Este explorador ya no se admite.
Actualice a Microsoft Edge para aprovechar las características y actualizaciones de seguridad más recientes, y disponer de soporte técnico.
![](data:image/svg+xml, %3Csvg xmlns='http://www.w3.org/2000/svg' height='64' class='font-weight-bold' style='font: 600 30.11764705882353px "SegoeUI", Arial' width='64'%3E%3Ccircle fill='hsl(128, 8%, 22%)' cx='32' cy='32' r='32' /%3E%3Ctext x='50%25' y='55%25' dominant-baseline='middle' text-anchor='middle' fill='%23FFF' %3EA%3C/text%3E%3C/svg%3E)
Muy buenas:
Borrando los archivos descargados de los últimos meses, he encontrado un .vbe dentro de un zip de unos torrents. No recuerdo haberlo ejecutado pero probablemente lo haría en su momento por inercia pensando que era el torrent en sí. La cuestión es que he buscado información y siguiendo las instrucciones de este post (https://www.mediavida.com/foro/hard-soft/troyano-minador-617386/2#52) no me he encontrado exactamente lo que indica pero en el registro tenía esto:
He borrado la entrada y me he ido a la carpeta donde estaban los archivos .exe y .au3, y allí, además de un archivo pe.bin, había una carpeta con logs de todo lo que habré tecleado en los últimos tres meses, ordenado por fechas. De momento no lo he borrado.
Buscando el nombre del archivo exe, me han salido un montón de carpetas de Windows empezadas por AppCrash como esta (AppCrash_33151e6.exe_aa778f81f59279bf2f179ac2198c 35b5c4e6126_06acf26e_47e220f6-7090-4594-96ec-aebfc278c511).
He tenido puesto el Avast todo este tiempo, y hoy he pasado el rkill, el malwarebits, y otros programas y no me detectan nada de esto.
¿Qué puedo hacer para limpiarlo del todo? Entiendo que además del keylogger, me pueden haber metido otras cosas, como un minador o a saber.
Soy bastante analfeto en seguridad informática y os agradecería enormemente que me ayudarais para borrar cualquier rastro.
Muchas gracias.
Pregunta bloqueada. Esta pregunta se migró desde la Comunidad de Soporte técnico de Microsoft. Puede votar si es útil, pero no puede agregar comentarios o respuestas ni seguir la pregunta.
Querido Jesús,
Siguiendo las indicaciones, he logrado limpiar del todo el equipo.
Te agradezco inmensamente la ayuda que me has prestado en este par de días para arreglar el ordenador.
Solo me queda una última pregunta. Con el malware que tenía, ¿es posible que memorias USB y discos duros externos que he usado esporádicamente para copiar/pegar archivos estas últimas semanas se hayan infectado también?
Muchísimas gracias.
Hola, J-Tone:
Si ya revisó todos los directorios que le indiqué puede quedarse tranquilo, porque son los que utiliza el malware AutoIT.
C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default*Sync*Data\LevelDB
El problema es que al eliminar información sincronizada de su cuenta, podría perder información de su usuario como los marcadores. Aunque no es algo que deba ocurrir, siempre se aconseja guardar (exportar) la carpeta Marcadores, así como cualquier otra de interés.
Cómo exportar e importar tus favoritos de Google Chrome
Hay un tutorial perfecto para este tipo de problemas que suelen aparecer con la opción de Sincronización de Chrome (en inglés pero con imágenes), se encuentra en el siguiente enlace: Chrome Secure Preferences detection always comes back
En casos en los que Chrome ha sido infectado a nivel de perfil de usuario y de sincronización, se aconsejan varios pasos. Copio y pego, en el paso 1 parte de lo indicado por el soporte de Google y luego añado lo que indican los expertos en seguridad.
1) Desactivar la sincronización
Aunque desactives la sincronización, podrás seguir viendo en tu ordenador los marcadores, el historial, las contraseñas y otras opciones de configuración. Sin embargo, si haces algún cambio, no se guardará en tu cuenta de Google ni se sincronizará con el resto de los dispositivos.
Al desactivar la sincronización, también se cierra sesión en los otros servicios de Google, como Gmail.
En tu ordenador, abre Chrome.
En la parte superior derecha, haz clic en el icono de los tres puntitos y seleccione Configuración. En la parte superior, en "Usuarios", haz clic en Desactivar y luego Desactivar. **** Alternativamente, puede también acceder a la misma opción introduciendo (copiando y pegando) en la barra de direcciones de Chrome: chrome://settings/syncSetupCierre sesión además de haber desactivado la sincronización, para que los datos no vuelvan a sincronizarse por ahora. Como punto adicional (es posible que no sea necesario realizar este paso - los datos sincronizados se perderán), consúlte cómo eliminar tu información sincronizada de tu cuenta de Google.Otro enlace a una explicación en otra web, porque Google eliminó el enlace anterior:
eliminar-informacion-sincronizada-chrome
2) Los datos sincronizados en el servidor de Google sobre el navegador Chrome deben estar vacíos. 3) Elimina la caché y las cookies del navegador: Borrar la caché y las cookies
4) Cierre Chrome
5) Ejecute Adwcleaner para que vuelva a detectar el PUP en Chrome.
