Virus detectados ¿quedan rastros?

OK @Diarasas

Inicia la máquina en Modo Seguro sin Red y prueba de nuevo. Reinicias la máquina y comenta de nuevo.

Marr0n, me salió de nuevo lo de windows repair dejó de funcionar

OK.

¿Cómo va el ordenador en general aparte de lo de la CPU?

Todo lo demás anda bien

@Diarasas

¿Cuántos años/tiempo de uso aprox. tiene tu disco duro HDD donde tienes el sistema operativo (Unidad C)?

Tiene unos 7 años de uso

OK. Pues entonces no esta demás que hagamos lo siguiente:

Quiero saber el estado exacto de salud de tu disco duro, para ello haces lo siguiente:

:one: HDD Tune Pro (realizaremos el >> test de superficie)

Descargas dicho programa y realizaremos un test de superficie. En este caso utilizaremos la versión Free Trial que es de prueba gratuita y que te funcionará durante unos días como si hubieses comprado la Trial.

Lo ejecutas y realizas lo siguiente:

  1. Seleccionas el disco duro de tu sistema (en tu caso el que tiene la letra C), puedes saber cuál es por su capacidad y modelo de fabricante.

  2. Haces clic en la pestaña Error Scan.

  3. Pulsas en el botón de Start.

  4. Al finalizar, me envías una captura de pantalla como ya sabes de la pestaña llamada: Error Scan.

Aquí te dejo una imagen por si te ayuda a utilizar el programa:

NO REALICES NINGÚN TIPO DE ACCIÓN CON EL ordenador MIENTRAS SE ESTÉ ESCANEANDO EL DISCO. Puede tardar bastante dependiendo de la capacidad de este y en que estado de salud se encuentre.

:two: Hard Disk Sentinel

  1. Descárgalo de Hard Disk Sentinel Trial v5.70 (ZIP)
  2. Descomprímelo en el escritorio y lo ejecutas.
  3. Finalmente, me envías una captura de pantalla como ya sabes de lo siguiente: donde se visualice la pantalla principal del programa. Para ello solo debes de ejecutar él programa, y capturar la primera pantalla que este te muestre (no debes de realizar ninguna acción interna con este programa, solo abrirlo y hacer lo que te he dicho).

Tranquilo que ya solo quedan una vez hecho esto del disco duro, una o dos cosas y ya esta (siempre y cuando el disco duro este PERFECTO).

Salu2.

Hola, dejo las fotos

HDD Tune Pro

Hard Disk Sentinel

Saludos!

Hola

No se si va al caso, pero a la madrugada estaba navegando por internet y de pronto el kaspersky detectó y bloqueó un ataque de red “Scan.Generic.PortScan.UDP” (al parecer de Chile ¿?). Me fijé en la página de estadísticas del kaspersky y vi que muchos recibieron esta clase de ataques estos días; ¿debo preocuparme?

Saludos

Hola, buenas @Diarasas perdona que haya tardado en responder. La vida que se me complica exponencialmente… bueno… vamos al lío.

Respecto al disco duro pues por el tiempo que tiene y horas de uso tiene una muy buena salud. Sí que es verdad que tiene un 98 % de salud pero este está bien. De todas formas sí que te recomendaría igualmente tener una copia de seguridad de todos tus datos más importantes.

¿En qué página/páginas exactamente estabas visitando? Dime exactamente cuáles.

¿Tienes otras máquinas/ordenadores conectados en tu red? Si es así… ¿Sabes si estos están infectados?

Salu2.

Hola, no pasa nada que hayas tardado, cada quien tiene sus cosas que hacer :grin:

Sobre el tema

*La página exacta no recuerdo, tenía varias pestañas abiertas. Lo que estaba buscando eran opiniones sobre procesadores/placas madres/etc para armar una nueva pc. No se si habrá tenido que ver, pero varias horas antes conecté mi celular para pasar un archivo word enviado por whatsapp para imprimir (me lo envió una persona conocida). El archivo era un documento, lo edité y lo imprimí. ¨

*Ligado a las maquinas/ordenadores conectados a mi red. Son: 3 celulares, 1 tablet, 1 pc de escritorio vieja (que casi ni se usa) y mi equipo; además de una notebook de una persona que viene cada tanto (la misma que me envió el archivo word)

*Sobre la copia de seguridad, lo voy a hacer

Otra pregunta: ¿descargo e instalo las actualizaciones de windows? me llegó que hay disponibles

Saludos

Hola @Diarasas

Sip, correcto.

OK.

OK.

