Troyano Racoon Stealer

geoqua.sc · 24 Agosto, 2019 17:39

Hola chicos, acabo de escanear mi pc con Malwarebytes y ha detectado un troyado denominado Racoon Stealer. Lo he eliminado con este mismo programa, pero cuando me he puesto a curiosear en el foro en busca de información adicional sobre él no he encontrado nada, lo que me ha dejado un poco intranquilo. ¿Alguien puede aportar algo de información sobre este malware? ¿La eliminación con Malwarebytes de este troyano es efectiva?

Un saludo y gracias a todos.

Daniela · 24 Agosto, 2019 17:58

Hola @geoqua.sc

Vas a volver a realizar otro análisis con Malwarebytes siguiendo las indicaciones a continuación.

Realiza los siguientes pasos, aunque hayas hecho alguno, sin cambiar el orden:

1) Descarga, actualiza y ejecuta Malwarebytes’ Anti-Malware, revisa en detalle el manual, para que sepas usarlo y configurarlo.

Realiza un Análisis personalizado, actualizando si te lo pide.
Pulsar en “Cuarentena seleccionado” para enviarlo a la cuarentena y Reinicias el sistema.
En el apartado del manual Informes >> Informe de análisis encontrarás el reporte de MBAM, clic en Exportar >> Copiar al portapapeles.

2) Descarga AdwCleaner | InfoSpyware en el escritorio.

Desactiva temporalmente el Antivirus >> Cómo deshabilitar temporalmente su Antivirus.
Cierra también todos los programas que tengas abiertos.
Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador".)
Pulsar en el botón Escanear, y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Limpiar.
Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas.
Guardas el reporte que te aparecerá, para copiarlo y pegarlo en tu próxima respuesta.
El informe también se puede encontrar en C:\AdwCleaner\AdwCleaner[C1].txt

3) Descarga CCleaner

Instala Ccleaner
Abres Ccleaner en la pestaña limpiador dejas como esta configurada predeterminadamente, haces clic en analizar esperas que termine >> clic en ejecutar limpiador
Clic en la pestaña Registro >> clic en buscar problemas esperas que termine >> clic en Reparar Seleccionadas y haces una copia de seguridad
Vuelves a darle clic en buscar problemas hasta que no encuentre ninguno.

Pega los reportes de Malwarebytes y AdwCleaner y comentas como va el problema.

¿Cómo pegar reportes en el foro?

Un saludo

geoqua.sc · 25 Agosto, 2019 18:33

Adjunto los reportes de Malwarebytes y AdwCleaner.¿Puedo dar el tema por solucionado?

Muchas gracias por vuestra ayuda.

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 24/8/19
Hora del análisis: 20:47
Archivo de registro: a844cdda-c69f-11e9-a3b0-001a7dda7113.json

-Información del software-
Versión: 3.8.3.2965
Versión de los componentes: 1.0.613
Versión del paquete de actualización: 1.0.12169
Licencia: Prueba

-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x64
Sistema de archivos: NTFS
Usuario: PORTATIL-NEW\GEOAQUA

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 830493
Amenazas detectadas: 24
Amenazas en cuarentena: 21
Tiempo transcurrido: 19 hr, 52 min, 5 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Advertencia
PUM: Advertencia

