Virus correo electronico

Buenas tardes, Hace tiempo que no pasaba por el foro, incluso he tenido que registrarme otra vez, supongo que se borró mi antigua cuenta. Bueno, el caso es que en mi empresa han llegado unos correos sopechosos y un empleado ha habierto un word raro que nos llegaba de un cliente con asuntos y cosas raras, muchisimos emails del mismo cliente, a las horas nuestros clientes y contactos nos estaban avisando de muchos correos con nuestro nombre, el caso que leyendo algo por ahí se supone que es un troyano bastante complicado y me gustaria saber los pasos a seguir, de momento he seguido la guia que siempre se aconseja aquí, Malwarebytes, RKill, Eset online y CCleaner, pero no se si tengo que hacer algo mas, ya que por lo que heleido es bastante chungo el troyano, gracias de antemano, pongo reportes:

Malwarebytes:
-Detalles del registro-
Fecha del análisis: 7/11/19
Hora del análisis: 9:24
Archivo de registro: f6f33156-0137-11ea-a21a-309c23af88aa.json

-Información del software-
Versión: 3.6.1.2711
Versión de los componentes: 1.0.519
Versión del paquete de actualización: 1.0.13213
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 14393.0)
CPU: x64
Sistema de archivos: NTFS
Usuario: SERVER\usuario

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 330194
Amenazas detectadas: 32
Amenazas en cuarentena: 32
Tiempo transcurrido: 2 min, 58 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 4
PUP.Optional.DriverToolkit, HKU\S-1-5-21-3334218468-19141859-3183647998-1001\SOFTWARE\DriverToolkit, En cuarentena, [1063], [512874],1.0.13213
Trojan.TrickBot, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\System cache service, En cuarentena, [3915], [758648],1.0.13213
Trojan.TrickBot, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{BCDAF93D-D117-448F-B7E1-5404BA2167A8}, En cuarentena, [3915], [758648],1.0.13213
Trojan.TrickBot, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\BOOT\{BCDAF93D-D117-448F-B7E1-5404BA2167A8}, En cuarentena, [3915], [758648],1.0.13213

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 8
PUP.Optional.BundleInstaller.Generic, C:\Users\Usuario\AppData\Local\Temp\7zS08BB8397\de, En cuarentena, [5995], [635578],1.0.13213
PUP.Optional.BundleInstaller.Generic, C:\Users\Usuario\AppData\Local\Temp\7zS08BB8397\en, En cuarentena, [5995], [635578],1.0.13213
PUP.Optional.BundleInstaller.Generic, C:\Users\Usuario\AppData\Local\Temp\7zS08BB8397\es, En cuarentena, [5995], [635578],1.0.13213
PUP.Optional.BundleInstaller.Generic, C:\Users\Usuario\AppData\Local\Temp\7zS08BB8397\fr, En cuarentena, [5995], [635578],1.0.13213
PUP.Optional.BundleInstaller.Generic, C:\USERS\USUARIO\APPDATA\LOCAL\TEMP\7zS08BB8397, En cuarentena, [5995], [635578],1.0.13213
PUP.Optional.DriverToolkit, C:\Program Files (x86)\DriverToolkit\Download, En cuarentena, [1063], [512876],1.0.13213
PUP.Optional.DriverToolkit, C:\Program Files (x86)\DriverToolkit\Backup, En cuarentena, [1063], [512876],1.0.13213
PUP.Optional.DriverToolkit, C:\PROGRAM FILES (X86)\DRIVERTOOLKIT, En cuarentena, [1063], [512876],1.0.13213

