Trojan:Script/Oneeva.A!ml

Buenas! escribo para solicitar ayuda con este troyano. Derrepente estaba en directo en twitch y se me cae la conexion de la nada, luego me aparece un mensaje del OBS que dice “No se pudo conectar al servidor. Agotado el tiempo de la conexion. asegúrese de que ha configurado un servicio de streamin válido y ningún firewall está bloqueando la conexion”. Luego, salta el windows defender que me manda la amenaza a cuarentena… después de un rato, pude volver a reiniciar el stream sin problemas. Tengo el Spybot Search & Destroy asi que también mandó el troyano a cuarentena.

Espero una posible respuesta para los pasos a seguir.

Saludos y gracias!!

Hola, buenas @Algo666

No sé si sigues necesitando ayuda actualmente… en caso afirmativo.

Haces lo siguiente:

EN BUSCA / ELIMINACIÓN DE MALWARE

(Mantén conectados todos tus dispositivos externos que tengas como: USBs, discos duros externos, etc).

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas y discos duros externos si también tienes.

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

0) Descarga Ccleaner Aquí te dejo su manual: Manual de CCleaner , para que sepas como usarlo y configurarlo correctamente.

Lo instalas y lo ejecutas. En la pestaña Limpieza personalizada dejas la configuración predeterminada. Haces clic en Analizar y esperas a que termine. Seguidamente haz clic en Ejecutar Limpiador. Clic en la pestaña Registro > clic en Buscar Problemas esperas que termine. Finalmente clic en Reparar Seleccionadas y realizas una Copia de Seguridad del registro de Windows.

1) Descarga, instala, actualiza y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente.

• Realizas un Análisis Personalizado, marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:

• Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
• Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

2) Descarga Adwcleaner en el escritorio.

• Desactiva tu antivirus Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
• Ejecuta Adwcleaner.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
• Pulsar en el botón Analizar Ahora, y espera a que se termine el análisis. Inmediatamente pulsa sobre el botón Iniciar Reparación.
• Espera a que termine y sigue las instrucciones que te aparezcan. Si te pidiera Reiniciar, pues reinicias el ordenador pulsando en Aceptar.
• Si no encuentra nada, pulsa en Omitir Reparación.
• El log lo encontrarás en la pestaña Informes, volviendo a abrir el programa, si es necesario o en la siguiente ubicación: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
• Para más información aquí te dejo su manual: Manual de Adwcleaner.
• Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

3) Utiliza nuevamente CCleaner tal como te dije en el punto 0.

Pegas los reportes de Malwarebytes y AdwCleaner y comentas como va el problema inicial planteado por el cual abriste este tema. También responde a las preguntas que te haya realizado a lo largo de este Post, siempre que te haya hecho alguna, si no, no

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

• No realices pasos/acciones que NOSOTROS no te hayamos indicado.
• No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
• No instales NADA (programas/software/complementos/extensiones del navegador…).
• No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
• No realices por tu cuenta otros procedimientos.
• Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

Muy Importante Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report703×272 3.73 KB

Salu2.

Esto aplica que debo conectar mi celular por usb? es lo único que conecto al pc.

Y por ahora no he tenido problemas, pero dejaré este mensaje guardado por si me aparece de nuevo el mismo problema. Recomiendan de todas formas hacerlo igual?

Saludos!

Hola, buenas @Algo666

Sí solo utilizas tu celular por USB en tu máquina y muy de vez en cuando. No sería necesario, ya que es poco probable que este tenga malware, pero podría darse el caso (en función de si es iOS o Android y si lo utilizas como almacenamiento de cosas varias de tu computadora o no). Así que no es necesario, pero si puedes y quieres conectarlo.

OK. Yo de todas formas te aconsejaría que hagas las instrucciones que te he facilitado, pues así descartamos que no tengas nada raro y nos quedamos todos más tranquilos. Pues si Windows Defender te detecto un Trojan:Script/Oneeva.A!ml puede que sea un Falso Positivo o puede que no lo sea. Así que hazlos y si sale todo limpio pues ya nos quedamos tranquilos.

