Virus Minero

AgusRom · 26 Septiembre, 2023 14:12

Buenas. Ayer hice una tontera por probar un punto. El tema es que estaba cansado de jugar valorant, asomar la cabeza y recibir headshot en fracciones de segundos. La verdad que no me creo nada esa superreacción y memoria muscular de la que todos hablan. Estaba convencido de que era muy facil poner un aimbot y que vanguard no lo detecte, por eso habían tantos “pros” hasta en informal, ya que en lo personal noté que es el único shooter en el que todos son tan excesivamente buenos. Entonces me metí a github y me descargué un archivo que prometia ser un aimbot indetectable para vanguard (lo cual no salió para nada como esperaba). El archivo ejecutable descomprimió dos archivos en mi escritorio, uno de esos era una carpeta llamada Vault (lo cual me dio terror ya que conozco ese nombre), y el otro no llegué a ver qué era, y ambas carpetas desaparecieron al segundo. Entonces me asusté y borré el archivo ejecutable. Para mi sorpresa hice un escaneo con Malwarebytes y no apareció nada, así que lo siguiente fue pasar el archivo ejecutable (el cual seguia en la papelera) por virus total, la cual detectó 23 infecciones distintas si no me equivoco. Desde ese preciso momento que los ventiladores de mi cpu despues de unos segundos en reposo se ponen a full, hacen muchisimo ruido hasta que vuelvo e inicio el administrador de tareas. Ahí las cosas se calman… lo cual me lleva a pensar que mas que un ransomware se me metió un virus minero… ayer al apagar mi pc hervía, mas que nada del lado del procesador (tengo ventilador de stock amd). También me pareció raro que los ventiladores de la gpu se encendían estando en reposo. En fin, apenas encuentre el post de GitHub del cual descargué el supuesto hack se los paso, quizas si lo meten en una PC virtual podrian explicarme mejor de que tipo de virus se trata y cómo quitarlo, desde ya muchisimas gracias de antemano.

JCTecn1cal · 26 Septiembre, 2023 15:01

Hola @AgusRom ¡Te damos la Bienvenida a los foros de InfoSpyware!

Supongo que muy probablemente desactivaste el antivirus para ejecutar dicho archivo Por favor, dinos que antivirus estas usando

Como estas seguro de que tu equipo esta infectado, deberíamos empezar con un procedimiento “básico” para detectar y eliminar malware en tu sistema. Dicho procedimiento se basa en nuestra guía de detección/eliminación con algunos ajustes

Tomando estas consideraciones en cuenta Por favor, realiza lo siguiente: Si no puedes realizar algún paso, lo omites y sigues con los demas

Conecta cualquier dispositivo extraíble como pendrives USB, tarjetas SD o discos duros externos que hayan tenido acceso al equipo. Debes mantenerlos conectados durante todo el procedimiento

Deshabilita tu Antivirus y toda protección residente que tengas para que no interfieran en la ejecución de las herramientas. Mantenlos deshabilitados durante todo el procedimiento

Descargue y ejecute la utilidad Rkill by Grinler (renombrada bajo el nombre de “iExplore.exe”) para evitar el bloqueo de los malwares. Una vez que esta fue ejecutada, es importante no reiniciar el sistema hasta que se le solicite.

rkill

Descargar Malwarebytes 4.x en el Escritorio. Lo instalas y ejecutas Realizas un Análisis Personalizado a tu equipo siguiendo las siguientes instrucciones

Con esta opción podemos seleccionar ficheros, discos, unidades Usb, memorias o dispositivos que queramos analizar.

Se recomienda usar esta opción cuando queramos buscar específicamente en algún lugar, disco o memoria usb de nuestro equipo.

Pulsaremos en cualquier parte en blanco del “Analizador”:

Análisis Avanzado.

Configurar el análisis.

Dejaremos las opciones que están marcadas por defecto, y seleccionaremos TODAS las unidades de disco o usb que tenemos conectadas en nuestro equipo

Por último clic en “Analizar”.

Inmediatamente veremos esta pantalla donde observaremos en el progreso de las distintas etapas que se irán produciendo consecutivamente, desde “Buscar Actualizaciones” hasta llegar al “Análisis del sistema de archivos”, y además podremos ir viendo los objetos infectados que se vayan encontrando.

16739×545 119 KB

Al terminar el proceso de análisis veremos esta pantalla con los resultados del mismo, en ella pulsaremos en Cuarentena, primero evidentemente podemos verificar que es lo que nos ha detectado el análisis, revisando por si hubiera algo que NO quisiéramos eliminar.

17737×544 178 KB

Nuestra recomendación es marcar todo lo detectado y enviarlo todo a la cuarentena No debemos omitir absolutamente nada si queremos garantizar que la desinfección sea correcta

Una vez llevado a cabo la desinfección veremos esta pantalla final.

18739×543 135 KB

Al hacer clic en el botón Ver informe, se muestra el informe de escaneado que acaba de completar.

En tu próxima respuesta debes traernos el reporte de Malwarebytes Sigue las siguientes instrucciones para acceder a el y pegarlo en el foro

Una vez terminado cualquier tipo de análisis, debemos buscar el informe que se ha generado siguiendo estos pasos.

