Virus minería

Tengo la leve sospecha de tener un virus de minado de criptomonedas remoto en mi PC ya que al encenderla ya la velocidad de reloj está al máximo y a 100% de uso constante sin ningún programa abierto, solo estando en el escritorio. Que puedo hacer para encontrarlo y eventualmente quitarlo de mi PC?

¿Tienes acceso a otro ordenador que no sea ése? Te lo pregunto porque para solucionar tu problema vamos a necesitar crear un live CD antivirus, y para crearlo vamos a necesitar otro ordenador distinto.

Nope, no tengo otra PC a disposción

Bien, entonces no nos queda otra más que sobrecargar de trabajo a la CPU del procesador, que era lo que no quería hacer. Sigue estos pasos:

1. Actualiza Windows.
2. Actualiza tu antivirus.
3. Reinicia el ordenador en modo seguro.
4. Ejecuta un análisis profundo de tu ordenador con tu antivirus, eliminando todo lo que te encuentre.
5. Reinicia el ordenador en modo normal.
6. Repite el paso 4.

Mi antivirus es MalwareBytes, al iniciar el modo seguro y realizar en análisis, llegó a examinar aproximadamente 300.000 archivos en 1h y tuvo 2 detecciones, pero la pantalla se puso negra y me obligó a reiniciar la PC, eso es indicación de otro Malware o pasó de casualidad?

Éso fue de casualidad, ya que el malware (virus, gusanos, troyanos, spyware, etc.) no se puede ejecutar en el modo seguro de Windows. Intenta realizar el mismo proceso de nuevo y comenta los resultados aquí.

Hola buenas…

Con permiso de @Gwain40 y @oliverztb, disculpad mi intromisión.

Eso no es del todo verdad… depende de lo escurridizo que sea el bicho. Depende…

Sería interesante que puedas recuperar ese Log para que el compañero @Gwain40 pueda analizarlo y ver que es exactamente que es lo que se detectó.

Siguen ustedes.

Salu2.

Gracias por informarme Esque yo soy de la vieja escuela y antes los bichos no eran tan resistentes.

@oliverztb, haz lo que indica el compañero @Marr0n.

No creo poder recuperar ese log porque la pantalla se puso negra antes de terminar el análisis así que no sé si quedó guardado. Ahora pruebo hacer el analisís denuevo, vuelvo cuando termine.

Ok, perfecto @oliverztb

Por aquí te esperamos.

Salu2.

P.D.:

De nada @Gwain40. Yo también soy de “la vieja escuela”.

Ok creo que no es casualidad, esta vez pasó mucho mas rápido, analicé 150.000 archivos también con 2 detecciones, la pantalla se puso en negro y tuve que hacer un reinicio forzado denuevo. ¿Alguna sugerencia?

Lo primero que tenemos que hacer es solucionar ese problema de la pantalla negra. Algunas causas que pueden originar una pantalla negra son:

• Problemas de conexión con el monitor o la pantalla.
• Mostrar problemas de actualización de controladores de adaptadores.
• Problemas con actualizaciones o instalaciones recientes de sistema.

Vamos a realizar una serie de acciones para intentar determinar cuál es la causa de que te aparezca la pantalla negra y solucionarlo.

Acción 1: Prueba una secuencia de la tecla Windows para activar la pantalla.

Selecciona la tecla del logotipo de Windows + Ctrl + Mayús + B . Si te sigue apareciendo la pantalla negra, prueba los pasos de la Acción 2 y mira a ver si puedes abrir el Administrador de tareas para reiniciar el Explorador de Windows.

Acción 2: Intentar abrir el Administrador de tareas para reiniciar el Explorador de Windows

Si hay contenido o un cursor en la pantalla negra, intenta reiniciar el proceso del Explorador de Windows.

Para abrir el administrador de tareas y reiniciar el Explorador de Windows:

1. Selecciona Ctrl + Alt + Suprimir y, después, selecciona Administrador de tareas.

2.Nota:* Si no aparece el Administrador de tareas tras seleccionar Ctrl + Alt + Suprimir, selecciona Ctrl + Mayús + Esc para abrir el Administrador de tareas.

