Como puedo eliminar el virus de doble tilde? Revise el foro por 2 dias, probe todo lo que decian y no se soluciono. Intente descargar el DT-Kill, una version no es compatible con mi sistema, la otra tuve que usarla con compatibilidad de windows 7, analiza, supuestamente borra el virus, reinicia la pc y todo bien pero a los 15 minutos aproximadamente, vuelve a aparecer. Hice un escaneo completo de MalwareBytes que duro 10hs, encontro unas cuantas amenazas y borre absolutamente todo lo detectado. El virus sigue molestando, ya no se que hacer

Hola, buenas @oliverztb bienvenido al foro.

Trae ese reporte de Malwarebytes y si tienes/conservas otros logs pues también.

Muy Importante Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

report703×272 3.73 KB

Salu2.

Reporte.txt (3,8 KB)

Este seria el reporte del MB? Esta noche de todas formas voy a hacer otro escaneo completo por las dudas y cuando vuelva del trabajo tambien subo los resultados para ver si tiene algun cambio y alguien puede ayudarme con ello

Bien ha habido unos errores en la eliminación de algunos ficheros.

Te aré ejecutar de nuevo el Malwarebytes pero ojo… de una forma un poco diferente. EN BUSCA / ELIMINACIÓN DE MALWARE

(Mantén conectados todos tus dispositivos externos que tengas como: USBs, discos duros externos, etc).

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas y discos duros externos si también tienes.

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

0) Descarga Ccleaner Aquí te dejo su manual: Manual de CCleaner , para que sepas como usarlo y configurarlo correctamente.

Lo instalas y lo ejecutas. En la pestaña Limpieza personalizada dejas la configuración predeterminada. Haces clic en Analizar y esperas a que termine. Seguidamente haz clic en Ejecutar Limpiador. Clic en la pestaña Registro > clic en Buscar Problemas esperas que termine. Finalmente clic en Reparar Seleccionadas y realizas una Copia de Seguridad del registro de Windows.

1) Descarga, instala, actualiza y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente.

• Realizas un Análisis Personalizado, marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:

• Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
• Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

2) Descarga Adwcleaner en el escritorio.

• Desactiva tu antivirus Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
• Ejecuta Adwcleaner.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
• Pulsar en el botón Analizar Ahora, y espera a que se termine el análisis. Inmediatamente pulsa sobre el botón Iniciar Reparación.
• Espera a que termine y sigue las instrucciones que te aparezcan. Si te pidiera Reiniciar, pues reinicias el ordenador pulsando en Aceptar.
• Si no encuentra nada, pulsa en Omitir Reparación.
• El log lo encontrarás en la pestaña Informes, volviendo a abrir el programa, si es necesario o en la siguiente ubicación: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
• Para más información aquí te dejo su manual: Manual de Adwcleaner.
• Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

3) Utiliza nuevamente CCleaner tal como te dije en el punto 0.

Pegas los reportes de Malwarebytes y AdwCleaner y comentas como va el problema inicial planteado por el cual abriste este tema. También responde a las preguntas que te haya realizado a lo largo de este Post, siempre que te haya hecho alguna, si no, no

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

• No realices pasos/acciones que NOSOTROS no te hayamos indicado.
• No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
• No instales NADA (programas/software/complementos/extensiones del navegador…).
• No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
• No realices por tu cuenta otros procedimientos.
• Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

Muy Importante Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report703×272 3.73 KB

Salu2.

Ok, en la noche cuando me vaya a dormir realizo los pasos y dejo ejecutando el analisis de MalwareBytes porque va a tardar bastante y al volver del trabajo subo los resultados, muchas gracias

Ok de nada. Esta vez no te tardará tanto, ya que te he pedido que no marques la casilla de Rootkits.

Pues en el anterior análisis la tenías activada y por eso tardó más. Recuerda de no marcarla.

Salu2.

