Troyanos bitcoinminer y ureslas.B

Eliminar Malwares
10

Hola.

Cuando se hacen procesos de instalación y/o desinstalación de cualquier programa es MUY habitual que al realizar el reinicio de la maquina se demore mas tiempo de lo normal o que el escritorio(o sus iconos) tarden en aparecer. :roll_eyes:

E igualmente ocurre cuando realizamos algún proceso de análisis/desinfección del equipo que en el REINICIO nos proporcione algún informe y esto provoque un inicio del sistema mas lento de lo normal. :upside_down_face:

Perfecto… y ahora sigue estos pasos, :arrow_forward: MUY Importante :arrow_backward: Realiza una copia de seguridad del registro :

  • Para hacerlo descarga :arrow_forward: DelFix.exe(en tu escritorio).

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona -Ejecutar como Administrador-).

  • Atención, ahora marca/selecciona únicamente la casilla :white_check_mark: Create registry backup, las demás casillas NO. :face_with_monocle:

  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

:warning: Con los demás programas cerrados ve a :arrow_forward: Inicio :arrow_forward: Ejecutar :arrow_forward: y escribe Notepad.exe.

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:
HKU\S-1-5-21-2854930288-4104776995-3045863489-1001\...\StartupApproved\Run: => "Pokki"
HKLM\...\Run: [] => [X]
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2854930288-4104776995-3045863489-1001\...\Run: [] => [X]
HKU\S-1-5-21-2854930288-4104776995-3045863489-1001\...\Run: [CCleaner Smart Cleaning] => C:\Program Files\CCleaner\CCleaner64.exe [24552064 2020-01-05] (Piriform Software Ltd -> Piriform Ltd)
HKU\S-1-5-21-2854930288-4104776995-3045863489-1001\...\Policies\system: [shell] explorer.exe <==== ATENCIÓN
HKU\S-1-5-21-2854930288-4104776995-3045863489-1001\...\Policies\Explorer: [NoInternetIcon] 0
HKU\S-1-5-21-2854930288-4104776995-3045863489-1001\...\MountPoints2: {081908b4-6e5f-11e7-8363-c038968dba86} - "F:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-2854930288-4104776995-3045863489-1001\...\MountPoints2: {8e85f1ec-9e4f-11e8-837f-c038968dba86} - "F:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-2854930288-4104776995-3045863489-1001\...\MountPoints2: {8e85f251-9e4f-11e8-837f-c038968dba86} - "F:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-2854930288-4104776995-3045863489-1001\...\MountPoints2: {9d5608da-ad47-11e8-8380-c038968dba86} - "F:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-2854930288-4104776995-3045863489-1001\...\MountPoints2: {dbe86d9e-bc2e-11e8-8382-c038968dba86} - "G:\HiSuiteDownLoader.exe"
HKU\S-1-5-21-2854930288-4104776995-3045863489-1001\...\Winlogon: [Shell] C:\WINDOWS\explorer.exe [2501368 2014-10-29] (Microsoft Windows -> Microsoft Corporation) <==== ATENCIÓN
HKLM\Software\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> C:\Program Files (x86)\Google\Chrome\Application\79.0.3945.88\Installer\chrmstp.exe [2019-12-19] (Google LLC -> Google LLC)
HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> "C:\Program Files (x86)\Google\Chrome\Application\58.0.3029.81\Installer\chrmstp.exe" --configure-user-settings --verbose-logging --system-level
GroupPolicy: Restricción ? <==== ATENCIÓN
Task: {278A4AAF-47AE-4625-A3FA-E9B52E96D602} - System32\Tasks\SweetLabs App Platform => C:\Users\Tomás\AppData\Local\Pokki\Engine\ServiceHostAppUpdater.exe
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
FF Plugin: @java.com/DTPlugin,version=11.45.2 -> C:\Program Files\Java\jre1.8.0_45\bin\dtplugin\npDeployJava1.dll [2015-05-22] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin: @java.com/JavaPlugin,version=11.45.2 -> C:\Program Files\Java\jre1.8.0_45\bin\plugin2\npjp2.dll [2015-05-22] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xdp -> C:\Program Files (x86)\Foxit Software\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [Ningún archivo]
FF Plugin-x32: @foxitsoftware.com/Foxit PhantomPDF Plugin,version=1.0,application/vnd.xfdf -> C:\Program Files (x86)\Foxit Software\Foxit PhantomPDF\plugins\npFoxitPhantomPDFPlugin.dll [Ningún archivo]
FF Plugin-x32: @java.com/DTPlugin,version=11.45.2 -> C:\Program Files (x86)\Java\jre1.8.0_45\bin\dtplugin\npDeployJava1.dll [2015-05-17] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin-x32: @java.com/JavaPlugin,version=11.45.2 -> C:\Program Files (x86)\Java\jre1.8.0_45\bin\plugin2\npjp2.dll [2015-05-17] (Oracle America, Inc. -> Oracle Corporation)
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.35.422\npGoogleUpdate3.dll [2019-12-13] (Google LLC -> Google LLC)
FF Plugin HKU\S-1-5-21-2854930288-4104776995-3045863489-1001: @tools.google.com/Google Update;version=3 -> C:\Users\Tomás\AppData\Local\Google\Update\1.3.35.422\npGoogleUpdate3.dll [2019-12-13] (Google LLC -> Google LLC)
CHR StartupUrls: Profile 2 -> "hxxp://www.google.es/","hxxps://www.google.com/","hxxp://search.softonic.com/MOY00013/tb_v1?SearchSource=48&cc=&mi=682cbc3700000000000006197d6f4514&toi=16038","hxxps://www.google.com/","hxxps://www.google.com/","hxxp://homepage-web.com/?s=lenovo&m=start"
CHR HKLM\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
CHR HKU\S-1-5-21-2854930288-4104776995-3045863489-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj]
CHR HKLM-x32\...\Chrome\Extension: [flliilndjeohchalpbbcdekjklbdgfkk]
S3 esgiguard; \??\C:\Program Files (x86)\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 MBAMProtector; \??\C:\WINDOWS\system32\drivers\mbam.sys [X]
S3 MBAMWebAccessControl; \??\C:\WINDOWS\system32\drivers\mwac.sys [X]
2020-01-05 13:44 - 2020-01-05 13:44 - 001883976 _____ (Malwarebytes) C:\Users\Tomás\Desktop\MBSetup-009996.009996-consumer.exe
MBSetup-009996.009996-consumer.exe
HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END

Guárdalo bajo el nombre de FIXLIST.TXT en el escritorio :arrow_backward: Esto es muy importante.

:o: Nota :o: Es importante que la herramienta FRST.exe(Farbar Recovery Scanner Tool) y FIXLIST.TXT se encuentren en la misma ubicación (escritorio) o si no, no trabajara.

Y ahora usa el 2º MÉTODO: de esta Faq de Windows 8(aplicable a Windows 10) :arrow_forward: ¿Cómo iniciar Windows 8/8.1 en Modo Seguro?, para trabajar desde ese modo de windows.

  • Ejecuta FRST.exe.(Si usas Windows Vista/7/8 o 10, presiona clic derecho y seleccionas -Ejecutar como Administrador-).

  • Presionar el botón FIX/Corregir y aguardar a que termine.

  • La Herramienta guardara el reporte de reparación en el escritorio (FIXLOG.TXT).

Pegar el contenido de este fichero en tu próxima respuesta. :+1:

Reiniciar el equipo y comprobar su funcionamiento en relación al problema planteado y comentarlo.

Saludos.