Reporte de Malware Bitcoin miner


#1

Saludos en esta nueva etapa.

Tengo una consulta. Hace una semana por un archivo pdf de una partitutra que me descargué el archivo seguramente era un malware camuflado que me alteró todos los archivos de el disco duro (por suerte es un disco duro aparte en el que almaceno las descargas unicamente). Al darme cuenta de que algo pasaba decidí analizar con el Malwarebytes y me sacó un reporte que ahora adjunto en el que decía que tenia un Trojan.BitCoinMiner. Lo envié a la cuarentena y posteriormente lo eliminé pero al analizar con el Malwarebytes dias despues me detecto un par de RiskWare.BitCoinMiner, Como podeis observar en la misma ubicación " RARSFX1\32.TMP"

Hoy lo he pasado y no me ha detectado nada, pero tengo miedo de que haya dejado alguna puerta abierta y por eso aparezca esporadicamente. Algún consejo?

Malwarebytes


-Detalles del registro-

Fecha del análisis: 10/12/18

Hora del análisis: 15:36

Archivo de registro: 028e1ce2-fc89-11e8-8333-fcaa1466e974.json

Administrador: No

-Información del software-

Versión: 3.4.4.2398

Versión de los componentes: 1.0.322

Versión del paquete de actualización: 1.0.8247

Licencia: Caducado

-Información del sistema-

SO: Windows 7 Service Pack 1

CPU: x64

Sistema de archivos: NTFS

Usuario: CASA\RAFITA

-Resumen del análisis-

Tipo de análisis: Análisis personalizado

Resultado: Completado

Objetos analizados: 270297

Amenazas detectadas: 2

Amenazas en cuarentena: 2

Tiempo transcurrido: 1 hr, 23 min, 36 seg

-Opciones de análisis-

Memoria: Activado

Inicio: Activado

Sistema de archivos: Activado

Archivo: Activado

Rootkits: Activado

Heurística: Activado

PUP: Detectar

PUM: Detectar

-Detalles del análisis-

Proceso: 0

(No hay elementos maliciosos detectados)

Módulo: 0

(No hay elementos maliciosos detectados)

Clave del registro: 0

(No hay elementos maliciosos detectados)

Valor del registro: 0

(No hay elementos maliciosos detectados)

Datos del registro: 0

(No hay elementos maliciosos detectados)

Secuencia de datos: 0

(No hay elementos maliciosos detectados)

Carpeta: 0

(No hay elementos maliciosos detectados)

Archivo: 2

RiskWare.BitCoinMiner, C:\USERS\RAFA\APPDATA\LOCAL\TEMP\RARSFX0\32.TMP, En cuarentena, [692], [609080],1.0.8247

RiskWare.BitCoinMiner, C:\USERS\RAFA\APPDATA\LOCAL\TEMP\RARSFX1\32.TMP, En cuarentena, [692], [609080],1.0.8247

Sector físico: 0

(No hay elementos maliciosos detectados)

(end)

Malwarebytes

-Detalles del registro-

Fecha del análisis: 5/12/18

Hora del análisis: 14:14

Archivo de registro: a5ca2053-f88f-11e8-80a7-fcaa1466e974.json

Administrador: No

-Información del software-

Versión: 3.4.4.2398

Versión de los componentes: 1.0.322

Versión del paquete de actualización: 1.0.8177

Licencia: Caducado

-Información del sistema-

SO: Windows 7 Service Pack 1

CPU: x64

Sistema de archivos: NTFS

Usuario: CASA\RAFITA

-Resumen del análisis-

Tipo de análisis: Análisis de amenazas

Resultado: Completado

Objetos analizados: 304527

Amenazas detectadas: 3

Amenazas en cuarentena: 3

Tiempo transcurrido: 3 min, 35 seg

-Opciones de análisis-

Memoria: Activado

Inicio: Activado

Sistema de archivos: Activado

Archivo: Activado

Rootkits: Desactivado

Heurística: Activado

PUP: Detectar

PUM: Detectar

-Detalles del análisis-

Proceso: 0

(No hay elementos maliciosos detectados)

Módulo: 0

(No hay elementos maliciosos detectados)

Clave del registro: 0

(No hay elementos maliciosos detectados)

Valor del registro: 0

(No hay elementos maliciosos detectados)

Datos del registro: 0

(No hay elementos maliciosos detectados)

Secuencia de datos: 0

(No hay elementos maliciosos detectados)

Carpeta: 0

(No hay elementos maliciosos detectados)

Archivo: 3

RiskWare.Agent.E, C:\APPCACHE\X86\SVCHOST.EXE, En cuarentena, [3715], [517619],1.0.8177

Trojan.BitCoinMiner, C:\USERS\RAFA\APPDATA\LOCAL\TEMP\RARSFX0\64.TMP, En cuarentena, [569], [440612],1.0.8177

Trojan.BitCoinMiner, C:\USERS\RAFA\APPDATA\LOCAL\TEMP\RARSFX1\64.TMP, En cuarentena, [569], [440612],1.0.8177

Sector físico: 0

(No hay elementos maliciosos detectados)

(end)

#2

Hola.

Como sigue tu problema actualmente.??


#3

Hola. Ayer he vuelto a hacer un análisis completo con el Malwarebytes y no me ha detectado nada. No sé si así ya puedo quedarme tranquilo?


#4

Bien… para revisar tu máquina, sigue estos pasos, en el orden indicado y leyendo todo lo explicado. :+1:

:one: Desactiva temporalmente el Antivirus :arrow_forward: Cómo deshabilitar temporalmente su Antivirus, mientras estemos realizando TODOS los pasos.