Método 1: Pulsaremos en :

Analizador
Ver informe
Exportar
Copy to clipboard y lo pegaremos en el tema del Foro de InfoSpyware donde nos estén prestando ayuda:

gif9

Método 2: Pulsaremos en:

Cualquier lugar en blanco de “Historial de detecciones”
Historial
Detección de análisis y clic en el “Ojo”.
Exportar
Copy to clipboard y lo pegaremos en el tema del Foro de InfoSpyware donde nos estén prestando ayuda:

Tenemos que tener en cuenta que el informe que debemos recuperar para poder pegarlo en el tema donde nos presten ayuda, debe ser un informe de TIPO “Detección de Análisis”, nunca el reporte de “Detección RTP”, a no ser que se le pida específicamente.

gif10

Es muy importante copiar el informe escribiendo las etiquetas: [code] al principio y [/code] al final del log, para que se vea así:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 24/11/19
Hora del análisis: 19:05
Archivo de registro: 0830b514-0ee5-11ea-be2b-a0481c03ae50.json

-Información del software-
Versión: 4.0.4.49
Versión de los componentes: 1.0.750
Versión del paquete de actualización: 1.0.15354
Licencia: Premium

-Información del sistema-
SO: Windows 10 (Build 17763.864)
CPU: x64
Sistema de archivos: NTFS
Usuario: DANIELA\Daniela

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 454742
Amenazas detectadas: 10
Amenazas en cuarentena: 10
Tiempo transcurrido: 22 min, 52 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 2
PUP.Optional.Babylon, C:\Users\abrah\AppData\Local\Babylon\Setup, En cuarentena, 381, 339640, , , , 
PUP.Optional.Babylon, C:\USERS\ABRAH\APPDATA\LOCAL\BABYLON, En cuarentena, 381, 339640, 1.0.15354, , ame, 

Archivo: 8
PUP.Optional.Babylon, C:\USERS\ABRAH\APPDATA\LOCAL\BABYLON\SETUP\SETUP2.ZPB, En cuarentena, 381, 339640, 1.0.15354, , ame, 
PUP.Optional.Babylon, C:\USERS\ABRAH\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\CACHE\F_000BDB, En cuarentena, 381, 677189, 1.0.15354, , ame, 
PUP.Optional.Babylon, C:\USERS\ABRAH\APPDATA\LOCAL\TEMP\DB9F30A4-BAB0-7891-9586-70C7CC5C50E5\LATEST\BEXTERNAL.DLL, En cuarentena, 381, 8306, 1.0.15354, , ame, 
PUP.Optional.Babylon, C:\USERS\ABRAH\APPDATA\LOCAL\TEMP\DELTATB.EXE, En cuarentena, 381, 76260, 1.0.15354, , ame, 
Generic.Malware/Suspicious, C:\USERS\ABRAH\DOWNLOADS\CONTABILIDAD\NOMINAPLUS ELITE 2012 BV WCM\NOMINAPLUS ELITE 2012 BV WCM\TAOS\TAOS.EXE, En cuarentena, 0, 392686, 1.0.15354, , shuriken, 
Generic.Malware/Suspicious, C:\USERS\ABRAH\DOWNLOADS\CONTABILIDAD\KEYGEN 6.0 (TAOS)\KEYGEN 6.0 (TAOS)\KEYGEN 6.0 (TAOS).EXE, En cuarentena, 0, 392686, 1.0.15354, , shuriken, 
Generic.Malware/Suspicious, C:\USERS\ABRAH\DOWNLOADS\CONTABILIDAD\KEYGEN 6.0 (TAOS).RAR, En cuarentena, 0, 392686, 1.0.15354, , shuriken, 
PUP.Optional.Babylon, C:\USERS\ABRAH\DESKTOP\UNLOCKER1.9.2.EXE, En cuarentena, 381, 677189, 1.0.15354, , ame, 

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Atención: Si al pegar el informe en el tema del Foro donde nos prestan ayuda, recibimos un mensaje de que NO podemos hacerlo por exceso de caracteres, lo que debemos hacer es dividirlo en varios mensajes/respuestas.

Realiza un Análisis Personalizado a tu equipo con Eset Online Scanner siguiendo las instrucciones del siguiente manual

Es muy importante que selecciones todo lo que Eset detecte y lo mandes todo a cuarentena Asegúrate de guardar su reporte Este deberas entregarlo junto con tus respuestas.

Por favor no olvides comentarnos

Si tuviste algún problema antes, durante o después de haber realizado el procedimiento
Si los sintomas o problemas expresados en tu consulta siguen presentandose y que tan frecuentes son
Cuentanos como esta funcionando el equipo y cualquier otro comportamiento extraño que hayas notado o visto en el.

Te dejo estos enlaces, por si tienes alguna duda de como poner los reportes o necesitas agregar imágenes a tu consulta

Como pegar reportes en el foro De preferencia usa el Método 2 o el Método 3
Como agregar imágenes al foro

Esperamos tus respuestas y los reportes de las herramientas

Saludos