A ver, ya estaria todo. Este es el informe del analisis de MalwareBytes post limpieza con Ccleaner. Malwarebytes

-Detalles del registro- Fecha del análisis: 6/5/21 Hora del análisis: 2:49 Archivo de registro: db9d83d4-ae2e-11eb-bf4d-18c04d3bfb86.json

-Información del software- Versión: 4.3.0.98 Versión de los componentes: 1.0.1273 Versión del paquete de actualización: 1.0.40157 Licencia: Prueba

-Información del sistema- SO: Windows 10 (Build 19042.928) CPU: x64 Sistema de archivos: NTFS Usuario: System

-Resumen del análisis- Tipo de análisis: Análisis de amenazas Análisis iniciado por:: Programador de tareas Resultado: Completado Objetos analizados: 287622 Amenazas detectadas: 0 Amenazas en cuarentena: 0 Tiempo transcurrido: 7 min, 25 seg

-Opciones de análisis- Memoria: Activado Inicio: Activado Sistema de archivos: Activado Archivo: Activado Rootkits: Desactivado Heurística: Activado PUP: Detectar PUM: Detectar

-Detalles del análisis- Proceso: 0 (No hay elementos maliciosos detectados)

Módulo: 0 (No hay elementos maliciosos detectados)

Clave del registro: 0 (No hay elementos maliciosos detectados)

Valor del registro: 0 (No hay elementos maliciosos detectados)

Datos del registro: 0 (No hay elementos maliciosos detectados)

Secuencia de datos: 0 (No hay elementos maliciosos detectados)

Carpeta: 0 (No hay elementos maliciosos detectados)

Archivo: 0 (No hay elementos maliciosos detectados)

Sector físico: 0 (No hay elementos maliciosos detectados)

WMI: 0 (No hay elementos maliciosos detectados)

(end)

Y este el de Adwcleaner.

-------------------------------

Malwarebytes AdwCleaner 8.2.0.0

-------------------------------

Build: 03-22-2021

Database: 2021-04-28.3 (Cloud)

Support: https://www.malwarebytes.com/support

-------------------------------

Mode: Clean

-------------------------------

Start: 05-06-2021

Duration: 00:00:06

OS: Windows 10 Pro

Cleaned: 1

Failed: 0

***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted HKLM\Software\Wow6432Node\Classes\CLSID{8BF0126F-A5B7-4720-ABB2-2414A0AF5474}

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.

[+] Delete Tracing Keys [+] Reset Winsock

AdwCleaner[S00].txt - [1480 octets] - [06/05/2021 03:58:08]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Al terminar el analisis de AdwCleaner reinicie la PC. Y para la posible pregunta, si, el problema persiste, sigo notando las dobles tildes.

Hola, buenas @oliverztb

A partir de ahora pon los reportes tal y como te indique, ya que si no se me complica su lectura. Para ello debes de ponerlos en como ya te dije:

Respecto Malwarebytes >> el Análisis que tú has hecho es el Análisis de amenazas y yo te pedí el Análisis Personalizado. Así que dicho reporte nos sirve de nada. Repites de nuevo el Análisis Y LO HACES TAL Y COMO YO TE INDIQUÉ. Lee atentamente y presta MÁS atención a mis instrucciones.

Respecto AdwCleaner >> ha hecho lo que debía hacer y está todo correcto.

Traes de nuevo ese nuevo log y seguimos.

OK. Claro eso es porque dependiendo de que variantes no son tan fáciles de eliminar y puede llevar su rato. Pero si tienes paciencia ten por seguro que acabaremos con el malware que tienes en tu máquina.

Salu2.

Mil disculpas, ahora si ya estaria todo. Hice lo de Ccleaner.

Posterior MalwareBytes y el reporte es esto (la vez anterior tambien habia hecho el personalizado seleccionando todo menos los rootkits, no entendi porque estaba mal)

-Detalles del registro-
Fecha del análisis: 9/5/21
Hora del análisis: 14:17
Archivo de registro: 6ba782d2-b0ea-11eb-a55a-18c04d3bfb86.json

-Información del software-
Versión: 4.3.0.98
Versión de los componentes: 1.0.1273
Versión del paquete de actualización: 1.0.40264
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 19042.928)
CPU: x64
Sistema de archivos: NTFS
Usuario: OliverZTB\OliverZTB

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 688013
Amenazas detectadas: 5
Amenazas en cuarentena: 5
Tiempo transcurrido: 1 hr, 45 min, 32 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 1
Trojan.BrowserHijack, C:\PROGRAMDATA\VWYJI\ETVKGY\5E18FA38, En cuarentena, 2682, 938251, 1.0.40264, , ame, , , 