Mejor cuando hayamos asegurado que está todo limpio. Que en principio lo esta, ya que ya lo aseguramos. Pero comentándome todo esto, prefiero verificarlo nuevamente. No conectes a ser posible en tu red los siguientes dispositivos:

1 pc de escritorio vieja (que casi ni se usa) y mi equipo; además de una notebook de una persona que viene cada tanto (la misma que me envió el archivo word)

Es decir, mantén conectada solo este PC. Pues la advertencia del Kaspersky es muy probable que sea por esto: Kaspersky Threats — Scan.Generic.UDP

¿Cuándo apareció dicha advertencia del Kaspersky tenías en tu red conectada alguna de esas computadoras?

Mejor después. Ya te lo indicaré.

Salu2.

Hola

Fue en la madrugada 2:00 AM, solo yo estaba usando la red. Los únicos conectados eran mi celular (en ese momento no lo estaba usando) y mi equipo.

OK.

Pasa nuevamente el ESET tal y como te indique.

Descarga nuevamente el Kasperky virus removal tool y Dr Web y los pasas tal y como te indique.

Traes los 3 logs.

P.D.: Lo que te ha sucedido básicamente es que de alguna forma hacia tu computadora se le ha realizado un escaneo (a tu red o directamente a tu PC) para poder recolectar información diversa para realizar algún ataque/explotación de tu sistema. Esto se conoce como footprinting, si dicho ataque tiene éxito, puede darles información valiosa de tus sistemas a los cibertatacantes para poder ver que forma/vector de ataque resulta más factible para vulnerar e infectar/acceder a tu máquina.

De todas formas Kaspersky te informa que ha bloqueado/neutralizado dicho ataque. Por tanto, no ha tenido éxito.

Por eso pregunte lo de los dispositivos de tu red y también exactamente en que web/webs estabas navegando.

¿Tenía macros el fichero de Word?

De la foto del Kaspersky lo que tapaste: ¿Qué ponía? Ya que podría ayudarme a identificar el vector de ataque.

Salu2.

Hola Te respondo las preguntas y después hago los escaneos.

Creo que no tenía macros, era un cuadro que había que rellenar con tus datos. Solamente abrí e imprimí el archivo, no puse mis datos. El archivo lo tengo en whatsapp pero no en mi computadora, ya lo borré. Si hay que hacer algún análisis lo puedo pasar al pc

Lo tapado en la sección de objeto son datos de mi ubicación, muestra con exactitud la ciudad en donde vivo (lo tapé por seguridad). El UPD e IP que dejé fue desde que lugar se originó el ataque

Saludos

@Diarasas

Hazlo. No lo ejecutes muy importante. Pero hazlo y súbelo también a VirusTotal y me traes el link de dicho archivo ya analizado.

OK. ¿Utilizas o necesitas tener activado IPV6 en tu máquina?

Traes los logs.

Salu2.

Hola, te paso todo

Eset

28/03/2021 00:03:27 a.m. Archivos explorados: 409463 Archivos detectados: 0 Archivos desinfectados: 0 Tiempo total de exploración: 02:17:20 Estado de la exploración: Finalizado

Kasperky virus removal tool

Dr Web

-----------------------------------------------------------------------------
Start curing
-----------------------------------------------------------------------------

C:\program files (x86)\usbfix\usbfix.exe - quarantined
C:\Program Files (x86)\UsbFix\Un-UsbFix.exe - quarantined
C:\Users\Gastón.idea-PC\Desktop\UsbFix_2020.exe - quarantined

Total 248099327636 bytes in 459308 files scanned (683603 objects)
Total 459244 files (683493 objects) are clean
Total 3 files (4 objects) are infected
Total 3 files are neutralized
Total 103 files are raised error condition
Scan time is 02:12:37.864

Los archivos word los analicé y están limpios https://www.virustotal.com/gui/file/3f6d2983d3ecd85a9616674db81569d7b389a575c00e62d0b0616bb86c40ef50/detection https://www.virustotal.com/gui/file/f6537e3212864f5ddf5325b2358307df7b0b06e7d5ee5d81572a5abfd65aeb74/detection

Respecto a lo del IPV6, no se que es eso; tampoco se si lo estoy usando o que beneficios trae

Saludos

Hola @Diarasas

Respecto a ESET >> está limpio.

Respecto a Kasperky virus removal tool >> está limpio.