Vamos a descargar en TU ESCRITORIO(y NO en otro lugar :face_with_monocle:) todas las herramientas que vamos a utilizar en este procedimiento (pero no las ejecutes todavía) :


:two: Ejecutas las herramientas de una en una y en el orden indicado :



CCleaner.-

  • Instalas y Ejecutas CCleaner siguiendo los pasos indicados en el manual.

  • Úsalo primero en su opción de Limpiador para borrar cookies, temporales de Internet y todos los archivos que te muestre como obsoletos.

  • Después usa su opción de Registro para limpiar todo el registro de Windows(haciendo copia de seguridad).

AdwCleaner.-

  • Ejecuta Adwcleaner.exe.

  • Pulsamos en el botón Analizar ahora, y espera a que se realice el proceso, inmediatamente pulsa siempre sobre el botón Iniciar Reparación.

  • Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas.

  • El log/informe lo encontramos en la pestaña “Informes”, volviendo a abrir el programa si fuese necesario, para poder copiarlo y pegarlo en tu próxima respuesta.

  • El informe también se puede encontrar en C:\AdwCleaner\Logs\AdwCleaner[C00].txt

Junkware Removal Tool.-

  • Ejecuta JRT.exe.

  • Y pulsar cualquier tecla para continuar, esperar pacientemente a que termine el proceso.

  • Si en algún momento te pide Reiniciar hazlo.

  • Al finalizar, un registro/informe (JRT.txt) se guardara en el escritorio y se abrirá automáticamente.

  • Copia y pega el contenido de JRT.txt en tu próxima respuesta.

:three: Poner los informes en tu próxima respuesta de :

  • AdwCleaner y JRT, y en ese orden. :+1:

Debes copiarlos y pegarlos con todo su contenido y usaras varios mensajes si recibes un mensaje de error indicando que es muy largo(mas de 50.000 caracteres aprox.).

Y nos cuentas como funciona tu equipo en relación al problema planteado. :face_with_monocle:

Saludos.


#5

Hola de nuevo, disculpa la tardanza. He estado de viaje. Adjunto reportes a continuacion:

# -------------------------------
# Malwarebytes AdwCleaner 7.2.5.0
# -------------------------------
# Build:    11-26-2018
# Database: 2018-11-14.2 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    12-19-2018
# Duration: 00:00:02
# OS:       Windows 7 Ultimate
# Cleaned:  3
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKLM\Software\Wow6432Node\Classes\CLSID\{E2B98EEA-EE55-4E9B-A8C1-6E5288DF785A}
Deleted       HKLM\Software\Wow6432Node\Classes\CLSID\{61F47056-E400-43D3-AF1E-AB7DFFD4C4AD}
Deleted       HKLM\Software\Wow6432Node\Classes\CLSID\{3CCC052E-BDEE-408A-BEA7-90914EF2964B}

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1551 octets] - [19/12/2018 15:41:20]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########  

#6
# -------------------------------
# Malwarebytes AdwCleaner 7.2.5.0
# -------------------------------
# Build:    11-26-2018
# Database: 2018-11-14.2 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    12-19-2018
# Duration: 00:00:09
# OS:       Windows 7 Ultimate
# Scanned:  32162
# Detected: 3


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Classes\CLSID\{E2B98EEA-EE55-4E9B-A8C1-6E5288DF785A}
PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Classes\CLSID\{61F47056-E400-43D3-AF1E-AB7DFFD4C4AD}
PUP.Optional.Legacy             HKLM\Software\Wow6432Node\Classes\CLSID\{3CCC052E-BDEE-408A-BEA7-90914EF2964B}

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.4 (07.09.2017)
Operating System: Windows 7 Ultimate x64 
Ran by JEFE ADMINISTRADOR (Administrator) on 19/12/2018 at 15:47:56,89
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 25 

Successfully deleted: C:\Program Files (x86)\GUT15A7.tmp (File) 
Successfully deleted: C:\Users\JEFE ADMINISTRADOR\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0PS72R2M (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\JEFE ADMINISTRADOR\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0RPIWB4B (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\JEFE ADMINISTRADOR\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5UBD1DCL (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\JEFE ADMINISTRADOR\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5 (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\JEFE ADMINISTRADOR\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9JNM0026 (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\JEFE ADMINISTRADOR\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FZG8CKJ5 (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\JEFE ADMINISTRADOR\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HLG0HQ7H (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\JEFE ADMINISTRADOR\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I3X2NG0H (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\JEFE ADMINISTRADOR\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LIXMVQOA (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\JEFE ADMINISTRADOR\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PGO4HZL2 (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\JEFE ADMINISTRADOR\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UWM15AP5 (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\JEFE ADMINISTRADOR\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZE2LRPD4 (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0PS72R2M (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\0RPIWB4B (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5UBD1DCL (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\62AXOPQ5 (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9JNM0026 (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\FZG8CKJ5 (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HLG0HQ7H (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\I3X2NG0H (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LIXMVQOA (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\PGO4HZL2 (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\UWM15AP5 (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ZE2LRPD4 (Temporary Internet Files Folder) 


Registry: 0 



~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 19/12/2018 at 15:49:56,37
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

#7

El CCcleaner me ha encontrado varios errorres de registro y los ha reparado todos.

¿Algo raro en los reportes?

Muchas gracias por la ayuda


#8

Perfecto -_- :+1: nos alegra ver que ya está el problema inicial completamente arreglado, ahora solo queda eliminar las herramientas usadas.

Para hacerlo descarga :arrow_forward: DelFix.exe en tu escritorio.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador -).

  • Marca todas las casillas, y pulsas en Run

Se abrirá el informe (DelFix.txt), puedes cerrarlo.


Para cualquier otro problema, no dudes en volver a postear., ya sabes dónde estamos. :+1:

Tema Solucionado.

Saludos, Javier.


#9