Archivo: 20
PUP.Optional.BundleInstaller.Generic, C:\USERS\USUARIO\APPDATA\LOCAL\TEMP\7zS08BB8397\BundleConfig.xml, En cuarentena, [5995], [635578],1.0.13213
PUP.Optional.BundleInstaller.Generic, C:\Users\Usuario\AppData\Local\Temp\7zS08BB8397\de\DevLib.resources.dll, En cuarentena, [5995], [635578],1.0.13213
PUP.Optional.BundleInstaller.Generic, C:\Users\Usuario\AppData\Local\Temp\7zS08BB8397\en\DevLib.resources.dll, En cuarentena, [5995], [635578],1.0.13213
PUP.Optional.BundleInstaller.Generic, C:\Users\Usuario\AppData\Local\Temp\7zS08BB8397\es\DevLib.resources.dll, En cuarentena, [5995], [635578],1.0.13213
PUP.Optional.BundleInstaller.Generic, C:\Users\Usuario\AppData\Local\Temp\7zS08BB8397\fr\DevLib.resources.dll, En cuarentena, [5995], [635578],1.0.13213
PUP.Optional.BundleInstaller.Generic, C:\Users\Usuario\AppData\Local\Temp\7zS08BB8397\2018.06.12_16.02.22.648818_installer_pid=7224.txt, En cuarentena, [5995], [635578],1.0.13213
PUP.Optional.BundleInstaller.Generic, C:\Users\Usuario\AppData\Local\Temp\7zS08BB8397\DevLib.dll, En cuarentena, [5995], [635578],1.0.13213
PUP.Optional.BundleInstaller.Generic, C:\Users\Usuario\AppData\Local\Temp\7zS08BB8397\GenericSetup.exe, En cuarentena, [5995], [635578],1.0.13213
PUP.Optional.BundleInstaller.Generic, C:\Users\Usuario\AppData\Local\Temp\7zS08BB8397\GenericSetup.exe.config, En cuarentena, [5995], [635578],1.0.13213
PUP.Optional.BundleInstaller.Generic, C:\Users\Usuario\AppData\Local\Temp\7zS08BB8397\installer.exe, En cuarentena, [5995], [635578],1.0.13213
PUP.Optional.BundleInstaller.Generic, C:\Users\Usuario\AppData\Local\Temp\7zS08BB8397\Microsoft.Win32.TaskScheduler.dll, En cuarentena, [5995], [635578],1.0.13213
PUP.Optional.BundleInstaller.Generic, C:\Users\Usuario\AppData\Local\Temp\7zS08BB8397\OfferInstaller.exe, En cuarentena, [5995], [635578],1.0.13213
PUP.Optional.BundleInstaller.Generic, C:\Users\Usuario\AppData\Local\Temp\7zS08BB8397\OfferInstaller.exe.config, En cuarentena, [5995], [635578],1.0.13213
PUP.Optional.BundleInstaller.Generic, C:\Users\Usuario\AppData\Local\Temp\7zS08BB8397\WizardPages.dll, En cuarentena, [5995], [635578],1.0.13213
Trojan.TrickBot, C:\WINDOWS\SYSTEM32\TASKS\System cache service, En cuarentena, [3915], [758648],1.0.13213
Trojan.TrickBot, C:\USERS\USUARIO\APPDATA\ROAMING\CASHCORE\تحأكشن.EXE, En cuarentena, [3915], [758648],1.0.13213
Trojan.TrickBot, C:\PROGRAMDATA\تحأكشن.EXE, En cuarentena, [3915], [758648],1.0.13213
Trojan.TrickBot, C:\PROGRAMDATA\KDQGF.EXE, En cuarentena, [3915], [758648],1.0.13213
PUP.Optional.DriverToolkit, C:\USERS\USUARIO\DOWNLOADS\DRIVERTOOLKITINSTALLER(1).EXE, En cuarentena, [1063], [512879],1.0.13213
PUP.Optional.DriverToolkit, C:\USERS\USUARIO\DOWNLOADS\DRIVERTOOLKITINSTALLER.EXE, En cuarentena, [1063], [512879],1.0.13213

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

El reporte del RKill no me deja ponerlo, me dice que solo puedo poner dos enlaces.

Hola, sigue los siguientes pasos, y presta atención a las letras en color rojo.

Nota: Si tienes algun programa de estos instalados/descargados, vuelve a descargar y/o instalar.