Respecto a Dr Web >> son falsos positivos, ya que es el Usbfix que utilizamos en su momento. Todo y que por lo que veo dice:

Total 103 files are raised error condition

Así que en todo el reporte que es super extenso, busca en alguna parte que diga: Total 103 files are raised error condition y tendrían que acabar con la palabra read error.

Pues traes toda esa parte donde aparezcan los 103 archivos (será así o algo parecido en cuanto a los mensajes que indico).

Respecto los archivos de Virustotal >> :+1:

OK. Mírate/lee esto >> Carácteristicas y diferencias protocolo internet IPV4 e IPV6 - Solvetic

Si no utilizas IPV6, pues desactívalo.

EN TU PRÓXIMA RESPUESTA

  • Comentas lo del IPV6.
  • Traes las líneas pedidas de Dr web cureit.

Salu2.

Hola, leí lo que mandaste y al final desactivé el IPV6 (siguiendo el tutorial de esa página).

Dr Web cureit

E: - read error
F:\AUTORUN.INF - read error
C:\WINDOWS\system32\catroot2\edb.log - read error
C:\WINDOWS\system32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb - read error
C:\WINDOWS\system32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb - read error
C:\WINDOWS\system32\config\BBI - read error
C:\WINDOWS\system32\config\BBI.LOG1 - read error
C:\WINDOWS\system32\config\BBI.LOG2 - read error
C:\WINDOWS\system32\config\default - read error
C:\WINDOWS\system32\config\DEFAULT.LOG1 - read error
C:\WINDOWS\system32\config\DEFAULT.LOG2 - read error
C:\WINDOWS\system32\config\sam - read error
C:\WINDOWS\system32\config\SAM.LOG1 - read error
C:\WINDOWS\system32\config\SAM.LOG2 - read error
C:\WINDOWS\system32\config\security - read error
C:\WINDOWS\system32\config\SECURITY.LOG1 - read error
C:\WINDOWS\system32\config\SECURITY.LOG2 - read error
C:\WINDOWS\system32\config\software - read error
C:\WINDOWS\system32\config\SOFTWARE.LOG1 - read error
C:\WINDOWS\system32\config\SOFTWARE.LOG2 - read error
C:\WINDOWS\system32\config\system - read error
C:\WINDOWS\system32\config\SYSTEM.LOG1 - read error
C:\WINDOWS\system32\config\SYSTEM.LOG2 - read error
C:\WINDOWS\system32\config\RegBack\DEFAULT - read error
C:\WINDOWS\system32\config\RegBack\SAM - read error
C:\WINDOWS\system32\config\RegBack\SECURITY - read error
C:\WINDOWS\system32\config\RegBack\SOFTWARE - read error
C:\WINDOWS\system32\config\RegBack\SYSTEM - read error
C:\pagefile.sys - read error
C:\swapfile.sys - read error
C:\ProgramData\Kaspersky Lab\AVP21.3\Data\reports.db - read error
C:\ProgramData\Kaspersky Lab\AVP21.3\Data\storage_kav.kvdb - read error
C:\ProgramData\Kaspersky Lab\AVP21.3\Data\storage_kfa.kvdb - read error
C:\ProgramData\Kaspersky Lab\AVP21.3\Data\storage_kis.kvdb - read error
C:\ProgramData\Kaspersky Lab\AVP21.3\Data\storage_pure.kvdb - read error
C:\ProgramData\Kaspersky Lab\AVP21.3\Data\storage_saas.kvdb - read error
C:\ProgramData\Kaspersky Lab\AVP21.3\Data\storage_saas.kvdb-wal - read error
C:\ProgramData\Kaspersky Lab\AVP21.3\Report\Database\reports.db - read error
C:\ProgramData\Kaspersky Lab\AVP21.3\Report\Database\reports.db-wal - read error
C:\System Volume Information\ISwift3.dat - read error
C:\System Volume Information\kliddb.dat - read error
C:\System Volume Information\klmeta.dat - read error
C:\System Volume Information\klobjdb.dat - read error
C:\System Volume Information\{3808876b-c176-4e48-b7ae-04046e6cc752} - read error
C:\System Volume Information\{442ae176-8374-11eb-84c7-2016d8bee72a}{3808876b-c176-4e48-b7ae-04046e6cc752} - read error
C:\System Volume Information\{45d03fb7-89c3-11eb-84d9-2016d8bee72a}{3808876b-c176-4e48-b7ae-04046e6cc752} - read error
C:\Users\Gastón.idea-PC\ntuser.dat - read error
C:\Users\Gastón.idea-PC\ntuser.dat.LOG1 - read error
C:\Users\Gastón.idea-PC\ntuser.dat.LOG2 - read error
C:\Users\Gastón.idea-PC\AppData\Local\Microsoft\Windows\UsrClass.dat - read error
