Wacatac A

Hola a todos. Desde fines de setiembre he tenido problemas con mi PC. Primero, mi juego SFV se crashea con un mensaje indicando que los controladores de video se cayeron y que los actualice (pero ya lo están), luego el sistema anda algo lento y encima las páginas del navegador tardan en cargar o colapsan con un mensaje de que no hay suficiente memoria. He analizado mi compu (mientras eso pasaba la pantalla se ponía negra por un momento) y me encuentro con que hay un virus llamado Win32/Wacatac.A!ml. Cuando parece que mi antivirus lo ha eliminado, veo que el ordenador sigue igual. Necesito lo más rápido deshacerme de ese virus porque parece que aún sigue ahí y que es la causa de todo esto. Agradezco su ayuda.

Hola @Sr_Animatronico. Bienvenido al foro de Infospyware, probablemente el mejor foro de ayuda informática de habla hispana. Bien, vamos a analizar tu equipo en busca de malewares.

:one: CCleaner

Descarga, instala y/o actualiza Ccleaner Consulta si es necesario su manual

  • Abres Ccleaner. Pestaña Custom Clean (Limpieza personalizada). Dejas como está configurada predeterminadamente :arrow_forward: haces clic en Analyze (Analizar) y esperas que termine :arrow_forward: clic en Run Cleaner (Ejecutar Limpiador).

:two: Malewarebytes Anti-Maleware

• Descarga, actualiza y ejecuta Malwarebytes’ Anti-Malware , revisa en detalle el manual, para que sepas usarlo y configurarlo.

  1. Realiza un Escaneo Personalizado. Tienes instrucciones en su manual, apartado Análisis Personalizado. Te dejo un GIF animado para que veas como hacer un escaneo personalizado:

  1. Tras finalizar el escaneo envíame el informe que guarda Malewarebyte. Instrucciones para encontrar y enviarme el informe lo tienes en el Manual, apartado Informe del Análisis

:three: AdwCleaner Descarga AdwCleaner | InfoSpyware en el escritorio. • Cierra también todos los programas que tengas abiertos. • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador.) • Pulsar en el botón Escanear , y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Limpiar . • Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas . • Guardas el reporte que te aparecerá y lo anexas en un mensaje. • El informe también se puede encontrar en C:\Archivos de programa o C: Archivos de programa(x86), si el sistema es de 64 bits –Adwcleaner- AdwCleaner[CX].txt

:four: ZHPCleaner

Ejecutar ZHPCleaner siguiendo su manual. Anexas el reporte en un nuevo mensaje del foro.

:five: CCleaner

  • clic en la pestaña Registro :arrow_forward: clic en buscar problemas y esperas que termine :arrow_forward: clic en Reparar Seleccionadas y haces una copia de seguridad

imagen

Por favor no pegue directamente los informes en su mensaje de respuesta ya que quedaría ilegible y no podré analizarlos dificultando que tus problemas sean resuelto. Sigue el método 2 o 3 indicados en la siguiente guía:

Cómo pegar informes en un mensaje

Hola. Lamento el haberme tardado en responder, pero estuve ocupado estos días. Acá va el informe de Malwarebytes:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 28/10/20
Hora del análisis: 21:15
Archivo de registro: a3eb4836-198c-11eb-b751-b4b686937d91.json

-Información del software-
Versión: 4.2.2.95
Versión de los componentes: 1.0.1096
Versión del paquete de actualización: 1.0.32182
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 19041.388)
CPU: x64
Sistema de archivos: NTFS
Usuario: LAPTOP-78ES1HJF\VICTOR VILLAVERDE

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 484611
Amenazas detectadas: 7
Amenazas en cuarentena: 0
Tiempo transcurrido: 2 hr, 11 min, 21 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 1
PUP.Optional.AdvancedSystemCare, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\AdvancedSystemCareService13, Sin acciones por parte del usuario, 3841, 380352, 1.0.32182, , ame, , , 

Valor del registro: 1
PUP.Optional.AdvancedSystemCare, HKU\S-1-5-21-3711406127-4245989190-138535587-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|ADVANCED SYSTEMCARE, Sin acciones por parte del usuario, 3841, 380353, 1.0.32182, , ame, , , 

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 2
PUP.Optional.ByteFence, C:\ProgramData\ByteFence\RTOP, Sin acciones por parte del usuario, 1023, 388718, , , , , , 
PUP.Optional.ByteFence, C:\ProgramData\ByteFence, Sin acciones por parte del usuario, 1023, 388718, 1.0.32182, , ame, , , 