:one: Desactiva temporalmente el Antivirus >> Cómo deshabilitar temporalmente su Antivirus, mientras estemos realizando TODOS los pasos.

Vamos a descargar en TU ESCRITORIO (y NO en otro lugar) todas las herramientas que vamos a utilizar en este procedimiento (pero no las ejecutes todavía) :

:warning: Una vez descargadas, desconectas tu equipo de Internet(apaga el router) :arrow_backward: Muy Importante ,… y Cierras también cualquier otro programa que tengas abierto.

:two: Ejecutas las herramientas de una en una y en el orden indicado :

Si usas Windows Vista/7/8 o 10, presiona clic derecho y seleccionasEjecutar como Administradorpara TODOS los programas.

CCleaner.-

  • Instalas y Ejecutas CCleaner siguiendo los pasos indicados en el manual.
  • Úsalo primero en su opción de Limpiador para borrar cookies, temporales de Internet y todos los archivos que te muestre como obsoletos.
  • Después usa su opción de Registro para limpiar todo el registro de Windows(haciendo copia de seguridad).

Malwarebytes.-

  • Instalas y Ejecutas MBAM como Administrador
  • Ve a la sección “Analizar” >> click en “Análisis Personalizado” >> click en el botón “Configurar análisis” >> Marcas todas las casilla de la Izquierda (incluyendo la de rootkits), y todas las unidades de la Derecha >> click en “Analizar ahora” para empezar el análisis.
  • Seleccionando “TODOS a Cuarentena” para enviarlo a la cuarentena y Reinicias el sistema.
  • Click en la sección “Informes” >> marca la casilla del informe “Informe de análisis” fijándote que concuerde Fecha y Hora del día del análisis >> click en el botón “Ver Informe” >> “Exportar” >> click “Copiar al portapapeles” >> Pega en tu siguiente Respuesta el contenido del bloc de notas como se muestra en la imagen de abajo, haciendo CTRL+V.

AdwCleaner.-

  • Ejecuta Adwcleaner.exe.
  • Pulsamos en el botón Analizar ahora , y espera a que se realice el proceso, inmediatamente pulsa siempre sobre el botón Iniciar Reparación .
  • Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas.
  • El log/informe lo encontramos en la pestaña “Informes”, volviendo a abrir el programa si fuese necesario, para poder copiarlo y pegarlo en tu próxima respuesta.
  • El informe también se puede encontrar en C:\AdwCleaner\Logs\AdwCleaner[C00].txt

:three: Poner los informes en tu próxima respuesta de :

  • Malwarebytes, AdwCleaner en ese orden.

Debes copiarlos y pegarlos con todo su contenido y usaras varios mensajes si recibes un mensaje de error indicando que es muy largo(mas de 50.000 caracteres aprox.).

:warning: Muy Importante :warning: envuelve cada uno de los informes con una etiqueta escrita CODE_Inicial al inicio del informe y otra como este CODE_Final al final del mismo, aquí tienes un ejemplo de como hacerlo :

Buenos días, no me deja instalar el malwarebytes, cuando lo ejecuto en administrador me pone se ha producido un error.

Hola @Enzof.

Una consulta… pero TU ya habias usado Malwarebytes y lo tenias instalado…??

Si y puse reporte ayer, pero joy me lo he descargado de nuevo como me dicen y no me deja ejecutarlo. Edito, tampoco me deja en modo seguro, el caso es que necesitamos trabajar. Gracias.

Pero NO te deja ejecutar la nueva instalación y tampoco YA os deja arrancar el programa que YA tuvisteis instalado…??

No, ninguno, tiene pinta de ser del virus, el que tenía instalado lo he borrado nada mas llegar.

Las demás herramientas/pasos que te indico @Facundo tampoco las has podido ejecutar…??

Si YA pudiste usar AdwCleaner pon el informe para poder analizarlo y además sigue estos pasos.

