Wacatac.B!ml y Contebrew.A!ml

Buenas, esta tarde mi computadora fue infectada luego de conectar un USB de un familiar que necesitaba imprimir un archivo,tan solo conectar el usb y Defender me aviso de una gran cantidad de archivos infectados(la mayoria de ellos Wacatac.B!ml y uno de ellos Contebrew.A!ml) y todos los archivos y carpetas del usb habian sido reemplazadas por ejecutables, deje que defender se encargara de borrar los archivos maliciosos pero no lo hizo completamente, Yo pensando que era un simple virus de acceso directo trate de ejecutar USB file resc(ya me habia funcionado antes con virus de acceso directo)pero para mi sorpresa el programa no hizo absolutamente nada,asi que instale malwarebytes y ejecute un par de analisis : 1:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 22/9/21
Hora del análisis: 15:23
Archivo de registro: eaa544bc-1be2-11ec-824b-002324640906.json

-Información del software-
Versión: 4.4.6.132
Versión de los componentes: 1.0.1453
Versión del paquete de actualización: 1.0.45234
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 19043.1237)
CPU: x64
Sistema de archivos: NTFS
Usuario: DESKTOP-G0QMEG6\soyfi

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 361539
Amenazas detectadas: 31
Amenazas en cuarentena: 31
Tiempo transcurrido: 14 min, 14 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 12
Trojan.Agent.CK, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\OInstall, En cuarentena, 3983, 400551, , , , , , 
Trojan.Agent.CK, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{31A5E1CD-C06A-4F17-9FA4-2A92A424BD5B}, En cuarentena, 3983, 400551, , , , , , 
Trojan.Agent.CK, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{31A5E1CD-C06A-4F17-9FA4-2A92A424BD5B}, En cuarentena, 3983, 400551, , , , , , 
PUP.Optional.WinYahoo, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, En cuarentena, 240, 182758, , , , , , 
PUP.Optional.WinYahoo, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}, En cuarentena, 240, 182758, 1.0.45234, , ame, , , 
PUP.Optional.SearchManager, HKLM\SOFTWARE\GOOGLE\CHROME\EXTENSIONS\ICMGEBOPAEJNJLNCLLGMCENBBFLIKFJD, En cuarentena, 449, 521971, , , , , , 
PUP.Optional.SearchManager, HKLM\SOFTWARE\WOW6432NODE\GOOGLE\CHROME\EXTENSIONS\ICMGEBOPAEJNJLNCLLGMCENBBFLIKFJD, En cuarentena, 449, 521971, , , , , , 
PUP.Optional.SearchManager, HKU\S-1-5-21-1448886521-705955947-3736459211-1001\SOFTWARE\GOOGLE\CHROME\EXTENSIONS\icmgebopaejnjlncllgmcenbbflikfjd, En cuarentena, 449, 521971, 1.0.45234, , ame, , , 
PUP.Optional.InstallCore, HKU\S-1-5-21-1448886521-705955947-3736459211-1001\SOFTWARE\CSASTATS\ic, En cuarentena, 516, 586068, 1.0.45234, , ame, , , 
PUP.Optional.WinYahoo, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{2F23AB71-4AC6-41F2-A955-EA576E553146}, En cuarentena, 240, 182757, , , , , , 
PUP.Optional.WinYahoo, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{2F23AB71-4AC6-41F2-A955-EA576E553146}, En cuarentena, 240, 182757, , , , , , 
PUP.Optional.WinYahoo, HKU\S-1-5-21-1448886521-705955947-3736459211-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{2f23ab71-4ac6-41f2-a955-ea576e553146}, En cuarentena, 240, 182757, 1.0.45234, , ame, , , 

Valor del registro: 4
PUP.Optional.WinYahoo, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}|URL, En cuarentena, 240, 182758, 1.0.45234, , ame, , , 
Trojan.Agent.CK, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{31A5E1CD-C06A-4F17-9FA4-2A92A424BD5B}|PATH, En cuarentena, 3983, 400549, 1.0.45234, , ame, , , 
PUP.Optional.WinYahoo, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}|URL, En cuarentena, 240, 182758, 1.0.45234, , ame, , , 
PUP.Optional.WinYahoo, HKU\S-1-5-21-1448886521-705955947-3736459211-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{2f23ab71-4ac6-41f2-a955-ea576e553146}|URL, En cuarentena, 240, 182757, 1.0.45234, , ame, , , 

Datos del registro: 2
PUP.Optional.WinYahoo, HKU\S-1-5-21-1448886521-705955947-3736459211-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|START PAGE, Sustituido, 240, 293459, 1.0.45234, , ame, , , 
PUP.Optional.WinYahoo, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|START PAGE, Sustituido, 240, 293461, 1.0.45234, , ame, , , 