Archivo: 3
PUP.Optional.ByteFence, C:\ProgramData\ByteFence\RTOP\hosts_backup, Sin acciones por parte del usuario, 1023, 388718, , , , , A4ECA8014112A13122660B77E6F9ECA2, D311A04D648B6A745F75A8D55D063343BBB8758DFCF0AFFE1DDA9B7617DD4BC6
PUP.Optional.ByteFence, C:\ProgramData\ByteFence\RTOP\uclogfile.bin, Sin acciones por parte del usuario, 1023, 388718, , , , , F802722513DF09921B9537A8FB3F10FE, 16C8CA4E47C5B76510649CC3FC6CACB34CC23785EB08C88CCC658D9985B305EA
PUP.Optional.AdvancedSystemCare, C:\WINDOWS\SYSTEM32\REGISTRYDEFRAGBOOTTIME.EXE, Sin acciones por parte del usuario, 3841, 396386, 1.0.32182, , ame, , 11D30090D5AD55C215342253A20A637D, 5A3647DD4B987B992A978D5F43537596364CC25CA1E23B70D8125EEF97BF0CED

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)
~ ZHPCleaner v2020.11.2.249 by Nicolas Coolman (2020/11/02)
~ Run by VICTOR VILLAVERDE (Administrator)  (02/11/2020 23:24:50)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Certificate ZHPCleaner: Legal
~ Type : Scanner
~ Report : C:\Users\VICTOR VILLAVERDE\Desktop\ZHPCleaner (S).txt
~ Quarantine : C:\Users\VICTOR VILLAVERDE\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Pro, 64-bit  (Build 19041)

---\  Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados. (ADS)

---\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados. (Servicio)

---\  Navegadores de Internet (0)
~ No malintencionados o innecesarios artículos encontrados. (Navegador)

---\  Hosts carpeta (1)
~ El archivo hosts es legítimo (22)

---\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados. (Tarea)

---\  Explorador ( Archivos, Carpetas ) (23)
ENCONTRADOS carpeta: C:\Users\VICTOR VILLAVERDE\AppData\Local\Google\Chrome\User Data\Default\Preferences    =>ChromiumPreference
ENCONTRADOS carpeta: C:\Users\VICTOR VILLAVERDE\AppData\Local\Microsoft\Edge\User Data\Default\Preferences    =>ChromiumPreference
ENCONTRADOS carpeta: C:\Users\VICTOR VILLAVERDE\AppData\Local\BraveSoftware\Brave-Browser\User Data\Default\Preferences    =>ChromiumPreference
ENCONTRADOS carpeta: C:\Program Files (x86)\Advanced SystemCare Pro\ASCService.log    =>SUP.Optional.AdvancedSystemCare
ENCONTRADOS carpeta: C:\Program Files (x86)\Advanced SystemCare Pro\License.log    =>SUP.Optional.AdvancedSystemCare
ENCONTRADOS archivo: C:\Program Files (x86)\Advanced SystemCare Pro  =>SUP.Optional.AdvancedSystemCare
ENCONTRADOS carpeta: C:\Program Files\KMSpico\DevComponents.DotNetBar2.dll [DevComponents.com - DevComponents.DotNetBar]  =>HackTool.KMSpico
ENCONTRADOS carpeta: C:\Program Files\KMSpico\unins000.dat    =>HackTool.KMSpico
ENCONTRADOS carpeta: C:\Program Files\KMSpico\unins000.exe [ - Setup/Uninstall]  =>HackTool.KMSpico
ENCONTRADOS carpeta: C:\Program Files\KMSpico\Vestris.ResourceLib.dll [Vestris Inc. - ResourceLib]  =>HackTool.KMSpico
ENCONTRADOS archivo: C:\Program Files\KMSpico\cert  =>HackTool.KMSpico
ENCONTRADOS archivo: C:\Program Files\KMSpico\driver  =>HackTool.KMSpico
ENCONTRADOS archivo: C:\Program Files\KMSpico\icons  =>HackTool.KMSpico
ENCONTRADOS archivo: C:\Program Files\KMSpico\logs  =>HackTool.KMSpico
ENCONTRADOS archivo: C:\Program Files\KMSpico\scripts  =>HackTool.KMSpico
ENCONTRADOS archivo: C:\Program Files\KMSpico\sounds  =>HackTool.KMSpico
ENCONTRADOS archivo: C:\Program Files\KMSpico\TokensBackup  =>HackTool.KMSpico
ENCONTRADOS archivo: C:\Program Files\KMSpico  =>HackTool.KMSpico
ENCONTRADOS archivo: C:\ProgramData\KMSAuto  =>HackTool.WinActivator
ENCONTRADOS archivo: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico  =>HackTool.KMSpico
ENCONTRADOS carpeta: C:\Users\VICTOR VILLAVERDE\AppData\Local\MSfree Inc\kmsauto.ini    =>HackTool.WinActivator
ENCONTRADOS archivo: C:\Users\VICTOR VILLAVERDE\AppData\Local\MSfree Inc  =>HackTool.WinActivator
ENCONTRADOS archivo: C:\ProgramData\IObit\ASCDownloader  =>SUP.Optional.AdvancedSystemCare

