Win32:TrojanX-Gen

Hola,

Me pongo en contacto con vosotros en referencia a que tengo problemas con un virus en varios ordenadores de un empresa que está en domino.

Cada “X” minutos u horas el antivirus AVG salta el aviso como que ha detectado un TrojanX-Gen en el cual proviene de c:\Windows\ system32 o c:\Windows\ … (esto en varios Ordenador)

Al parecer el AVG lo elimina pero vuelve a salir el mensaje. He pasado varios malware y adware pero el problema persiste e incluso los clientes nos están llamando en referencia a que les enviamos correos cada pocos minutos en el cual contienen mensaje de virus… También he cambiado la contraseña a casi todos los ordenadores infectados.

¿Alguna ayuda al respecto?

Muchas Gracias.

Hola @anonim. Bienvenido a este excelente foro. :tada::balloon::confetti_ball:

Vamos a ver si podemos eliminar las infecciones. En este caso el problema podría ser si el/los malewares se transmiten por la red.

:one: CCleaner

Descarga, instala y/o actualiza Ccleaner

Consulta si es necesario su manual

  • Abres Ccleaner. Pestaña Custom Clean (Limpieza personalizada). Dejas como está configurada predeterminadamente :arrow_forward: haces clic en Analyze (Analizar) y esperas que termine :arrow_forward: clic en Run Cleaner (Ejecutar Limpiador).

:two: Malewarebytes Anti-Maleware

• Descarga, actualiza y ejecuta Malwarebytes’ Anti-Malware , revisa en detalle el manual, para que sepas usarlo y configurarlo. Te doy las instrucciones de esta versión 4.0:

1- Haz clic en “Use Malewarebytes Free” (Usar Malewarebyte gratis).

  1. Hacer clic en botón “Open Malewarebytes Free”.

imagen

  1. Pulsar el botón “Scan” (Escaneo).

imagen

Una vez finalizado el escaneo aparecerá la siguiente pantalla:

imagen

  1. Pulsar “View report” (Ver informe).

  2. Pulsar botón “Export” (Exportar). Y elegimos “Text file” (fichero de texto). Lo guardamos donde deseemos y le damos un nombre.

  3. Copia el informe y pégalo en su próxima respuesta.

:three: AdwCleaner

Descarga AdwCleaner | InfoSpyware en el escritorio.

• Cierra también todos los programas que tengas abiertos.

• Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador.)

• Pulsar en el botón Escanear , y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Limpiar .

• Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas .

• Guardas el reporte que te aparecerá y lo anexas en un mensaje.

• El informe también se puede encontrar en C:\Archivos de programa o C: Archivos de programa(x86), si el sistema es de 64 bits –Adwcleaner- AdwCleaner[CX].txt

:four: ZHPCleaner

Ejecutar ZHPCleaner siguiendo su manual. Anexas el reporte en un nuevo mensaje del foro.

:five: CCleaner

  • clic en la pestaña Registro :arrow_forward: clic en buscar problemas y esperas que termine :arrow_forward: clic en Reparar Seleccionadas y haces una copia de seguridad

imagen

Por favor no pegue directamente los informes en su mensaje de respuesta ya que quedaría ilegible y no podré analizarlos dificultando que tus problemas sean resuelto. Sigue el método 2 o 3 indicados en la siguiente guía:

Cómo pegar informes en un mensaje

Hola!

Muchas gracias!!, lo probaré y pondré los resultados, pero quería añadir una última cosa y es el hecho de que a veces cuando llega un correo a un usuario del supuesto virus, en otros 2 o 3 PC’s salta automáticamente el antivirus detectando el problema de virus y esto es a la vez, es como si estuviera en red… Supongo que tendré que pasar lo que me has comentado en los todos PC.

Saludos.

En principio los malewares que se distribuyen por mensajes de correos electrónicos suenen venir en forma de adjuntos con código ejecutable. Pero ese mensaje y adjunto debe ser abierto y ejecutado por el usuario del PC. Entonces el maleware realiza las acciones para las que está diseñado y supongo que en tu caso es propagarse por la red.

