Virus Doble Tilde

Estimados, he recurrido a uds solicitando ayuda, he leido en el foro sobre el Virus de la Doble Tilde, de hecho lo tengo y ya intenté eliminarlo, con la aplicación que mencionaron el DTKILL, el tema es que claramente desapareció el problema pero vuelve, cabe mencionar que tengo windows 10 y utilicé el DTkill con compatibilidad para windows 7 ya que en 10 no funcionaba.

Hola, buenas @anrriu

Dicha herramienta hoy en día ya no la utilizamos. Está obsoleta totalmente, aunque dependiendo de la variante con la cual te hayas infectado (más moderna o antigua) puede aun así según cuál sea eliminarla completamente, parcialmente (y que vuelva) o no hacerle ni cosquillas.

Bien dicho esto:

:one: EN BUSCA / ELIMINACIÓN DE MALWARE

(Mantén conectados todos tus dispositivos externos que tengas como: USBs, discos duros externos, etc).

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas y discos duros externos si también tienes.

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

0) Descarga Ccleaner Aquí te dejo su manual: Manual de CCleaner , para que sepas como usarlo y configurarlo correctamente.

Lo instalas y lo ejecutas. En la pestaña Limpieza personalizada dejas la configuración predeterminada. Haces clic en Analizar y esperas a que termine. Seguidamente haz clic en Ejecutar Limpiador. Clic en la pestaña Registro > clic en Buscar Problemas esperas que termine. Finalmente clic en Reparar Seleccionadas y realizas una Copia de Seguridad del registro de Windows.

1) Descarga, instala, actualiza y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente.

  • Realizas un Análisis Personalizado, marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:

1. Analizar objetos en memoria

2. Analizar configuracion de inicio y registro

3. Analizar dentro de los archivos

  • Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
  • Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

2) Descarga Adwcleaner en el escritorio.

  • Desactiva tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
  • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
  • Pulsar en el botón Analizar Ahora, y espera a que se termine el análisis. Inmediatamente pulsa sobre el botón Iniciar Reparación.
  • Espera a que termine y sigue las instrucciones que te aparezcan. Si te pidiera Reiniciar, pues reinicias el ordenador pulsando en Aceptar.
  • Si no encuentra nada, pulsa en Omitir Reparación.
  • El log lo encontrarás en la pestaña Informes, volviendo a abrir el programa, si es necesario o en la siguiente ubicación: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
  • Para más información aquí te dejo su manual: Manual de Adwcleaner.
  • Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

3) Con UsbFix y con su manual: Manual de UsbFix , para que sepas como usarlo y configurarlo correctamente. Recuerda conectar todos tus dispositivos extraíbles (USBs, discos duros, Micro SD, etc).

Con todas las unidades conectadas, lo ejecutas como Administrador, y vacunas los dispositivos, siguiendo los pasos del Manual. Me confirmas si has podido vacunarlos con éxito y si aparecen alguna de las dos carpetas que nombro más abajo.

Nota: UsbFix creará una carpeta oculta llamada “$RECYCLE.BIN” “autorun.inf” en cada partición y cada unidad USB que se encuentre conectado al momento de ejecutar este. No elimines estas carpetas de ningún lugar en el que se hayan creado, ya que estas ayudará a prevenir y proteger tus dispositivos extraíbles y particiones de futuras infecciones.

5) Utiliza nuevamente CCleaner tal como te dije en el punto 0.

Pegas los reportes de Malwarebytes y AdwCleaner y comentas como va el problema inicial planteado por el cual abriste este tema. También responde a las preguntas que te haya realizado a lo largo de este Post, siempre que te haya hecho alguna, si no, no

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

Gracias por tu pronta respuesta.

Ya realicé las pasadas correspondientes y el ADW pudo identificar la extensión en el Chrome, la elimina y funciona todo ok, el problema que después vuelve xD.

Te pegaré los reportes a continuación:

ADW

# -------------------------------
# Malwarebytes AdwCleaner 8.2.0.0
# -------------------------------
# Build:    03-22-2021
# Database: 2021-04-01.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    04-03-2021
# Duration: 00:00:00
# OS:       Windows 10 Home Single Language
# Cleaned:  1
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

Deleted       ejddjnilmdncjilbfjgameihlklfpohp

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1787 octets] - [03/04/2021 01:36:41]
AdwCleaner[C00].txt - [1994 octets] - [03/04/2021 01:37:52]
AdwCleaner[S01].txt - [1544 octets] - [03/04/2021 01:42:43]
AdwCleaner[S02].txt - [1633 octets] - [03/04/2021 13:35:10]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C02].txt ##########

MALWAREBYTES

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 3/4/21
Hora del análisis: 13:46
Archivo de registro: 24e70cb0-949c-11eb-a28b-04d4c46c9467.json

-Información del software-
Versión: 4.2.0.82
Versión de los componentes: 1.0.613
Versión del paquete de actualización: 1.0.39066
Licencia: Premium

-Información del sistema-
SO: Windows 10 (Build 19041.867)
CPU: x64
Sistema de archivos: NTFS
Usuario: DESKTOP-LD7Q392\Eduardo

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 495754
Amenazas detectadas: 7
Amenazas en cuarentena: 0
Tiempo transcurrido: 1 hr, 50 min, 36 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Advertencia
PUM: Advertencia

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 2
HackTool.KMSpico, C:\Program Files\KMSpico, Sin acciones por parte del usuario, 7204, 921550, 1.0.39066, , ame, 
HackTool.KMSpico, C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico, Sin acciones por parte del usuario, 7204, 921555, 1.0.39066, , ame, 