---\  Registro ( Claves, Valores, Datos) (4)
ENCONTRADOS clave: HKU\.DEFAULT\Software\ByteFence [AdditionalScan 8]  =>SUP.Optional.ByteFence
ENCONTRADOS clave: HKU\S-1-5-18\Software\ByteFence [AdditionalScan 17]  =>SUP.Optional.ByteFence
ENCONTRADOS clave: HKEY_USERS\.DEFAULT\Software\ByteFence []  =>SUP.Optional.ByteFence
ENCONTRADOS clave: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8B29D47F-92E2-4C20-9EE0-F710991F5D7C}_is1 [KMSpico]  =>HackTool.KMSpico

---\  Resumen de elementos en su estación de trabajo (5)
https://nicolascoolman.eu/2020/10/01/preferences-navigateurs-chromium/  =>ChromiumPreference
https://nicolascoolman.eu/wp-content/uploads/2017/12/26/sup-advancedsystemcare/  =>SUP.Optional.AdvancedSystemCare
https://nicolascoolman.eu/2017/02/16/hacktool-kmspico/  =>HackTool.KMSpico
https://nicolascoolman.eu/2017/01/13/hacktool-winactivator/  =>HackTool.WinActivator
https://nicolascoolman.eu/2017/03/13/superfluous-bytefence/  =>SUP.Optional.ByteFence

---\ Resultado de la reparación.
~ ninguna reparación hecha
~ Internet Explorer OK

---\ STATISTIQUES
~ Items escaneado : 112058
~ Items encontrado : 34
~ artículos cancelados : 0
~ Ahorro de espacio (bytes) : 0
~ Items opciones : 9/16

---\ OPCIONES NO ACTIVAS
~ Análisis temporal de archivos
~ Análisis temporal de carpetas
~ Análisis de CLSID de carpetas vacías
~ Vaciar otro análisis de carpetas
~ Análisis de carpetas locales vacías
~ Análisis de archivos de instalación obsoleto

~ End of search in 00h11mn28s

---\  Reporte (0)
ZHPCleaner-[S]-02112020-23_36_18.txt
# -------------------------------
# Malwarebytes AdwCleaner 8.0.8.0
# -------------------------------
# Build:    10-08-2020
# Database: 2020-09-29.1 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    10-29-2020
# Duration: 00:00:55
# OS:       Windows 10 Pro
# Cleaned:  43
# Failed:   1


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\Program Files (x86)\Common Files\IObit\Advanced SystemCare
Deleted       C:\Program Files (x86)\IObit\Advanced SystemCare
Deleted       C:\ProgramData\IObit\Advanced SystemCare
Deleted       C:\Users\VICTOR VILLAVERDE\AppData\LocalLow\IObit\Advanced SystemCare
Deleted       C:\Users\VICTOR VILLAVERDE\AppData\Roaming\IObit\Advanced SystemCare
Deleted       C:\Users\VICTOR VILLAVERDE\AppData\Roaming\mipony
Deleted       C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\IObit\Advanced SystemCare

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKCU\Software\IObit\Advanced SystemCare
Deleted       HKCU\Software\PRODUCTSETUP
Deleted       HKCU\Software\ProductSetup\Uninstall\0B2U2Z1P0F1P1G1R1P1V0A1Q1Q0O1G
Deleted       HKCU\Software\ProductSetup\Uninstall\0S1P1T1C1R1MtT0P1C1F2X1L1Q1P1QtT1S2UtT0Y1T1M1F1F
Deleted       HKLM\Software\Wow6432Node\IOBIT\ASC
Deleted       HKLM\Software\Wow6432Node\IObit\Advanced SystemCare
Deleted       HKLM\Software\Wow6432Node\IObit\RealTimeProtector
Deleted       HKLM\Software\Wow6432Node\\Google\Chrome\NativeMessagingHosts\com.ascplugin.protect