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 24
PUP.Optional.Amonetize, C:\OCTAVE\OCTAVE-4.0.0\SHARE\NSIS\STUBS\ZLIB, Sin acciones por parte del usuario, [506], [97522],1.0.12169
Spyware.RaccoonStealer, C:\USERS\GEOAQUA\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE\F_038725, En cuarentena, [7959], [723802],1.0.12169
PUP.Optional.IntroKeygen, C:\USERS\GEOAQUA\DOCUMENTS\00 FELI\00\00 SOFTWARE\GESTOR REDES\SYSTEMTOOLS.HYENA.V8.5D.INCL.KEYMAKER-CORE\CORE10K.EXE, Sin acciones por parte del usuario, [14043], [279993],1.0.12169
PUP.Optional.IntroKeygen, C:\USERS\GEOAQUA\DOCUMENTS\00 FELI\00\00 SOFTWARE\GESTOR REDES\SYSTEMTOOLS.HYENA.V8.5D.INCL.KEYMAKER-CORE\CR-H85DE.ZIP, Sin acciones por parte del usuario, [14043], [279993],1.0.12169
Generic.Malware/Suspicious, C:\USERS\GEOAQUA\DOCUMENTS\00 FELI\00\00 SOFTWARE\GESTOR REDES\SYSTEMTOOLS.HYENA.V8.5D.INCL.KEYMAKER-CORE\KEYGEN.EXE, En cuarentena, [0], [392686],1.0.12169
Generic.Malware/Suspicious, C:\USERS\GEOAQUA\DOWNLOADS\00\00 RESTAURACION MOVIL CHE\SD CARD\00\JUEGOS\6TH GEAR FOR SMARTPHONE (FULL RETAIL)(1).RAR, En cuarentena, [0], [392686],1.0.12169
MachineLearning/Anomalous.96%, C:\USERS\GEOAQUA\DOWNLOADS\00\00 RESTAURACION MOVIL CHE\SD CARD\00\JUEGOS\BESHAPED.RAR, En cuarentena, [0], [392687],1.0.12169
MachineLearning/Anomalous.97%, C:\USERS\GEOAQUA\DOWNLOADS\00\00 RESTAURACION MOVIL CHE\SD CARD\00\JUEGOS\3D MINI-TRANSCANADA.EXE, En cuarentena, [0], [392687],1.0.12169
Generic.Malware/Suspicious, C:\USERS\GEOAQUA\DOWNLOADS\00\00 RESTAURACION MOVIL CHE\SD CARD\00\JUEGOS\CHESS GENIUS .RAR, En cuarentena, [0], [392686],1.0.12169
MachineLearning/Anomalous.97%, C:\USERS\GEOAQUA\DOWNLOADS\00\00 RESTAURACION MOVIL CHE\SD CARD\00\JUEGOS\BUSTEM.EXE, En cuarentena, [0], [392687],1.0.12169
MachineLearning/Anomalous.97%, C:\USERS\GEOAQUA\DOWNLOADS\00\00 RESTAURACION MOVIL CHE\SD CARD\00\JUEGOS\MOTTOCROSS.EXE, En cuarentena, [0], [392687],1.0.12169
MachineLearning/Anomalous.97%, C:\USERS\GEOAQUA\DOWNLOADS\00\00 RESTAURACION MOVIL CHE\SD CARD\00\JUEGOS\MINI KAYAK 3D.EXE, En cuarentena, [0], [392687],1.0.12169
Generic.Malware/Suspicious, C:\USERS\GEOAQUA\DOWNLOADS\00\00 RESTAURACION MOVIL CHE\SD CARD\00\JUEGOS\LEGACY EXPENSION PACK.RAR, En cuarentena, [0], [392686],1.0.12169
Generic.Malware/Suspicious, C:\USERS\GEOAQUA\DOWNLOADS\00\00 RESTAURACION MOVIL CHE\SD CARD\00\JUEGOS\LEGACY.ZIP, En cuarentena, [0], [392686],1.0.12169
MachineLearning/Anomalous.97%, C:\USERS\GEOAQUA\DOWNLOADS\00\00 RESTAURACION MOVIL CHE\SD CARD\00\JUEGOS\MINI AQUABIKE 3D.EXE, En cuarentena, [0], [392687],1.0.12169
MachineLearning/Anomalous.97%, C:\USERS\GEOAQUA\DOWNLOADS\00\00 RESTAURACION MOVIL CHE\SD CARD\00\JUEGOS\MINI SPORTSBIKE 3D.EXE, En cuarentena, [0], [392687],1.0.12169
MachineLearning/Anomalous.97%, C:\USERS\GEOAQUA\DOWNLOADS\00\00 RESTAURACION MOVIL CHE\SD CARD\00\JUEGOS\MOTOCROSS.EXE, En cuarentena, [0], [392687],1.0.12169
MachineLearning/Anomalous.97%, C:\USERS\GEOAQUA\DOWNLOADS\00\00 RESTAURACION MOVIL CHE\SD CARD\00\JUEGOS\MOTTOCROSS STUNT RACER.EXE, En cuarentena, [0], [392687],1.0.12169
MachineLearning/Anomalous.97%, C:\USERS\GEOAQUA\DOWNLOADS\00\00 RESTAURACION MOVIL CHE\SD CARD\00\JUEGOS\BUST'EM.EXE, En cuarentena, [0], [392687],1.0.12169
MachineLearning/Anomalous.97%, C:\USERS\GEOAQUA\DOWNLOADS\00\00 RESTAURACION MOVIL CHE\SD CARD\00\JUEGOS\MSRRETAIL-SP (1).EXE, En cuarentena, [0], [392687],1.0.12169
MachineLearning/Anomalous.97%, C:\USERS\GEOAQUA\DOWNLOADS\00\00 RESTAURACION MOVIL CHE\SD CARD\00\JUEGOS\TMAX_ALL_ENG.EXE, En cuarentena, [0], [392687],1.0.12169
MachineLearning/Anomalous.97%, C:\USERS\GEOAQUA\DOWNLOADS\00\00 RESTAURACION MOVIL CHE\SD CARD\00\JUEGOS\WARBIRDS.EXE, En cuarentena, [0], [392687],1.0.12169
RiskWare.Tool.CK, C:\USERS\GEOAQUA\DOWNLOADS\00\00 RESTAURACION MOVIL CHE\SD CARD\SOFTWARE PDA\RESCO EXPLORER 2005 5.42\KG\KEYGEN.EXE, En cuarentena, [7492], [26575],1.0.12169
HackTool.FilePatch, C:\USERS\GEOAQUA\DOWNLOADS\SCHLUMBERGER SOFTWARES (IOGEOPHYSICIST)\PETROMOD\PETROMOD 2012.2 (64BIT)\PATCH\PETROMOD2012.2-PATCH.EXE, En cuarentena, [7640], [281135],1.0.12169

