Troyano letal

Hola amigos. Necesito ayuda para eliminar una infección que ha hecho desastres en mi PC, incluyendo la desinsalación de varios programas (Chrome, Firefox, CCleaner y otros). Ya seguí tyodos los procedimientos aconsejados con Malwarebytes, ESET Online y mi antivirus Kaspersky, pero me siguen apareciendo trazas de Trojan.Win32.SEPEH.gen. Les adjunto el reporte de ESET Online:

Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2019 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 06/08/2019 06:37:02 PM in x86 mode. (Safe Mode)
Windows Version: Windows 7 Professional Service Pack 1

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * No malware processes found to kill.

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * No issues found.

Searching for Missing Digital Signatures: 

 * No issues found.

Checking HOSTS File: 

 * No issues found.

Program finished at: 06/08/2019 06:38:19 PM
Execution time: 0 hours(s), 1 minute(s), and 17 seconds(s)

Hola, pega el reporte de Malwarebytes y ESET para revisar el reporte.

Saludos.

Hola Facundo. Gracias. Esta mañana encendí la PC, corrí Kaspersky y no detectó nada. Después pasé Malwarebytes y sí detectó amenazas, que quedaron en cuarentena.

Aquí está el reporte de ayer de ESET Online:

Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2019 BleepingComputer.com
More Information about Rkill can be found at this link:
http://www.bleepingcomputer.com/forums/topic308364.html
Program started at: 06/08/2019 06:37:02 PM in x86 mode. (Safe Mode)
Windows Version: Windows 7 Professional Service Pack 1
Checking for Windows services to stop:
 * No malware services found to stop.
Checking for processes to terminate:
 * No malware processes found to kill.
Checking Registry for malware related settings:
 * No issues found in the Registry.
Resetting .EXE, .COM, & .BAT associations in the Windows Registry.
Performing miscellaneous checks:

Aquí está el reporte de hoy de Malwarebytes:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 9/6/19
Hora del análisis: 9:45
Archivo de registro: 694b9450-8ab4-11e9-a6f0-00ff1447ad8a.json

-Información del software-
Versión: 3.7.1.2839
Versión de los componentes: 1.0.586
Versión del paquete de actualización: 1.0.10964
Licencia: Gratis

-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x86
Sistema de archivos: NTFS
Usuario: JORGE-PC\JORGE

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 208636
Amenazas detectadas: 9
Amenazas en cuarentena: 9
Tiempo transcurrido: 10 min, 42 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 3
Trojan.SmokeLoader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\OPERA SCHEDULED AUTOUPDATE 711520318, En cuarentena, [1027], [676756],1.0.10964
Trojan.SmokeLoader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{2BCA3D1A-1C7A-430F-AD9A-7E47FCB44CD3}, En cuarentena, [1027], [676756],1.0.10964
Trojan.SmokeLoader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{2BCA3D1A-1C7A-430F-AD9A-7E47FCB44CD3}, En cuarentena, [1027], [676756],1.0.10964

Valor del registro: 1
Trojan.SmokeLoader, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{2BCA3D1A-1C7A-430F-AD9A-7E47FCB44CD3}|PATH, En cuarentena, [1027], [676758],1.0.10964

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 1
PUP.Optional.OneSystemCare, C:\PROGRAM FILES\ONESYSTEMCARE, En cuarentena, [646], [689571],1.0.10964

Archivo: 4
PUP.Optional.OneSystemCare, C:\Program Files\OneSystemCare\CleanupConsole.exe, En cuarentena, [646], [689571],1.0.10964
PUP.Optional.OneSystemCare, C:\Program Files\OneSystemCare\unins000.dat, En cuarentena, [646], [689571],1.0.10964
PUP.Optional.OneSystemCare, C:\Program Files\OneSystemCare\unins000.exe, En cuarentena, [646], [689571],1.0.10964
Trojan.SmokeLoader, C:\WINDOWS\SYSTEM32\TASKS\OPERA SCHEDULED AUTOUPDATE 711520318, En cuarentena, [1027], [676756],1.0.10964

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Hola Facundo. Tengo novedades: como vi que muchos de los rastros que detectó Malwarebytes eran entradas de registro, volví a limpiar todo y pasé RegSeeker, que eliminó un montón de entradas obsoletas. Después volví a revisar con Kaspersky y con Malwarebytes, y ninguno de los dos detectó nada. Aparentemente, el problema estaría solucionado. De todos modos, me gustaría tener una opinión más antes de dar por finalizado el tema. ¿Puede ser?