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

Deleted       Preinstalled.HPAudioSwitch   Folder   C:\Program Files (x86)\HP\HPAUDIOSWITCH
Deleted       Preinstalled.HPAudioSwitch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{F80726EB-A11F-41D1-B478-53FAF1D261DD} 
Deleted       Preinstalled.HPAudioSwitch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HPAudioSwitch
Deleted       Preinstalled.HPAudioSwitch   Task   C:\Windows\System32\Tasks\HPAUDIOSWITCH
Deleted       Preinstalled.HPJumpStartBridge   Folder   C:\Program Files (x86)\HP\HP JUMPSTART BRIDGE
Deleted       Preinstalled.HPJumpStartLaunch   Folder   C:\Program Files (x86)\HP\HP JUMPSTART LAUNCH
Deleted       Preinstalled.HPJumpStartLaunch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{A6D558EC-E726-490F-B7C9-98A45860A6C1} 
Deleted       Preinstalled.HPJumpStartLaunch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HPJumpStartLaunch
Deleted       Preinstalled.HPJumpStartLaunch   Task   C:\Windows\System32\Tasks\HPJUMPSTARTLAUNCH
Deleted       Preinstalled.HPRegistrationService   Folder   C:\Program Files (x86)\HP\HP REGISTRATION SERVICE
Deleted       Preinstalled.HPRegistrationService   Folder   C:\ProgramData\HP\HP REGISTRATION SERVICE
Deleted       Preinstalled.HPSupportAssistant   Folder   C:\HP\SUPPORT
Deleted       Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP CUSTOMER FEEDBACK
Deleted       Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Deleted       Preinstalled.HPSupportAssistant   Folder   C:\ProgramData\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Deleted       Preinstalled.HPSupportAssistant   Folder   C:\Users\VICTOR VILLAVERDE\AppData\Local\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Deleted       Preinstalled.HPSupportAssistant   Folder   C:\Users\VICTOR VILLAVERDE\AppData\Roaming\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Deleted       Preinstalled.HPSupportAssistant   Folder   C:\Windows\System32\config\systemprofile\AppData\Local\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Deleted       Preinstalled.HPSupportAssistant   Registry   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Deleted       Preinstalled.HPSupportAssistant   Registry   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{4AAC4B07-77EF-4BCF-88DC-D24E4DE683E8}
Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{B7053964-E2C7-4BA9-84DE-D3A98B5FBA24}
Deleted       Preinstalled.HPSureConnect   Folder   C:\Program Files\HPCOMMRECOVERY
Deleted       Preinstalled.HPSureConnect   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{6468C4A5-E47E-405F-B675-A70A70983EA6}
Not Deleted   Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT SOLUTIONS


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [6130 octets] - [29/10/2020 00:18:19]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Gracias por los informes. ¿eliminaste las amenazas detectadas por Malewarebytes? En el informe dice que no tomaste acciones para esas amenazas. El informe de ZHPCleaner indica que sólo escaneaste, pero no eliminaste las amenazas detectadas.

Dime como encuentras el equipo con respecto al problema planteado.

Hola de nuevo. Pues sí, ya las eliminé después de adjuntar los informes e hice todos los pasos. Sin embargo el equipo no ha tenido muchos cambios. El sistema sigue lento (incluyendo cuando se reinicia y vuelve a encender) y mi juego de SFV sigue con el problema del controlador pese a que está actualizado. Aunque no he visto ese problema de la memoria en las páginas del navegador recientemente, pero antes de hacer todo eso habían momentos en que no pasaba.

Sigamos detectando malewares:

:six: Realiza un escaneo en línea ESET Online Scanner

  • Desactiva el Antivirus.

  • Descarga y ejecuta ESET Online según el manual que te dejo.

  • Después de realizar el escaneo, vuelves a activar el Antivirus

  • Me envías el informe del análisis (ver el Manual).

Manual de ESET Online Scanner.

:seven: Uso de Kaspersky Virus Removal Tool

Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso

  • Este no da reporte cuando te encuentres, si es que lo hace con alguna infección, tomas una imagen y la subes.

¿Como subir imágenes al Foro?

:eight: Limpieza de basura

Para limpiar la basura de su equipo, realiza los pasos de este mensaje del foro :