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

# -------------------------------
# Malwarebytes AdwCleaner 7.4.0.0
# -------------------------------
# Build:    07-23-2019
# Database: 2019-08-21.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    08-25-2019
# Duration: 00:00:02
# OS:       Windows 7 Home Premium
# Cleaned:  8
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\Users\GEOAQUA\AppData\Local\Assistant

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKCU\Software\RegisteredApplications|AceStream
Deleted       HKLM\SOFTWARE\Classes\Record\{181480C8-90AC-3430-B39A-CD121E034A1A}
Deleted       HKLM\SOFTWARE\Classes\Record\{8F54FA54-1DF8-3B20-890C-CDD95364BC95}
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{A313F405-BA69-478A-A3C2-1F1E01771847}C:\users\geoaqua\appdata\roaming\acestream\engine\ace_engine.exe
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{22CF2E41-EB59-4712-95A2-021F4880175E}C:\users\geoaqua\appdata\roaming\acestream\engine\ace_engine.exe
Deleted       HKLM\Software\Classes\Interface\{47A1DF02-BCE4-40C3-AE47-E3EA09A65E4A}
Deleted       HKLM\Software\Classes\Interface\{FA7B2795-C0C8-4A58-8672-3F8D80CC0270}

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [2490 octets] - [25/08/2019 18:26:21]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Daniela · 25 Agosto, 2019 21:29

Hola

Por mi parte todavía no, en el reporte de Malwarebytes se ve que hay cosas que no se han eliminado, las desmarcaste tu para no mandar a cuarentena?

Vuelve a realizar un análisis personalizado con Malwarebytes y envía lo que detecte a cuarentena.

Después de reiniciar, realiza lo siguiente:

Análisis del PC con Eset Online Scaner : Manual de Uso lee las instrucciones para salvar el reporte.

Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso

Este no da reporte cuando te encuentres al finalizar, si es que lo hace con alguna infección, tomas una imagen y la subes.

Como subir imágenes al Foro ?