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 1
PUP.Optional.ByteFence, C:\PROGRAM FILES\BYTEFENCE, En cuarentena, 1100, 823167, 1.0.45234, , ame, , , 

Archivo: 12
Trojan.Agent.CK, C:\WINDOWS\SYSTEM32\TASKS\OINSTALL, En cuarentena, 3983, 400551, 1.0.45234, , ame, , C1D0BC742EF252A095DC7921347F95C8, 5BF1276EAB1578A92AACBBAD77F2F34F20A700600947F0FDD0C538F0089B445D
Malware.AI.1549631050, C:\WINDOWS\OINSTALL.EXE, En cuarentena, 1000000, 0, 1.0.45234, 4B164AF346D648615C5D7E4A, dds, 01433764, E2F74E163D30386ADC4502318D39C9B6, BF58EF6F38AD7F1881D2F6CE16453FF32D7394B9AFB3917855DC110BCD03FA76
PUP.Optional.WebCompanion, C:\USERS\SOYFI\APPDATA\LOCAL\SETUP41785.EXE, En cuarentena, 9088, 980620, 1.0.45234, 9113339BAF74DC9890958C55, dds, 01433764, 48B3520161F7FF02297F26421501A3FE, 680014C278365E32E9B97B7F7470C2AB3391A89134499CFDB3EBE1B09C304E7E
Adware.InstallCore, C:\USERS\SOYFI\DOWNLOADS\MEMU-INSTALLER (1).EXE, En cuarentena, 517, 672540, 1.0.45234, D7581E25088AE858FE63A0ED, dds, 01433764, 946339B1E498361993AB3B0C189DA672, 17037A74797464917E96A47F56F00EF138195759BDA922B885A0F9AB7DE88C25
Adware.InstallCore, C:\USERS\SOYFI\DOWNLOADS\MEMU-INSTALLER.EXE, En cuarentena, 517, 672540, 1.0.45234, D7581E25088AE858FE63A0ED, dds, 01433764, 946339B1E498361993AB3B0C189DA672, 17037A74797464917E96A47F56F00EF138195759BDA922B885A0F9AB7DE88C25
PUP.Optional.BundleInstaller, C:\USERS\SOYFI\DOWNLOADS\UTWEB_INSTALLER.EXE, En cuarentena, 528, 790622, 1.0.45234, , ame, , BDB4EFCA4337A07619D2B4E77467A6B0, 6BEBB62F1976F059F076FABA953185502A56FAC679B5D008283E5B170D0EB3B6
RiskWare.KMS, C:\USERS\SOYFI\DESKTOP\CLASES\ACTIVADOR X64 DV\KMSAUTO X64 DV.EXE, En cuarentena, 930, 632069, 1.0.45234, EEE34B1DFA769C5D359FF613, dds, 01433764, 5BF1DBAF1DB9D91200A27FC2670EC0C0, D00977521DBA67111876729E4B8ED09455B85C653BEF2FD0C23E9E8A09F0A9B6
RiskWare.KMS, C:\USERS\SOYFI\DESKTOP\CLASES\ACTIVADOR X64 DV.RAR, En cuarentena, 930, 632069, 1.0.45234, EEE34B1DFA769C5D359FF613, dds, 01433764, CC54029E3CFD82230AA917F1E5315CC9, 568435A1DCA17A1F4C595CB88A5D2AD7BA30091770A2F1106C928000DD846AEF
Malware.AI.1270814203, C:\USERS\SOYFI\APPDATA\ROAMING\Microsoft\Windows\Recent\SPRN_01_01_2021_4265072_P_copialiteral_13714702.lnk, En cuarentena, 1000000, 0, , , , , 37F4C6A90A91A201FCC761B4D0FFBE3E, 395DE90531B17C6CE822833B2C7008387DA5D4990B7432004F421EA7372B7B32
Malware.AI.1270814203, H:\SPRN_01_01_2021_4265072_P_COPIALITERAL_13714702.PDF.EXE, En cuarentena, 1000000, 0, 1.0.45234, A4EABB83D00E83074BBF15FB, dds, 01433764, BC86EDD0AE92862A2BB0EA58B69C679E, 4DE1AD8E03AC0FEB85B9E685BE5D4C5E99DBB45C82587A0CBAB1A48F44F04528
Malware.AI.1878126599, C:\USERS\SOYFI\APPDATA\ROAMING\Microsoft\Windows\Recent\SPRN_01_01_2021_4265057_P_copialiteral_13714704.lnk, En cuarentena, 1000000, 0, , , , , 97704926F713C069FF43862BD6AE05FD, F336F2D6AA160DE70A280893BF7F5D720DFD67273CF70BC131ADABB1CE839331
Malware.AI.1878126599, H:\SPRN_01_01_2021_4265057_P_COPIALITERAL_13714704.PDF.EXE, En cuarentena, 1000000, 0, 1.0.45234, 473C89C141B596396FF1F007, dds, 01433764, AE94A5B5030D7D2A1E50FA382079964C, 04DDCB56583C8889C9A30CFD49B1B87E093670CC3935E4459C41650FCC5C89CC