3. En la pestaña Procesos, busca Explorador de Windows. Haz clic con el botón derecho en Explorador de Windows, y luego selecciona Reiniciar.
4. Si eso no da resultado, selecciona Archivo en la esquina superior izquierda del Administrador de tareas y, después, selecciona Ejecutar nueva tarea. Escribe explorer.exe y selecciona Aceptar.

Si sigue apareciendo una pantalla negra, prueba con los pasos de la Acción 3 para revertir el controlador del adaptador de pantalla.

Acción 3: Revertir el controlador del adaptador de pantalla

Para revertir el controlador del adaptador de pantalla:

1. Inicie sesión en Windows con el modo seguro (tendrá que ir a la sección denominada “Desde una pantalla en blanco o negro”).
2. Escribe administrador de dispositivos en el cuadro de búsqueda de la barra de tareas y selecciónalo en los resultados.
3. Busca adaptadores de pantalla, selecciona la flecha para expandirlo y haz clic con el botón derecho en el elemento de debajo y selecciona Propiedades.
4. Selecciona la pestaña Controlador y, a continuación, selecciona Revertir controlador > Sí.
5. Apaga el dispositivo y vuelve a encenderlo.

Si sigue apareciendo una pantalla negra, prueba con los pasos de la Acción 4 para desinstalar el controlador del adaptador de pantalla.

Acción 4: Desinstalar el controlador del adaptador de pantalla

Para desinstalar el controlador del adaptador de pantalla:

1. Iniciar el PC en modo seguro. Esto es necesario antes de desinstalar el controlador del adaptador de pantalla.
2. En el cuadro de búsqueda de la barra de tareas, escribe administrador de dispositivos y, a continuación, selecciónalo en la lista de resultados.
3. Busca adaptadores de pantalla, selecciona la flecha para expandirlo y haz clic con el botón derecho en el elemento de debajo y selecciona Propiedades.
4. Selecciona la pestaña Controlador y, a continuación, selecciona Desinstalar > Dispositivo.
5. Selecciona Aceptar.
6. Apaga el ordenador y vuelve a encenderlo.

Por suerte con la acción uno bastó. El análisis se pudo terminar por completo y persisten las 2 detecciones nombradas previamente. Adjunto el respectivo Log de Malwarebytes hecho en modo seguro.

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 30/11/21
Hora del análisis: 13:40
Archivo de registro: 2ab006c5-51fc-11ec-b7b2-000000000000.json

-Información del software-
Versión: 4.4.11.149
Versión de los componentes: 1.0.1513
Versión del paquete de actualización: 1.0.47872
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 19044.1387)
CPU: x64
Sistema de archivos: NTFS
Usuario: OliverZTB\OliverZTB

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 837198
Amenazas detectadas: 2
Amenazas en cuarentena: 2
Tiempo transcurrido: 2 hr, 21 min, 53 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 2
RiskWare.ShortcutHijack, C:\FRST\QUARANTINE\C\USERS\OLIVERZTB\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\BRAVE.LNK.XBAD, En cuarentena, 14824, 940778, 1.0.47872, , ame, , C4893266BC86ECBD0BA886DD0B7CEBA0, AF8ED4D387D28E3B90EF2ECAF3B0E83B5353894ED9D13399305D0FBECC3A0E1B
RiskWare.ShortcutHijack, C:\FRST\QUARANTINE\C\USERS\OLIVERZTB\APPDATA\ROAMING\MICROSOFT\INTERNET EXPLORER\QUICK LAUNCH\USER PINNED\TASKBAR\BRAVE.LNK.XBAD, En cuarentena, 14824, 940778, 1.0.47872, , ame, , 6A7968D953320BC053CF4687B719707B, FDBDADB8833B0959B81F08751F544CE566B282854C3C67D9849FF3F0148FDF5D

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Te ha detectado un malware dentro de la cuarentena del FRST. ¿Ha mejorado el estado de tu ordenador?