Archivo: 5
RiskWare.KMS, C:\USERS\EDUARDO\APPDATA\ROAMING\Microsoft\Windows\Recent\K12ACTIVATOR.lnk, Sin acciones por parte del usuario, 3774, 835829, , , , 
RiskWare.KMS, C:\USERS\EDUARDO\DOWNLOADS\ACTIVADOR WINDOWS-OFFICE\K12ACTIVATOR.RAR, Sin acciones por parte del usuario, 3774, 835829, 1.0.39066, , ame, 
RiskWare.KMS, C:\USERS\EDUARDO\APPDATA\ROAMING\Microsoft\Windows\Recent\KMSpico.v10.1.6.FINAl By WAYTHREES.lnk, Sin acciones por parte del usuario, 3774, 835829, , , , 
RiskWare.KMS, C:\USERS\EDUARDO\DOWNLOADS\KMSPICO.V10.1.6.FINAL BY WAYTHREES.RAR, Sin acciones por parte del usuario, 3774, 835829, 1.0.39066, 7E09BC0F4E69F558D8873E06, dds, 01186035
PUP.Optional.BundleInstaller, C:\USERS\EDUARDO\DOWNLOADS\UTORRENT.EXE, Sin acciones por parte del usuario, 520, 790622, 1.0.39066, , ame, 

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Hola, buenas @anrriu perdona que haya tardado en responder. La vida que se me complica exponencialmente… bueno… vamos al lío.

OK. :-1:

Respecto AdwCleaner >> este ha estado ejecutado correctamente y si detecta una extensión del navegador como Adware. De todas formas esa extensión aunque sea Adware no es la causante del Virus de la Doble Tilde.

Respecto Malwarebytes >> has activado la opción de Rootkits cuando yo no te lo indique. Pues puede hacer que el programa se cuelgue y no finalice el análisis o hacer que este tarde muchísimo. En tu caso has tenido suerte, ya que ha tardado poco.

De todas formas veo que a malwares variados y veo que no has realizado ninguna acción al respecto con estos. Manda dichos archivos detectados a la Cuarentena del Malwarebytes y reinicias el ordenador.

Tu sistema operativo es :pirate_flag: ¿Correcto?

Básicamente los KEYGENS, CRACKS y etc… Nunca descargues cosas de estas en tu máquina principal o de uso diario, ya que después te traes sorpresas y pasa lo que pasa…

Nunca jamás de los jamases descargues software o sistemas operativos de tipo comercial/de pago pirateado/crackeado para ahorrar dinero. Pues la gran mayoría de este software de pago crackeado y de forma gratuita trae como regalo fabulosos y maravillosos malwares.

Respondes a las preguntas que te haya hecho y Comentas como sigue el problema inicial planteado por el cual abriste/creaste este tema.

Salu2.

Estuve 3 días peleando con este virus y por eso comparto la solución que me funcionó:

Abrir el Programador de tareas como administrador y esperar a que se llene la lista. Todas las tareas tienen nombres y descripciones legibles, pero yo encontré una cuyo nombre son letras sin sentido, algo así como Zdsfghtrtrttw y con descripción con el mismo estilo. Eliminé la tarea y reinicié y problema resuelto.

El virus se activa unos minutos después de iniciar Windows y también agrega una extensión al Chrome y a Opera, llamada WSuperTable. Si ves los detalles de esta extensión, verás que hace referencia a una carpeta llamada Qflosx. Lamentablemente, no sé exactamente cómo se salta esta instalación, pues intenté varios métodos antes de borrar la tarea programada e ignoro cuál método funcionó para impedir la instalación de la extensión. Pero usé CCleaner y Adware en modo seguro.

Ojo: El virus me robó los datos de acceso a Facebook e hizo publicaciones en mi cuenta que fueron borradas por los manejadores de Facebook. Por eso recomiendo la máxima atención si tienes este virus.

César Lozada

Hola, buenas @cloz54 te doy la bienvenida al foro.

Muchas gracias por realizar tu aporte y contarnos como pudiste combatir este “Virus”. Hay variantes diversas de este y unas hacen unas cosas y otras pues otras.

Te comento que con todo lo que has hecho todo y que ya tengas el malware inactivo “aparentemente” en tu máquina estoy seguro de que aún quedan restos de este/piezas de malware inactivas en tu máquina.

Sí en el futuro tienes problemas para quitar extensiones que no se dejan eliminar (muy probablemente no deseadas o instaladas por malware), mírate este enlace: https://www.howtogeek.com/140464/how-to-manually-uninstall-a-globally-installed-chrome-extension/

Depende de la variante que te haya tocado… pero si hay variantes de este malware especializadas en robar credenciales de todo tipo. Así que una recomendación muy particular que te doy (teniendo en cuenta lo poco que conozco de tu caso) es:

  1. Cambia las contraseñas de todas tus cuentas que hayas utilizado recientemente en esa máquina.. Utiliza contraseñas robustas, que tengan palabras poco conocidas. De una longitud de como mínimo 10 o más dígitos y que tengan (mayúsculas, minúsculas, números y símbolos especiales siempre que sea posible). Modifícalas, cámbialas cada ‘X’ tiempo, utiliza siempre que sea posible factor de doble autentificación y no utilices la misma, password para diferentes servicios.

Salu2.

Gracias, Marr0n.

Saludos

1 me gusta