ZHPCleaner - Trojan:Win32/ScarletFlash.A


#1
Hace un tiempo atrás descargué ZHPCleaner para limpiar mi PC. Me parecía raro que me enviara a otra página cuando presionaba descargar en la web oficial, que me redireccionaba a una página similar, pero con otro nombre que no recuerdo. La cuestión es que lo utilicé, junto con otras herramientas para eliminar malwares que me recomendaron. Al finalizar las eliminé todas (Ccleaner, ZHPcleaner, Malwarebytes, etc.). Pero, resulta que hoy abro Windows Defender, y me aparece que encontró un virus llamado Trojan:Win32/ScarletFlash.A, y cuando presiono en ver más detalles, la ruta es:

C:\Users\Mi nombre\Desktop\ZHPCleaner.exe

…siendo que yo había eliminado ZHPCleaner. Veo en el escritorio, y no estaba. Vi si es que estaba oculto, tampoco. Resulta que estaba en Usuarios/Mi nombre, junto con otro archivo que no había visto antes.

Sti_Trace.txt

…un archivo de texto, pero lo abrí, y no había nada dentro. La cosa es que dejé mi PC ahí un momento, y de pronto, había otro archivo,

NTUSER.DAT

Entonces me asusté y apagué el internet en mi PC (ahora escribo desde otro PC), por si estuviesen ejecutando algo remotamente a través del troyano. Eliminé ZHPCleaner, lo envié a la papelera, aunque no lo eliminé permanentemente.

Y aquí estoy, no sé qué hacer ahora, porque yo pensé que después de la limpieza que hice, ya no quedaba nada potencialmente peligroso, pero aparece ese troyano de la nada.

[ACTUALIZACIÓN 1] Ahora que lo pienso, pude haber trasferido algo desde un disco duro externo que no había conectado hace tiempo, no sé si es que le puede pasar la infección al disco duro interno. (?)

[ACTUALIZACIÓN 2] También estuve revisando en archivos ocultos, y en AppData\Roaming\ZHP, aun quedaban rastros de ZHPcleaner. Estaban los sgtes. archivos:

  • Quarantine (carpeta)
  • TraceZHPcleaner.txt
  • ZHPCleaner.exe
  • ZHPCleaner.html
  • ZHPCleaner.txt

… entre otros archivos .txt y .html

[ACTUALIZACIÓN 3] Intenté eliminar NTUSER.DAT y Sti_Trace.txt, con Sti_Trace.txt no hubo problema, pero al intentar eliminar NTUSER.DAT, me salió un aviso que decía: “La acción no se puede completar porque System tiene abierto el archivo.”

Otra cosa, es que cuando revisé en la papelera, ZHPCleaner ya no estaba, y tampoco se había restaurado a Users.

[ACTUALIZACIÓN 4] Acabo de desconectar el disco duro externo y estoy realizando un examen completo en Windows Defender (aun no activo la conexión a internet en el PC infectado).


#3

Si descagaste Zhpcleaner desde su pagina oficial, no hay problema.

Esas carpetas que quedan, en appdata Roaming, son normales, pues es donde se instala, y sirven para alojar cuarentenas y demas, y Zhpcleaner no tiene desinstaldor

Mira nuestro manual:

NUSERT.DAT, son archivos oculto de Windows y NO DEBES eliminarlos

La detección de Defender sobre Zhopcleaner seria un falso positivo, algo normal en el.

Comentas dudas


#4

¿Entonces no hay problema si elimino los “rastros” de ZHPCleaner en Roaming?


#5

Permiso @Miguelgrado

@User01 Si ya no vas a usarlo puedes eliminarlo, pero elimina la carpeta del ZHPCleaner nada más, no la carpeta roaming.

Si lo vuelves a utilizar las carpetas se crearán nuevamente.


#6

@User01, comenta si no hay mas dudas

Sludos