Archivo: 4
Trojan.BrowserHijack, C:\PROGRAMDATA\VWYJI\ETVKGY\5E18FA38\BACKGROUND.JS, En cuarentena, 2682, 938251, 1.0.40264, , ame, , 22673647D656C903D84EA85336BCE8CB, 90DA1E88532D5CAB712A265511ECA0366AE5FE5B21ECAFD1E38240DEC1D6AE3B
Trojan.BrowserHijack, C:\ProgramData\Vwyji\Etvkgy\5E18FA38\icon128.png, En cuarentena, 2682, 938251, , , , , 86DF701CE3B2191A415BDEF3222AB59F, E2712D19AA6AA4A29827E76C4DF53F54B5207AB9C90C0CB2202635072D41AA22
Trojan.BrowserHijack, C:\ProgramData\Vwyji\Etvkgy\5E18FA38\manifest.json, En cuarentena, 2682, 938251, , , , , D54A0DDF49792F15794778AB8D67E952, 5D338CF77DF99B762D26844EA40EF925A5E1F03780E2D5302E09D57C1F766619
Trojan.BrowserHijack, C:\ProgramData\Vwyji\Etvkgy\5E18FA38\nsfuhc, En cuarentena, 2682, 938251, , , , , E8DA8D3C33C9B2B6CE246BDE1BF2BB91, A6C172EFE57B9ABAD9B17A0E59CE461210D193B4DBA1F277DD2E8A2CC1BB808A

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Y este es el de AdwCleaner:

# -------------------------------
# Malwarebytes AdwCleaner 8.2.0.0
# -------------------------------
# Build:    03-22-2021
# Database: 2021-04-28.3 (Cloud)
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    05-06-2021
# Duration: 00:00:06
# OS:       Windows 10 Pro
# Cleaned:  1
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKLM\Software\Wow6432Node\\Classes\CLSID\{8BF0126F-A5B7-4720-ABB2-2414A0AF5474}

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1480 octets] - [06/05/2021 03:58:08]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Todavía no reinicié la PC y (por ahora) no tengo el problema de la doble tilde al parecer. Esperemos que siga así, hay algo mas para realizar o es cuestión de esperar que siga funcionando así? Muchísimas gracias por la paciencia y perdón por el error del otro día :((

Hola, buenas @oliverztb

Tranquilo, no pasa nada. perfecto. Ya veo que ya pones correctamente los logs

Bueno no hiciste el personalizado en la anterior ocasión… sino el de amenazas por eso no servía. Mira como puedes ver:

Aparte de que lógicamente al no ser un análisis tan profundo no se detectó absolutamente nada de nada. Como puedes ver:

Aparte… de que sí que seleccionaste la opción de rootkits:

Lo de los rootkits ya lo hiciste … pero por las razones comentadas anteriormente ese reporte no nos servía. Ahora sí… ya que ya ha detectado y eliminado algunas amenazas…

Respecto al de AdwCleaner >> no era necesario que lo volvieras a hacer, ya que estaba todo correcto. Todo y que veo un adware que tiene cierta persistencia.

Ok, pues reinicias el ordenador y pruébalo durante un rato y comentas como funciona este. Y si ha reaparecido el problema o si este ya no ha aparecido. Depende de la versión de la doble tilde que tengas… hay algunas más persistentes que otras y algunas más fáciles de eliminar que otras.

De nada. Tranquilo… somos humanos y nos equivocamos tod@s.

Salu2.

Reinicie y a los 10 minutos volvi´´o a aparecer jsajdajsd lpm

OK tal y como esperaba en un tanto % elevado ha vuelto.

EN BUSCA / ELIMINACIÓN DE MALWARE

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, USB, etc).

0) Descarga Eset Online Scaner Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y realizas un Análisis Personalizado tal y como se indica en su manual. Me traes su reporte.

1) Descarga Kasperky Virus Removal Tool Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y lo realizas tal y como se indica en su manual. En este caso no da reporte alguno, cuando finalice, presionas en la pestaña Report tal y como se indica en su manual y haces una captura de pantalla y la subes.

¿Como subir imágenes al Foro?