@Proferrojo no utilices otras herramientas mientras te estamos dando soporte aquí en el foro, espera a que te respondamos ya que tenemos que revisar los reportes que traes.

Respecto al reporte de Malwarebytes, el troyano o un troyano y sus claves estan en cuarentena… Vamos a analizar a mas profundidad con Malwarebytes a ver si encuentra algo mas, sigue detalladamente los pasos:

1) Actualiza y ejecuta Malwarebytes’ Anti-Malware.

• Para instalar las ultimas definiciones ( actualizaciones ) de virus realiza click en el boton azul “ actual ” de la ventana principal .
• Para instalar las ultimas actualizaciones del programa y corregir otros errores ve a y click en >>

Si tienes mas duda tienes el Manual Malwarebytes , para que sepas usarlo y configurarlo.

• Realiza un Análisis Personalizado, haciendo click en la sección “ Analizar ” y seguidamente haciendo click “ Analisis personalizado ” en y luego click en “ Configurar análisis .
• Marcaras las unidades y seguidamente las siguientes casillas:

1. Analizar objetos en memoria
2. Analizar configuracion de inicio y registro
3. Analizar dentro de los archivos
4. Analisis en busca de rootkits

• Pulsar en “Eliminar Seleccionados” para enviarlo a la cuarentena y Reinicias el sistema.
• Para acceder posteriormente al informe del análisis : Informes >> Registro de análisis >> Pulsar en >> Exportar >> Copiar al Portapapeles , y lo pegas en tu respuesta

2) Descarga Adwcleaner en el escritorio.

• Desactiva tu antivirus Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad.
• Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
• Pulsar en el botón Analizar Ahora, y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Iniciar Reparacion.
• Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas.
• Si no encuentra nada, pulsamos “Omitir Reparación”
• El log lo encontramos en la pestaña “Informes”, volviendo a abrir el programa, si es necesario o en"C:\AdwCleaner\Logs\AdwCleaner[C0].txt"

Puedes mirar su manual >> Manual de Adwcleaner

3) Descarga Ccleaner . Aqui tienes manual para que sepas configurar y usarlo.

Instalalo y ejecútalo. En la pestaña limpiador dejas como esta configurada predeterminadamente, haces clic en analizar esperas que termine > clic en ejecutar limpiador. Clic en la pestaña Registro > clic en buscar problemas esperas que termine > clic en Reparar Seleccionadas y haces una copia de seguridad.

Pega los reportes de Malwarebytes, AdwCleaner y comentas como va el problema.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo :

• No realices pasos/acciones que NOSOTROS no te hayamos indicado
• No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
• No instales NADA(programas/software/complementos/extensiones del navegador…)
• No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…)
• No realices por tu cuenta otros procedimientos.
• Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

Muy Importante Coloca el reporte pedido por el usuario que lo asiste como se muestra en la siguiente imagen:

report.png703×272 3.73 KB

Saludos.

Gracias Facundo, y me disculpo por las acciones no indicadas. Aquí van los reportes:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 12/6/18
Hora del análisis: 11:09
Archivo de registro: 36242d80-6e4a-11e8-9089-00ff1447ad8a.json

-Información del software-
Versión: 3.4.5.2467
Versión de los componentes: 1.0.342
Versión del paquete de actualización: 1.0.5450
Licencia: Gratis

-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x86
Sistema de archivos: NTFS
Usuario: JORGE-PC\JORGE

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 211530
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 8 min, 46 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)

(end)

# -------------------------------
# Malwarebytes AdwCleaner 7.3.0.0
# -------------------------------
# Build:    04-04-2019
# Database: 2019-05-27.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    06-12-2019
# Duration: 00:00:05
# OS:       Windows 7 Professional
# Cleaned:  6
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\Users\JORGE\AppData\Roaming\WidModule

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKCU\Software\Lightcleaner
Deleted       HKCU\Software\SetupCompany
Deleted       HKCU\Software\drpsu
Deleted       HKLM\Software\Classes\tsckmna
Deleted       HKU\S-1-5-21-333417504-1022130762-2536826645-1001\Software\drpsu

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1598 octets] - [12/06/2019 12:13:49]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Hola, realizaste un Análisis de amenazas, y no un Análisis personalizado marcando todas las casillas y unidades como se indicaban en el paso. El paso de AdwCleaner lo realizaste bien, por lo que no es necesario hacerlo de nuevo, solo el del Malwarebytes.

Espero su respectivo reporte, saludos.