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

2:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 22/9/21
Hora del análisis: 15:42
Archivo de registro: aafa742e-1be5-11ec-a4b5-002324640906.json

-Información del software-
Versión: 4.4.6.132
Versión de los componentes: 1.0.1453
Versión del paquete de actualización: 1.0.45234
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 19043.1237)
CPU: x64
Sistema de archivos: NTFS
Usuario: DESKTOP-G0QMEG6\soyfi

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 139222
Amenazas detectadas: 15
Amenazas en cuarentena: 15
Tiempo transcurrido: 5 min, 8 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 15
Malware.AI.4288449781, H:\MDXTNPLWVQDD\VIUNASUXDMCT\OVUGRTAFJFGM\UWVXAYCBDFEG\GIKJLKNPOQPR.EXE, En cuarentena, 1000000, 0, 1.0.45234, 707FD0A292A91A95FF9C8CF5, dds, 01433764, CDA8C5E4869A93292B415FB960F61B58, 91938853B32E1285405497F72BCD356E2339B1165E1134A2BE56236BCB59D293
Malware.AI.4254303150, H:\MDXTNPLWVQDD\VIUNASUXDMCT\OVUGRTAFJFGM\ACTA-DEFUNCIóN-2000814344.PDF.EXE, En cuarentena, 1000000, 0, 1.0.45234, 23D23DB4ED60599EFD9383AE, dds, 01433764, D20765A0F064AA01B8D7172053E6B81E, 58C52B25BF01B2039C6FDB6AF62F33E6404FE529D20534377D68994E7AEA58D1
Malware.AI.4254303150, H:\MDXTNPLWVQDD\VIUNASUXDMCT\OVUGRTAFJFGM\CERTIFICADO NEGATIVO DE SUCESION.PDF.EXE, En cuarentena, 1000000, 0, 1.0.45234, 23D23DB4ED60599EFD9383AE, dds, 01433764, F50931BCEDE24AFA63A4019B58C6555F, 3CBC9E8297F97BC7720EB070C18028D721085E56ECDDF9789947DD97CDD3C1D5
Malware.AI.4254303150, H:\MDXTNPLWVQDD\VIUNASUXDMCT\OVUGRTAFJFGM\ANEXOS1_AFP.EXE, En cuarentena, 1000000, 0, 1.0.45234, 23D23DB4ED60599EFD9383AE, dds, 01433764, E65D66168EAE5BB3C76572DB6F80E5D7, 921C9F327DD17B82CEEF9AAA28895A2B07D9E4E647FE7D90D3AC70EE66F08451
Malware.AI.4254303150, H:\MDXTNPLWVQDD\VIUNASUXDMCT\OVUGRTAFJFGM\AFP.EXE, En cuarentena, 1000000, 0, 1.0.45234, 23D23DB4ED60599EFD9383AE, dds, 01433764, 904E808E7166CD9099431F3E2C67D5BF, B8AEDBBDBE48E8AC82D688C56CF0D5EEDADCF0752125BD3D2A5972CA883B6963
Malware.AI.4267254155, H:\MDXTNPLWVQDD\VIUNASUXDMCT\OVUGRTAFJFGM\GIXXQXKQTYUY.EXE, En cuarentena, 1000000, 0, 1.0.45234, D57C9925A6668C2BFE59218B, dds, 01433764, CCAA0DFE92FA87456CC3FF98260B9FC2, 426E40BDC43C61743D45105472EF59619CF0ABD5E1EDAC9436D03826F8B41F92
Malware.AI.4254303150, H:\MDXTNPLWVQDD\VIUNASUXDMCT\OVUGRTAFJFGM\SPRN_01_01_2021_4265057_P_COPIALITERAL_13714704.PDF.EXE, En cuarentena, 1000000, 0, 1.0.45234, 23D23DB4ED60599EFD9383AE, dds, 01433764, 43171F0F4455A58EDBE00DA1956B5267, F4B0E9FF97E3DF3A45DAD39D0BAEC03FB6ABDDEA0E4F975727478E1750919E0F
Malware.AI.4254303150, H:\MDXTNPLWVQDD\VIUNASUXDMCT\OVUGRTAFJFGM\SCAN.EXE, En cuarentena, 1000000, 0, 1.0.45234, 23D23DB4ED60599EFD9383AE, dds, 01433764, B2BFD3AB44B18D42CC8C85B829C035B3, D4D0D0B6EFDF508F385EF6BC7A8852CCEB87C06C4025EB0692EC141AC0A19A85