Utiliza las dos :arrow_right: Herramientas de desinstalación de Antivirus, AntiSpyware y Firewall, espeficias para Malwarebytes que encontraras aqui.

Usa primeo Mbam-clean(v2).exe y despues de hacerlo REINICIAS el equipo, a continuación usas MB-Clean.exe y REINICIAS de nuevo.

Descargas la nueva version de Malwarebytes desde aquí(hazlo de nuevo) :arrow_right: Malwarebytes Anti-Malware 4, y sigues estos pasos :

:one: Desactiva temporalmente el Antivirus :arrow_forward: Cómo deshabilitar temporalmente su Antivirus, mientras estemos realizando TODOS los pasos.

A continuación pruebas a REALIZAR la instalación de la nueva version de Malwarebytes 4.

Una vez la tengas instalada deberás seguir estos pasos para usarla :

:two: Malwarebytes Versión 4.

  • Presiona clic en “Use Malewarebytes Free” (Usar Malewarebyte gratis).

  • Pulsa en el botón “Open Malewarebytes Free”.

imagen

  • Presiona el botón “Scan” (Escaneo).

imagen

Una vez finalizado el escaneo aparecerá la siguiente pantalla:

imagen

  • Pulsa en “View report” (Ver informe).

  • Luego presionar el botón “Export” (Exportar). Elijes “Text file” (fichero de texto). Elijes un nombre y guardas ese archivo en el escritorio.

Nos pones el informe de Malwarebytes.

Guía: ¿Como Pegar reportes en el Foro?

Nos comentas como sigue vuestro problema. :thinking:

Buenas, he instalado el malwarebytes von internet conectado porque creo que ahora se hace así y me ha dejado, lo estoy pasando, no se si he hecho bien.

De acuerdo…lo fundamental era que pudieras instalarlo. :+1:

En cuanto tengas los informes de las dos herramientas los pones para verificarlos.

Saludos.

Buenas otra vez, Pongo informes: Malwarebytes

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 8/11/19
Hora del análisis: 10:28
Archivo de registro: 116bb26a-020a-11ea-a5a2-309c23af88aa.json

-Información del software-
Versión: 4.0.4.49
Versión de los componentes: 1.0.718
Versión del paquete de actualización: 1.0.14666
Licencia: Gratis

-Información del sistema-
SO: Windows 10 (Build 18362.418)
CPU: x64
Sistema de archivos: NTFS
Usuario: SERVER\usuario

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 607207
Amenazas detectadas: 14
Amenazas en cuarentena: 14
Tiempo transcurrido: 2 hr, 40 min, 2 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 3
Trojan.TrickBot.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{A2AC72E1-F9F3-4340-9FC0-D912AC67CE54}, En cuarentena, 4145, 758862, 1.0.14666, , ame, 
Trojan.TrickBot.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\BOOT\{A2AC72E1-F9F3-4340-9FC0-D912AC67CE54}, En cuarentena, 4145, 758863, , , , 
Trojan.TrickBot.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\System cache service, En cuarentena, 4145, 758863, 1.0.14666, , ame, 

Valor del registro: 1
Trojan.TrickBot.E, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{A2AC72E1-F9F3-4340-9FC0-D912AC67CE54}|PATH, En cuarentena, 4145, 758862, 1.0.14666, , ame, 