Hasta cierto punto, por ejemplo ahora solo tengo abierto el navegador con videos de youtube en 144p y discord y está al 100% también, pero aveces baja, la verdad no sabría decirte.

Si usas Google Chrome, ésa puede ser la causa. Intenta hacer lo mismo con cualquier otro navegador web y comenta los resultados aquí.

Nope, siempre usé Opera GX.

Hola buenas con permiso de @oliverztb y de @Gwain40.

Disculpas mi breve intromisión.

Doy unas breves indicaciones y sigues con el compañero @Gwain40.

0. Descarga y ejecuta RKill, más concretamente debes de descargar la que está renombrada bajo el nombre de iExplore.exe. Para evitar el bloqueo de posibles malwares que pueda haber en tu equipo. Una vez que esta haya sido ejecutada, es muy importante no reiniciar el sistema hasta que te lo solicite yo o alguno de los programas de desinfección de los que estemos utilizando.

Me explico, por ejemplo: has iniciado la máquina en Modo Seguro con funciones de Red, has ejecutado Rkill y seguidamente realizas un Análisis con Malwarebytes. Este te detecta infecciones y te pide reiniciar la máquina para poder finalizar exitosamente su desinfección. Seguidamente, yo te he indicado que ejecutes por ejemplo el ESET Online Scanner, pues bien como no hemos acabado de desinfectar la máquina y estamos realizando el proceso de desinfección, y has tenido que reiniciar, ya que te lo ha pedido Malwarebytes pues debes de ejecutar nuevamente Rkill y después acto seguido el ESET ONline.

¿Me entiendes?

Si por ejemplo, incluso con Rkill, Malwarebytes AntiMalware o la herramienta que sea que te he pedido que utilices, ves que se bloquea y que al cabo de un buen rato no responde. Pues pasas a la siguiente y me informas de ello. Y así con todas. ¿OK? ¿Se entiende?

1. Manual Malwarebytes Anti-Rootkit Beta sigues las instrucciones de su manual y me traes sus correspondientes Informes de análisis: Mbar-log.txt y System-log.txt tal como se indica en su manual (Actualizando la Database).

2. Descarga, instala y ejecuta TDSKiller de acuerdo a su Manual TDSKiller. Marca todas las casillas (Loaded Modules, Verify file digital signatures y Detect TDLFS file system). Sí te pide reiniciar lo haces, ejecutas de nuevo la herramienta y al marcar nuevamente las casillas que te he dicho, ya te dejara analizar.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

• No realices pasos/acciones que NOSOTROS no te hayamos indicado.
• No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
• No instales NADA (programas/software/complementos/extensiones del navegador…).
• No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
• No realices por tu cuenta otros procedimientos.
• Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

EN TU PRÓXIMA RESPUESTA

• Respondes a las preguntas que te haya realizado.
• Traes los reportes de Malwarebytes Anti-Rootkit y TDSKiller.
• Comentas el estado en general del ordenador respecto al problema inicial planteado.

Salu2 a ambos.

Entiendo las instrucciones de no reiniciar a no ser que los programas en cuestión o alguien del foro me lo indique, pero no entiendo que quiere decir descargar RKill bajo el nombre de iExplorer.exe, lo descargué de la página del foro y se descarga un .exe llamado RKill nada mas. Por cierto, los links de descarga de MMARB y el TDSKiller no me funcionan. Me refiero a estas entradas del foro. No puedo descargarlos desde ahí.

Hola buenas @oliverztb

OK, perfecto, así es.

Ok, pues cuando le das a descargar, le cambias el nombre de RKill por el de iExplorer y ya esta. Simplemente, es renombrar el fichero, ya que hay cierto tipo de malwares que si no lo pueden bloquear y no dejar que se ejecute.

Los acabo de probar ahora mismo y si que me funcionan. Prueba con estos enlaces de descarga directos que te pongo:

(MBAR) >> https://www.infospyware.com/Software/click.php?id=19

(TDSKiller) >> https://www.infospyware.com/Software/click.php?id=22

Salu2.