Malware.AI.4254303150, H:\MDXTNPLWVQDD\VIUNASUXDMCT\CERTIFICADO NEGATIVO DE TESTAMENTO_PATRICIA PRADO TIXE.PDF.EXE, En cuarentena, 1000000, 0, 1.0.45234, 23D23DB4ED60599EFD9383AE, dds, 01433764, 47E0E3C7CFB8E042515B223648ED63C4, 988497939D66F5A0AB4ECE63A9D95FBA93B8BB4C33F4F6FD8C4B1D6C5CF9B6A9
Malware.AI.4288449781, H:\MDXTNPLWVQDD\VIUNASUXDMCT\OVUGRTAFJFGM\IHJIKNMONPRQ.EXE, En cuarentena, 1000000, 0, 1.0.45234, 707FD0A292A91A95FF9C8CF5, dds, 01433764, CDA8C5E4869A93292B415FB960F61B58, 91938853B32E1285405497F72BCD356E2339B1165E1134A2BE56236BCB59D293
Malware.AI.4267254155, H:\MDXTNPLWVQDD\VIUNASUXDMCT\OVUGRTAFJFGM\QASAUXYIHPAH.EXE, En cuarentena, 1000000, 0, 1.0.45234, D57C9925A6668C2BFE59218B, dds, 01433764, CCAA0DFE92FA87456CC3FF98260B9FC2, 426E40BDC43C61743D45105472EF59619CF0ABD5E1EDAC9436D03826F8B41F92
Malware.AI.4267254155, H:\MDXTNPLWVQDD\VIUNASUXDMCT\OVUGRTAFJFGM\PRLXOEDUYQTH.EXE, En cuarentena, 1000000, 0, 1.0.45234, D57C9925A6668C2BFE59218B, dds, 01433764, CCAA0DFE92FA87456CC3FF98260B9FC2, 426E40BDC43C61743D45105472EF59619CF0ABD5E1EDAC9436D03826F8B41F92
Malware.AI.4254303150, H:\MDXTNPLWVQDD\VIUNASUXDMCT\OVUGRTAFJFGM\CERTIFICADO NEGATIVO DE TESTAMENTO_PATRICIA PRADO TIXE.PDF.EXE, En cuarentena, 1000000, 0, 1.0.45234, 23D23DB4ED60599EFD9383AE, dds, 01433764, F50931BCEDE24AFA63A4019B58C6555F, 3CBC9E8297F97BC7720EB070C18028D721085E56ECDDF9789947DD97CDD3C1D5
Malware.AI.4254303150, H:\MDXTNPLWVQDD\VIUNASUXDMCT\OVUGRTAFJFGM\ACTA-NACIMIENTO-62007320.PDF.EXE, En cuarentena, 1000000, 0, 1.0.45234, 23D23DB4ED60599EFD9383AE, dds, 01433764, 6CA7010C00EAB352C21218F8C90B8EB9, 79EEE623435F9B2796B3DC0ED66D0FC4DEDC627B0EB628BD51420B02CF5DB1D9
Malware.AI.4254303150, H:\MDXTNPLWVQDD\VIUNASUXDMCT\OVUGRTAFJFGM\SAN MARCOS.EXE, En cuarentena, 1000000, 0, 1.0.45234, 23D23DB4ED60599EFD9383AE, dds, 01433764, D21EBEC812E6A9E1828B98D8DAD8BD4D, 9CB62DC7AD3F234BE8222B21CFC09065E948AD8AE9D3B4F94DC4BEE782DFEE9B

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

luego de un rato desactive el malwarebytes xq estaba dando un falso positivo con la red utorrent,y windows defender detecto un archivo infectado en la carpeta startup dentro de appdata que malwarebytes no habia detectado: Trojan:Win32/Wacatac.B!ml file: C:\Users\soyfi\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ruytoyikoa.exe este archivo fue detectado y borrado varias veces hasta que ya no volvio a crearse. volvi a analizar la computadora con ambos programas pero a pesar de que ninguno detectaba amenazas,el usb seguia claramente infectado y los archivos que ponia en el,eran rapidamente movidos a una carpeta oculta por el virus. Necesito que me ayuden a eliminar este virus de forma definitiva

Hola, puedes pasarme un captura de pantalla del USB