Espero esos reportes.

Salu2.

Perfecto! lo haré sí o sí dentro de la semana. Muchas gracias !!

Vale OK.

Por aquí te esperamos @Algo666

Salu2.

Aqui va el reporte pedido por Marr0n que lo asiste en mi problema.

Registro Malwarebytes:
Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 19/8/21
Hora del análisis: 0:36
Archivo de registro: fb7e7ddc-00a6-11ec-842c-b42e99e6bf09.json

-Información del software-
Versión: 4.4.4.126
Versión de los componentes: 1.0.1413
Versión del paquete de actualización: 1.0.44228
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 19042.1165)
CPU: x64
Sistema de archivos: NTFS
Usuario: DellTerrorGaming\PC GAMER

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 681636
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 46 min, 10 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Registro AdwCleaner:
# -------------------------------
# Malwarebytes AdwCleaner 8.3.0.0
# -------------------------------
# Build:    06-29-2021
# Database: 2021-08-09.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    08-19-2021
# Duration: 00:00:01
# OS:       Windows 10 Pro
# Cleaned:  10
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\Users\PC GAMER\AppData\Roaming\IObit\Advanced SystemCare

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

Deleted       C:\Windows\System32\Tasks\DRIVER BOOSTER SCHEDULER

***** [ Registry ] *****

Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\dospop.com
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\incredibar.com
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0F94A3A1-3573-43AD-B99A-BE632A6DE9A2} 
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Driver Booster Scheduler
Deleted       HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\dospop.com
Deleted       HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\incredibar.com
Deleted       HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\dospop.com
Deleted       HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\incredibar.com

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [2563 octets] - [19/08/2021 01:37:55]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Hasta ahora (como mencioné hace unos dias) no he presentado problemas nuevamente, pero como el trojano parecia ser una grave amenaza decidí hacer el análisis tal como se describe arriba, aunque se me hace raro que un troyano de tal calibre se haya eliminado inmediatamente (Spybot fue el que saltó primero a atraparlo)… así que por ahora estos son los informes y estoy a la espera de la evaluación final de este caso.

Saludos y gracias nuevamente!

Hola, buenas @Algo666

Ok. Perfecto.

Ok. Vamos allá.

Respecto al Malwarebytes >> está todo limpio y ha sido ejecutado correctamente.

Respecto al AdwCleaner >> ha detectado varios Malware de tipo Adware.

Pero por lo general no parece que quede rastro alguno de la infección Trojan:Script/Oneeva.A!ml por la que abriste este tema. Ni hay indicios que indiquen que esta sigue en el sistema.

De todas formas haremos unos pocos pasos más para darlo por válido:

EN BUSCA / ELIMINACIÓN DE MALWARE

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, USB, etc).

0) Descarga Eset Online Scaner Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y realizas un Análisis Personalizado tal y como se indica en su manual. Me traes su reporte.

1) Descarga Kasperky Virus Removal Tool Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y lo realizas tal y como se indica en su manual. En este caso no da reporte alguno, cuando finalice, presionas en la pestaña Report tal y como se indica en su manual y haces una captura de pantalla y la subes.

¿Como subir imágenes al Foro?

PRÓXIMA RESPUESTA

Pegas los reportes de Eset Online Scaner y Kasperky Virus Removal Tool (captura) y comentas como va el PC.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

• No realices pasos/acciones que NOSOTROS no te hayamos indicado.
• No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
• No instales NADA (programas/software/complementos/extensiones del navegador…).
• No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
• No realices por tu cuenta otros procedimientos.
• Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

Muy Importante Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report703×272 3.73 KB

Salu2.

Una publicación ha sido separada a un nuevo tema: Pantalla azul

Hola, buenas @Algo666

¿Pudiste realizar algún avance?

Salu2.