Un saludo

geoqua.sc · 21 Septiembre, 2019 17:34

Perdona el retraso en contestar pero he estado fuera. Como han pasado muchos días he decido repetir todo el proceso, te lo resumo a continuación:

Análisis con Malwarebytes: te adjunto reporte.
Análisis con AdwCleaner: adjunto reporte.
Análisis con Eset Online Scanner: no ha encontrado amenazas. No he podido guardar el informe.
Análisis con Kasperky Virus Removal Tool: adjunto pantallazo del reporte.

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 16/9/19
Hora del análisis: 20:33
Archivo de registro: 6dc8eede-d8b0-11e9-9e03-001a7dda7113.json

-Información del software-
Versión: 3.8.3.2965
Versión de los componentes: 1.0.613
Versión del paquete de actualización: 1.0.12503
Licencia: Gratis

-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x64
Sistema de archivos: NTFS
Usuario: PORTATIL-NEW\GEOAQUA

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 728578
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 15 hr, 27 min, 58 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

# -------------------------------
# Malwarebytes AdwCleaner 7.4.1.0
# -------------------------------
# Build:    09-05-2019
# Database: 2019-08-27.1 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    09-17-2019
# Duration: 00:00:07
# OS:       Windows 7 Home Premium
# Cleaned:  14
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Preinstalled Software ] *****

Deleted       Preinstalled.HPMediaSmart   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B289508F-802B-4654-988C-D4E5E034D17C}
Deleted       Preinstalled.HPMediaSmart   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\MirageAgent
Deleted       Preinstalled.HPMediaSmart   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\InstallShield_{01FB4998-33C4-4431-85ED-079E3EEFE75D}
Deleted       Preinstalled.HPMediaSmart   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{01FB4998-33C4-4431-85ED-079E3EEFE75D}
Deleted       Preinstalled.HPMediaSmart   Task   C:\Windows\System32\Tasks\MIRAGEAGENT
Deleted       Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDTANGENT GAMES
Deleted       Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDTANGENT GAMES\APP
Deleted       Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangentGDF-hp-darkorbit
Deleted       Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangentGDF-hp-seafight
Deleted       Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangentGDF-hp-worldofwarcraft
Deleted       Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangentGameProvider-hp-genres
Deleted       Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangentGameProvider-hp-main
Deleted       Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{2FA94A64-C84E-49d1-97DD-7BF06C7BBFB2}.WildTangent Games App
Deleted       Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{70B446D1-E03B-4ab0-9B3C-0832142C9AA8}.WildTangent Games App-hp


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [2490 octets] - [25/08/2019 18:26:21]
AdwCleaner[C00].txt - [2354 octets] - [25/08/2019 19:50:45]
AdwCleaner_Debug.log - [16887 octets] - [17/09/2019 16:53:00]
AdwCleaner[S01].txt - [5196 octets] - [17/09/2019 16:56:53]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C01].txt ##########

KVRT

Daniela · 21 Septiembre, 2019 23:45

Hola

No te preocupes por la demora, no hay problema

Malwarebytes ya no detecta nada.

Como sigue el problema?

Un saludo

geoqua.sc · 22 Septiembre, 2019 10:16

No detecto indicios de problemas, pero tampoco sé interpretar los resultados de los antivirus. ¿A tí que te parece?

Daniela · 22 Septiembre, 2019 16:39

Hola

Para descartar que no tenga nada por ahí escondido, vamos a revisar más a fondo tu equipo.

Desactiva temporalmente el Antivirus >> Cómo deshabilitar temporalmente su Antivirus

Descarga Farbar Recovery Scan Tool.en el escritorio, seleccionando la versión adecuada para la arquitectura(32 o 64bits) de tu equipo. [color=#FF8C00][size=1] ¿Cómo saber si mi Windows es de 32 o 64 bits.?[/size][/color]

Ejecuta FRST.exe.
En el mensaje de la ventana del Disclaimer, pulsamos Yes
En la ventana principal pulsamos en el botón Scan y esperamos a que concluya el proceso.
Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Pon los dos reportes generados.

Debes copiarlos y pegarlos con todo su contenido y usaras varios mensajes si recibes un mensaje de error indicando que es muy largo(mas de 50.000 caracteres aprox.).

Un saludo