6) Póngalos en cuarentena / elimínelos.
7) Reinicie la computadora.
8) Vuelva a abrir Chrome: es posible que necesite iniciar sesión en Google.
9) En la parte superior derecha, haz clic en el icono de los tres puntitos y seleccione Configuración. 10) Vuelva a sincronizar todos los elementos. 11) Vuelva a ejecutar Adwcleaner 12) Los elementos PUP ya no deberían deser detectados.
Si el problema se vuelve a presentar pese a haber hecho todos estos pasos, tendría que eliminar absolutamente todos sus datos de perfil de usuario de Chrome y desinstalar y volver a instalar el navegador.
Siento no poder ofrecerle este tutorial de una manera mejor explicada o más sencilla de ver con imágenes, pero no he encontrado nada similar por la red. Me lo apunto para un futuro tutorial de interés para todos los usuarios.
Un saludo.
Querido Jesús,
No sabe cuánto le agradezco su ayuda y sus consejos, la mayoría de los cuales acabo de poner en práctica. Y, de hecho, haciéndolo han surgido un par de problemillas que paso a exponer:
Infinitas gracias.
Perfecto, J-Tone. Ambos procesos son legítimos y están limpios.
Todo correcto. El malware AutoIT, ni los otros que indentifiqué se encuentran ya en el sistema.
Al final de las respuestas a las preguntas que me hizo y que respondo a continuación, le indicaré otras cosas que debería tener en cuenta.
Paso a responder las preguntas que me realizó anteriormente. Se avecina un gran tocho, tómese su bebida favorita y unas palomitas:
1) Como le indiqué al principio de esta respuesta, el sistema está limpio.
No obstante, le aconsejo realizar un análisis del sistema con AdwCleaner, por si se encontrara alguna entrada sospechosa más en los navegadores o en los archivos relacionados con éstos.
No existe ningún keylogger actualmente en el sistema. Ni ningún malware que aparezca activo ni en los procesos, ni en las tareas del sistema.
2) El consumo de CPU es bastante bajo, que era un valor que este malware lo solía mantener cercano al 100%.
Por cierto, no se preocupe si al abrir el Administrador de Tareas (ALT + CTRL. + SUPR.), notifica que el uso de la CPU sube al 100% durante breves segundos, es algo normal que tiene relación con el servicio de interrupciones del sistema. Le indico esto porque es bastante común que después de ser infectado por este malware los usuarios se empiecen a obsesionar y a preocuparse por cualquier mínima cosa en la que antes no se habían fijado.
El consumo de memoria RAM depende de los procesos que se encuentren abiertos y actualmente en memoria.
Supongo que usted todavía tiene instalados MalwareBytes y Avast, que lógicamente van a hacer un uso elevado de la memoria RAM.
También debe tener en cuenta, que los navegadores y sus distintas pestañas abiertas suelen incrementar bastante el consumo de memoria RAM. Así pues, este es otro detalle a tener en cuenta.
Por lo demás, usted tiene otros procesos ejecutándose que podría cerrarlos si así lo desea (más tarde en esta respuesta le indicaré que algunos de ellos no son necesarios o aconsejables que los tenga instalados), pero al volver a inciar el sistema volverán a activarse, a no ser que puedan ser deshabilitados desde la pestaña Iniciode msconfig. Ojo, con esto que no todas las entradas que aparezcan en dicho listado debe de deshabilitarlas. Si tiene alguna duda sobre esto, puede consultarme.
3) Con respecto a los datos recopilados en el archivo de texto por parte del malware AutoIT, debo indicarle que realmente nunca se ha tenido constancia de que se hayan hecho uso de ellos. De todos los casos que he leido en distintos foros, nunca nadie ha indicado que le hayan robado una cuenta, o que hayan accedido a alguno de los servicios que tenía contratados, o se haya hecho uso de una tarjeta de crédito.
No obstante, siempre es recomendable por prudencia, cambiar las contraseñas por si en algún momento futuro, se empiezan a hacer uso de los datos o se revenden en el mercado negro existente en la denominada Deep Web.
Tengo que hacer un estudio de algunas de estas últimas variantes aparecidas que crean ese directorio C:\Program Data\Intel para comprobar si ese archivo que almacena esa información, se está enviando a alguna dirección. Realmente, esto también supondría un riesgo para los que están distribuyendo este tipo de malwares, ya que se estarían exponiendo a recibir denuncias y a ser detenidos, aunque lógicamente siempre pueden estar utilizando técnicas para no ponerlo fácil. Lo que está claro es que si crean estos archivos, será para obtener beneficios de algún modo.