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 10
Trojan.TrickBot.E, C:\WINDOWS\SYSTEM32\TASKS\SYSTEM CACHE SERVICE, En cuarentena, 4145, 758863, , , , 
HackTool.Patcher, C:\COMPARTIDO\ADOBE ACROBAT\ACTIVATION.RAR, En cuarentena, 7628, 473286, 1.0.14666, 2967EC3AEFB163EB67E35148, dds, 00448366
CrackTool.Agent, C:\COMPARTIDO\ADOBE ACROBAT\AMTEMU.V0.9.2.WIN-PAINTER.ZIP, En cuarentena, 6038, 445980, 1.0.14666, 350F1D653B2F25C65ADA699D, dds, 00448366
HackTool.Patcher, C:\COMPARTIDO\ADOBE ACROBAT\ADOBE.SNR.PATCH.V2.0-PAINTER.ZIP, En cuarentena, 7628, 473286, 1.0.14666, 2967EC3AEFB163EB67E35148, dds, 00448366
Adware.ICLoader, C:\COMPARTIDO\PC MAXI\INSTALADOR_CRACK\INSTALADOR_CRACK.ZIP, En cuarentena, 493, 372250, 1.0.14666, , ame, 
HackTool.WinActivator, C:\USERS\USUARIO\APPDATA\ROAMING\Microsoft\Windows\Recent\Activador Windows 7 By-KinsniusT.lnk, En cuarentena, 7954, 352889, , , , 
HackTool.WinActivator, C:\USERS\USUARIO\DOCUMENTS\MEGASYNC DOWNLOADS\ACTIVADOR WINDOWS 7 BY-KINSNIUST.RAR, En cuarentena, 7954, 352889, 1.0.14666, BD757426EC83FA1381E8C223, dds, 00448366
RiskWare.Tool.HCK, C:\USERS\USUARIO\DOCUMENTS\PROGRAMAS\ADOBE.ACROBAT.PRO.DC.V2015.006.30060.MULTILINGUAL.INCL.KEYGEN-XFORCE\CRACK\PATCH PAINTER 1.5\ADOBE.SNR.PATCH-PAINTER.EXE, En cuarentena, 7461, 69152, 1.0.14666, EF43F1D39A7EA4AD1EB602E5, dds, 00448366
RiskWare.Tool.HCK, C:\USERS\USUARIO\DOCUMENTS\PROGRAMAS\ADOBE.ACROBAT.PRO.DC.V2015.006.30060.MULTILINGUAL.INCL.KEYGEN-XFORCE\ADOBE.ACROBAT.PRO.DC.V2015.006.30060.MULTILINGUAL.INCL.KEYGEN-XFORCE\CRACK\PATCH PAINTER 1.5\ADOBE.SNR.PATCH-PAINTER.EXE, En cuarentena, 7461, 69152, 1.0.14666, EF43F1D39A7EA4AD1EB602E5, dds, 00448366
PUP.Optional.SpyHunter, C:\USERS\USUARIO\DOCUMENTS\PROGRAMAS\SPYHUNTER-INSTALLER.EXE, En cuarentena, 5205, 433139, 1.0.14666, , ame, 

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Adwcleaner:

# -------------------------------
# Malwarebytes AdwCleaner 7.4.2.0
# -------------------------------
# Build:    10-21-2019
# Database: 2019-10-21.1 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    11-08-2019
# Duration: 00:00:00
# OS:       Windows 10 Pro
# Cleaned:  2
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\Users\Usuario\AppData\Local\DriverToolkit
Deleted       C:\Users\Usuario\Documents\mipony

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner_Debug.log - [6968 octets] - [08/11/2019 13:15:01]
AdwCleaner[S00].txt - [1503 octets] - [08/11/2019 13:15:20]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Hola.

Perfecto. :clap:

Llegaste a usar ESET Online, lo hiciste antes de usar Malwarebytes o después de usarlo la primera vez.??

De NO haberlo usado hazlo ahora y pon los resultados del informe, y recuerda comentarnos cómo siguen los problemas iniciales.

Además sería recomendable que cambiasteis la contraseñas de acceso de los equipos que han sido infectados además del resto de contraseñas que usen los usuarios de esos equipos en correos/mail, cuentas de acceso a servicios externos o internos o cualquiera otra.

Saludos.

Buenas tardes, Ayer paset eset y encontró 2 amenazas, no supe copiar el reporte, no sabía sacarlo, hoy he pasado todos y no encuentra amenazas. Cambié las contraseñas de los correos, pero no me atrevo a ponerlos con las nuevas en outlook, por si sigjen los virus. Gracias.

Parece que se ha quedado solucionado, muchas gracias por vuestra atencion.