sale al final del todo y me mandas otra Captura de pantalla!

1 me gusta

Cierra el programa, vuelvelo a abrir de nuevo y mira a ver si sale una opción que ponga Cuarentena o Quarantine ó algo parecido y mira lo que se refleja y me mandas una Captura de Pantalla con TODO lo que se refleje.

1 me gusta

Clikea en la opción que pone: Report y manda captura de todo lo que sale!

Esto sale pero no me deja cliquearlo.

1 me gusta