PRÓXIMA RESPUESTA

Pegas los reportes de Eset Online Scaner y Kasperky Virus Removal Tool (captura) y comentas como va el PC.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

• No realices pasos/acciones que NOSOTROS no te hayamos indicado.
• No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
• No instales NADA (programas/software/complementos/extensiones del navegador…).
• No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
• No realices por tu cuenta otros procedimientos.
• Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

Muy Importante Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report703×272 3.73 KB

Salu2.

ESET detecto algo en el mapa de caracteres del teclado, estoy seguro que el malware deberia estar ahi, y de paso tambien detecto algunos que otros .txt del bloc de notas que eran coinminers aparentemente, todavia se sigue analizando apenas termine te paso los reportes de cada cosa

ya es bueno que detecte cosas.

Cuando tengas ambos logs los traes… sin prisas.

Salu2.

Reporte de ESET

10/5/2021 02:33:31
Archivos explorados: 584740
Archivos detectados: 1
Archivos desinfectados: 1
Tiempo total de exploración 03:18:49
Estado de la exploración: Finalizado


C:\Games\Devil May Cry 4 Special Edition\steam_api.dll	una variante de Win32/HackTool.Crack.CM aplicación potencialmente no segura	desinfectado por eliminación

KVRT no detecto nada.

Hola, buenas @oliverztb

Respecto el ESET >> ha hecho lo que debía hacer.

Respecto el KVRT >> está limpio.

Aunque no lo comentas… sigue la doble tilde. ¿Correcto lo que digo? Aparte de confirmar lo que comentó. Cuéntame también acerca del estado actual de la máquina… Es decir… como funciona… ¿Va más fluida?

Salu2.

Es una PC gama media/alta, nunca tuvo tirones ni ningun problema de rendimiento, solo ese molesto malware de la doble tilde. Fuera de eso, 0 problemas.

Hola, buenas nuevamente @oliverztb

perfecto.

¿Sigue el malware de la doble tilde y en ningún momento ha desaparecido? ¿Correcto?

Salu2.

Exactamente, desaparecia muy poco tiempo, 15 minutos despues de un reinicio que aparentemente haya eliminado el malware.

OK como imaginaba… tenemos que acabar tirando de FRST… . Así que… ahora harás esto:

EN BUSCA / ELIMINACIÓN DE MALWARE

Desactivas tu antivirus Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.

LO DESCARGAS EN TU ESCRITORIO MUY IMPORTANTE (y no en otro sitio).

Descargas Farbar Recovery Scan Tool MUY IMPORTANTE >> seleccionas la versión adecuada para la arquitectura correspondiente de tu Ordenador (32 o 64bits). ¿Cómo saber si mi Windows es de 32 o 64 bits.?

Una vez descargado FRST, desconectas tu equipo de completamente de Internet (apagas el router) >> Super Importante. Acto seguido, cierras también cualquier otro programa que tengas abierto.

Farbar Recovery Scan Tool

1. Ejecutas el FRST.exe (Si utilizas Windows Vista/7/8 o 10, presionas click derecho y seleccionas Ejecutar como Administrador).

2. Aparecerá una ventana con un mensaje de Disclaimer/Responsabilidad, presionas sobre Si o Yes.

3. En la ventana principal del programa presionas sobre Analizar/Scan y esperas a que finalice el análisis.

4. Aparecerán dos logs/reportes que serán: Frst.txt y Addition.txt, estos quedarán guardados en el escritorio.

Activas de nuevo tu antivirus y cualquier programa de seguridad que tengas activado. También conectas nuevamente tu equipo a Internet.

PRÓXIMA RESPUESTA

Pegas los reportes de FRST.txt y Addition.txt. Debes de poner ambos reportes todos enteros con absolutamente todo su contenido. Deberás de realizar varios mensajes si recibes un mensaje de error/advertencia indicando que es muy largo dicho reporte que formará el mensaje (más de 50.000 carácteres aprox.).

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

• No realices pasos/acciones que NOSOTROS no te hayamos indicado.
• No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
• No instales NADA (programas/software/complementos/extensiones del navegador…).
• No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
• No realices por tu cuenta otros procedimientos.
• Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

Muy Importante Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report703×272 3.73 KB

Salu2.