Aquí va el nuevo reporte:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 13/6/19
Hora del análisis: 1:06
Archivo de registro: 93f67b50-8d90-11e9-b66f-00ff1447ad8a.json

-Información del software-
Versión: 3.7.1.2839
Versión de los componentes: 1.0.586
Versión del paquete de actualización: 1.0.11026
Licencia: Gratis

-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x86
Sistema de archivos: NTFS
Usuario: JORGE-PC\JORGE

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Cancelado
Objetos analizados: 44643
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 18 min, 42 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)

(end)

Saludos.

Ahora realiza un escaneo con ESET Online Scanner y HitmanPRO , envia todo a cuarentena lo que detecta cada uno y me comentaras como sigue el pc o si los sintomas que presentas inicialmente desaparecieron o si siguen y tambien me pegas sus reportes. Saludos.

1. Manual ESET Online Scanner
2. Manual HitmanPRO

Aquí va registro de ESET:

14/06/2019 23:03:13 Archivos explorados: 148056 Archivos infectados: 0 Amenazas eliminadas: 0 Tiempo total de exploración: 00:57:54 Estado de la exploración: Finalizado

Y ahora, el de Hitman:

HitmanPro 3.8.14.304
www.hitmanpro.com

   Computer name . . . . : JORGE-PC
   Windows . . . . . . . : 6.1.1.7601.X86/2
   User name . . . . . . : JORGE-PC\JORGE
   UAC . . . . . . . . . : Disabled
   License . . . . . . . : Free

   Scan date . . . . . . : 2019-06-14 23:06:13
   Scan mode . . . . . . : Normal
   Scan duration . . . . : 3m 13s
   Disk access mode  . . : Direct disk access (SRB)
   Cloud . . . . . . . . : Internet
   Reboot  . . . . . . . : No

   Threats . . . . . . . : 0
   Traces  . . . . . . . : 9

   Objects scanned . . . : 1.279.562
   Files scanned . . . . : 1.445
   Remnants scanned  . . : 300.146 files / 977.971 keys

Cookies _____________________________________________________________________

   C:\Users\JORGE\AppData\Roaming\Microsoft\Windows\Cookies\ZA8L52LH.txt
   C:\Users\JORGE\AppData\Roaming\Mozilla\Firefox\Profiles\wak6cigt.default-1560040196092\cookies.sqlite:ads.trafficjunky.net
   C:\Users\JORGE\AppData\Roaming\Mozilla\Firefox\Profiles\wak6cigt.default-1560040196092\cookies.sqlite:atdmt.com
   C:\Users\JORGE\AppData\Roaming\Mozilla\Firefox\Profiles\wak6cigt.default-1560040196092\cookies.sqlite:doubleclick.net
   C:\Users\JORGE\AppData\Roaming\Mozilla\Firefox\Profiles\wak6cigt.default-1560040196092\cookies.sqlite:googleadservices.com
   C:\Users\JORGE\AppData\Roaming\Mozilla\Firefox\Profiles\wak6cigt.default-1560040196092\cookies.sqlite:pornhub.com
   C:\Users\JORGE\AppData\Roaming\Mozilla\Firefox\Profiles\wak6cigt.default-1560040196092\cookies.sqlite:sexsimulator.com
   C:\Users\JORGE\AppData\Roaming\Mozilla\Firefox\Profiles\wak6cigt.default-1560040196092\cookies.sqlite:www.youporn.com
   C:\Users\JORGE\AppData\Roaming\Mozilla\Firefox\Profiles\wak6cigt.default-1560040196092\cookies.sqlite:youporn.com

Eliminaste lo encontrado por Hitman? Algo que me olvide preguntar,que programa/antivirus te sigue o estaba detectando los restos del Trojan.Win32.SEPEH.gen.?

Hola Facundo. Sí, eliminé lo encontrado por Hitman. El programa que detectaba el troyano es Malwarebytes Antimalware.

Perdón, otra cosa: aparentemente todo funciona bien, salvo porque no he podido reinstalar Google Earth. Cuando lo intento aparece un mensaje: Error 1603. No sé qué será eso. Saludos.

Lo del error de Google Earth, debes crear un tema aparte en la secciòn Ayuda General para solucionarlo. Dime, Malwarebytes ya no te detecta el troyano?.

Saludos.

Hola. Malwarebytes no detectó nada. ¿Podemos dar por cerrado el tema? Gracias de nuevo.

Vamos a eliminar todas las herramientas que utilizamos para proceder al cierre del tema

• Descarga DelFix y guardalo en el escritorio.
• Ejecutalo como administrador ( Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona “Ejecutar como Administrador.” )
• Marca todas las casillas
• Pulsa en Run

Nota: No es necesario pegar el reporte de este programa.