Efectivamente tendrás que ejecutar los pasos que te he indicado en todos los equipo de tu empresa. Y si es posible desconectarlos de la red local mientras haya un sólo equipo infectado.

1 me gusta

Perfecto, realizaré mañana todos los pasos que me has comentado y os pondré los resultados.

Muchas gracias de nuevo.

Saludos.

1 me gusta

Hola.:+1:

Sólo entró para realizar un comentario.

Es imprescindible que antes de NADA TODOS los equipos tengan Windows totalmente actualIzado.

Para evitar “agujeros” de seguridad que puedan propagar las infecciones

Saludos.

1 me gusta

Hola de nuevo y perdón las molestias.

Voy a realizar el procedimiento y me gustaría saber si tengo que desactivar temporalmente el AVG o puedo dejarlo funcionamiento sin problemas.

Respecto a lo del Windows si estan actualizados, lo tendré en cuenta.

Os iré informando.

Gracias.

Mejor desactivar cualquier antivirus.:+1:

Fundamentalmente para que NO interfiera en los procedimientos.

Saludos.

Hola,

Ya he realizado todos los pasos en un ordenador y os adjunto los datos del Malware y AdwCleaner, ya que ZHP no me ha detectado nada.

Todo esto lo he hecho con al AVG desinstalado y ahora lo volveré a instalar.

Saludos.

AdwCleaner[S00].txt (92,9 KB) analisis malware.txt (36,8 KB)

Hola de nuevo,

Justo acabo de instalar el AVG y me aparece que detecta de nuevo la amenaza con X “numeros”.exe, en donde al parecer la amenaza va cambiando de c:\windows a c:\windows\system32 …

Tienes el equipo muy infectado. El informe de Adwcleaner indica que fue sólo de escaneo. ¿Eliminaste las amenazas detectadas?

¿puedes enviarnos el informe de detección de AVG?

Vamos a pasar estas otras dos herramientas para un escaneo más general:

:one: Realiza un escaneo en línea ESET Online Scanner

• Me envías el informe del análisis (ver el Manual).

Manual de ESET Online Scanner.

:two: Uso de Kaspersky Free

  • Descargar en el escritorio Kaspersky Free

  • Para finalizar el análisis de su sistema, recomendamos realizar un escaneo con el antivirus gratuito desde la nube: Kaspersky Free

  • Kaspersky Free es gratuito y compatible con cualquier otro antivirus. Tiene una interfaz muy intuitiva y sencilla.

  • En caso de que Kaspersky Free le detecte algún tipo de amenaza, déjenos su reporte para que podamos indicarle como eliminarlo, ya que la herramienta genera ese informe pero no desinfecta.

Hola,

Ayer estuvieron los técnico de AVG conectados en remoto a un ordenador durante unas 2 horas y comentaron que podrían ser falsos positivos…

Por otra parte, me he dado cuenta que en unos de los PC’s infectados, en los archivos del Outlook PST aparece extensión RYK, creo que esto es de un virus que secuestra cuentas verdad?

Ahora estoy analizando los equipos con las herramientas que me has comentado y a ver si consigo solucionarlo.

Os iré informando.

Gracias por todo.

Gracias por responder. Estamos al tanto de sus avances. En cuanto algún maleware que cambiar la extensión de archivos outlook (previamente con extensión PST) a RYK, es la primera noticia que tengo.

Hola chicos y permiso:

Pues no parece :upside_down_face:

Mencionas varios equipos, eres parte de una empresa? Deberían desconectar todos los equipos de la red.

Aparentemente estas infectado con un Ransomware.

No podemos dar soporte a Empresas, ya que somos un Foro de ayuda voluntaria gratuita, y una empresa tiene que tener su personal idoneo, o pagar por el servicio.