C:\Users\Gastón.idea-PC\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG1 - read error
C:\Users\Gastón.idea-PC\AppData\Local\Microsoft\Windows\UsrClass.dat.LOG2 - read error
C:\Users\Gastón.idea-PC\AppData\Local\Microsoft\Windows\WebCacheLock.dat - read error
C:\Users\Gastón.idea-PC\AppData\Local\Microsoft\Windows\Notifications\WPNPRMRY.tmp - read error
C:\Users\Gastón.idea-PC\AppData\Local\Microsoft\Windows\WebCache\V01.log - read error
C:\Users\Gastón.idea-PC\AppData\Local\Microsoft\Windows\WebCache\WebCacheV01.dat - read error
C:\Windows\ServiceProfiles\LocalService\ntuser.dat - read error
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT.LOG1 - read error
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT.LOG2 - read error
C:\Windows\ServiceProfiles\NetworkService\ntuser.dat - read error
C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT.LOG1 - read error
C:\Windows\ServiceProfiles\NetworkService\NTUSER.DAT.LOG2 - read error
C:\Windows\System32\catroot2\edb.log - read error
C:\Windows\System32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb - read error
C:\Windows\System32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb - read error
C:\Windows\System32\config\BBI - read error
C:\Windows\System32\config\BBI.LOG1 - read error
C:\Windows\System32\config\BBI.LOG2 - read error
C:\Windows\System32\config\default - read error
C:\Windows\System32\config\SAM.LOG1 - read error
C:\Windows\System32\config\SAM.LOG2 - read error
C:\Windows\System32\config\security - read error
C:\Windows\System32\config\sam - read error
C:\Windows\System32\config\SECURITY.LOG1 - read error
C:\Windows\System32\config\SECURITY.LOG2 - read error
C:\Windows\System32\config\software - read error
C:\Windows\System32\config\RegBack\DEFAULT - read error
C:\Windows\System32\config\RegBack\SAM - read error
C:\Windows\System32\config\RegBack\SECURITY - read error
C:\Windows\System32\config\RegBack\SOFTWARE - read error
C:\Windows\System32\config\RegBack\SYSTEM - read error
D:\System Volume Information\klmeta.dat - read error
C:\pagefile.sys - read error
C:\swapfile.sys - read error
C:\WINDOWS\system32\catroot2\edb.log - read error
C:\WINDOWS\system32\catroot2\{127D0A1D-4EF2-11D1-8608-00C04FC295EE}\catdb - read error
C:\WINDOWS\system32\catroot2\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\catdb - read error
C:\WINDOWS\system32\config\BBI - read error
C:\WINDOWS\system32\config\BBI.LOG1 - read error
C:\WINDOWS\system32\config\BBI.LOG2 - read error
C:\WINDOWS\system32\config\default - read error
C:\WINDOWS\system32\config\DEFAULT.LOG1 - read error
C:\WINDOWS\system32\config\DEFAULT.LOG2 - read error
C:\WINDOWS\system32\config\sam - read error
C:\WINDOWS\system32\config\SAM.LOG1 - read error
C:\WINDOWS\system32\config\SAM.LOG2 - read error
C:\WINDOWS\system32\config\security - read error
C:\WINDOWS\system32\config\SECURITY.LOG1 - read error
C:\WINDOWS\system32\config\SECURITY.LOG2 - read error
C:\WINDOWS\system32\config\software - read error
C:\WINDOWS\system32\config\SOFTWARE.LOG1 - read error
C:\WINDOWS\system32\config\SOFTWARE.LOG2 - read error
C:\WINDOWS\system32\config\system - read error
C:\WINDOWS\system32\config\SYSTEM.LOG1 - read error
C:\WINDOWS\system32\config\SYSTEM.LOG2 - read error
C:\WINDOWS\system32\config\RegBack\DEFAULT - read error
C:\WINDOWS\system32\config\RegBack\SAM - read error
C:\WINDOWS\system32\config\RegBack\SECURITY - read error
C:\WINDOWS\system32\config\RegBack\SYSTEM - read error

Saludos!

Hola @Diarasas

Respecto IPV6 >> OK :+1:

Respecto Dr Web cureit >> ¿Te dejo seleccionar E: y F: ?

De todas formas realiza un Análisis Personalizado con Malwarebytes como te indiqué en su momento pero solo de E: y F:. Traes el reporte.

Salu2.