Pero si podemos ayudarte con un equipo para que al menos puedas identificar el problema.

Para identificar el ransomware que los ataco, sube la nota de rescate y uno de tus archivos encriptados al siguiente enlace:

ID Ransomware.

Te dará un resultado, nos pegas el enlace en tu próxima respuesta, allí podras saber si existe a la fecha algún desencriptador que pueda salvar tus archivos.

Pero lo mejor, si tienen backup, una vez que logras limpiar la red, lo mejor es usarlos si los tuvieran.

Nos comentas.

Pueden continuar.

Salu2

1 me gusta

Gracias @SanMar por la ayuda.

Efectivamente hay un ransomware que encripta los ficheros y coloca la extensión .RYK. Si es así, deberías tener todos (o una parte de tus documentos y archivos) con esa extensión en el ordenador que indicas la encontraste.

Hola,

Acabo de subir la nota que pone del supuesto rescate, y esto es lo que me pone:

### Este ransomware no tiene ninguna forma conocida para descifrar los datos en este momento.

Se recomienda hacer una copia de seguridad de sus archivos cifrados, con la esperanza de una solución a futuro.

Al parecer es Ryuk Ransomware, en algunos archivos cambiando la extensión me ha funcionado de nuevo, como por ejemplo el PST que ahora ya me funciona.

Por otro lado que se me olvidó comentar, nosotros somos una empresa de instalación de Hardware y Software en el cual trabajamos con varios clientes.

Siento las molestias.

Saludos.

Pues has tenido suerte con esos archivos. Creo que en ocasiones el ransomware primero cambia la extensión de los archivos y luego encripta y el proceso de encriptación posiblemente se paralizo por cualquier motivo. Si no tienes todos tus archivos de empresa o personales encriptados, este podría ser el motivo.

Hola de nuevo,

Tengo noticias sobre este virus, y al parecer es el virus Emotet, ayer limpié todos los equipos con vuestro procedimiento pero está mañana vuelve a estar disponible el virus en el cual tiene nombre de “numeros.exe” y en el que aparece en los servicios de Windows… Me he dado cuenta porque la ip publica de esa empresa está bloqueada para que no puedan enviar correos.

Pues en principio si el equipo se volvió a infectar eso significa que probablemente tras conectar a la Red local de la empresa, la cual aún seguía infectada, se volvió a conectar. Debes realizar el procedimiento descrito poca cada equipo totalmente desconectada de la red. Y yo dejaría ese equipo un dia más desconectada de la red probando reinicios para confirmar que no se reinfecta.

Este trojano Emotet es una infección bastante grave y puede comprometer de forma seria las computadoras de una red.

Mirate este enlace del foro:

Ampliando lo que le comenté, decirle que cada equipo que vaya a desinfectar (siguiendo el procedimiento que le describí) debe estar DESCONECTADO de INTERNET y ¡no debes volver a conectarlo a la red de tu empresa hasta que TODO equipo de su empresa esté limpio de malewares!

Debes ser serio con los empleados y avisar de que NADIE se conecta a internet hasta nueva orden.

IMPORTANTE: Con el programa Malewarebyte, activa el periodo de prueba de 14 dias de version Premium ya que le protegerá de esa infección.

Y posteriormente de YA NO funcionarte la “prueba” debes instalar Malwarebytes-AntiExploit versión beta, previa desinstalación TOTAL de Malewarebyte. Para desintalar totalmente Malewarebyte nos lo comenta y le indicamos cómo hacerlo.

Bien, tras tener TODOS los equipos (tanto estaciones de trabajo como servidores) LIBRES del maleware, entonces podrás conectarlos a la red corporativa.

Deberíais formar a los usuarios para evitar ciertas conductas peligrosas (como abrir adjuntos en correos maliciosos, etc.).

Esperemos que este procedimiento sea suficiente porque este maleware es polimórfico, es decir cambia de “aspecto” para despistar a los antivirus. Como le dije es una infección de las gordas.