4) En cuanto al software KeyScrambler y similares, pues no tengo experiencia sobre su uso. Tampoco conozco a ningún experto en seguridad que lo haya aconsejado nunca a ningún usuario. De hecho, he estado buscando información en el foro más importante actualmente a nivel de seguridad (en inglés), y los expertos no parecen tener tampoco experiencia con este tipo de programas:
How effective is keystroke encryption/key scrambling
No puedo ofrecerle información, sobre este producto. Creo que utilizar este tipo de software es una decisión que debe tomar el usuario final.
Estos programas lo que hacen es cifrar en tiempo real lo introducido por el usuario a través del teclado, haciendo que sea descifrada por el propio software cuando alcanza la aplicación de destino.
La pregunta del millón es la de siempre, ¿es responsable protegernos de un supuesto keylogger atacante utilizando otro keylogger supuestamente legítimo exponiendo voluntariamente nuestros datos a éste último?.
Hoy en día, la mayoría de servicios online ofrecen la opción de realizar una autenticación en dos pasos, por lo que quizás es más aconsejable activar esta opción que lo otro. Además, he comprobado que por ejemplo en los servicios de correo electrónico y en las redes sociales, en cuanto que se accede o se intenta acceder desde una ubicación o equipo que no es la de siempre, se envía un correo electrónico rápidamente al usuario para informarle de ello.
Como le indiqué anteriormente, la decisión es suya. Si algún día realizo un estudio interno del software para ver qué tipo de conexiones realiza, se lo haré saber, aunque debo suponer que ya algún experto lo habrá hecho y es un software seguro.
5) Teniendo en cuenta que la seguridad no existe al 100%, le puedo indicar algunos consejos de seguridad básicos, aunque seguro que la mayoría de ellos ya conoce:
Consejo 1: Hacer copias de seguridad periódicas de todos sus archivos importantes. Esto es fundamental.
Consejo 2: Tener el sistema operativo y los programas que utilice actualizados dentro de lo posible. Aunque a veces es cierto que la última compilación del sistema puede dar algún problema en cuanto son publicadas.
Consejo 3: No abrir ningún correo electrónico de remitentes desconocidos, ni por supuesto ejecutar ningún archivo adjunto a éstos.
Consejo 4: Ser cauteloso/precavido con las páginas que visita.
Utilizar antibloqueadores de publicidad en sus navegadores como Ublock Origin y Adblock Plus. Adblock Plus no bloquea tanta publicidad como Ublock Origin.
Si la web es demasiado agresiva con la publicidad y con elementos que puedan contener malware, utilizar directamente, la característica Sandbox *(*incorporada en Windows 10 rencientemente, aunque ha presentado algunos problemas de funcionalidad que no estoy seguro si han sido resueltos completamente. Próximamente haré un video o un artículo sobre este sistema de seguridad), o el programa Sandboxie (incompatible con las últimas compilaciones de Windows 10 la última vez que lo probé) para navegar a través de ellas.
Consejo 5: Si se visitan páginas de enlaces torrent para descargar archivos torrent, comprobar que ningún archivo descargado desde ese tipo de webs tengan doble extensión. Por ejemplo: .torrent.zip
****También hay otras webs de descargas de enlaces de archivos torrent, que descargan una extensión .zip, para hacer pensar al usuario que el verdadero enlace torrent se encuentra dentro de este archivo. De estos archivos hay que desconfiar.
Las extensiones tienen que ser por normal general únicas. En este caso debería ser simplemente: .torrent.
Consejo 6: Descargar los programas desde las páginas webs oficiales de los desarrolladores, y leer todos los pasos en el proceso de instalación de los programas que instala.
Consejo 7: Tener algunas herramientas para proteger y analizar el equipo (antivirus+ antimalware). Una buena combinación podría ser Windows Defender + MalwareBytes Antimalware.
Adwcleanertambién es un anti-malware que también merece la pena utilizar cuando se sospecha de posible infección en el sistema.
El programa anti-malware aunque puede ser recomendable que esté ejecutándose en tiempo real para bloquear los malwares y proteger el equipo, también podríamos tenerlo si el usuario no puede gastar el dinero para pagar el software como herramienta complementaria que se podría instalar en modo de prueba una vez se tenga sospechas que el sistema se ha visto comprometido. También debe tener en cuenta, que un anti-malware residente en memoria con todos sus escudos activos, pueden consumir demasiados recursos del sistema. En estos casos, se puede desactivar la protección en tiempo real o desactivar algún escudo de seguridad que no utilicemos (por ejemplo, el de correo electrónico).
Consejo 8: Si va a ejecutar alguna aplicación o visitar alguna web de dudosa procedencia, proteger al sistema utilizando la característica de seguridad de Windows llamada Sandbox o el programa Sandboxie, o incluso instalando un sistema operativo de manera virtual (con VirtualBox, VMware o VirtualPC) y hacer en éste lo que necesite en ese momento. Esta última opción de utilizar sistemas operativos virtuales es excesiva para usuarios particulares, y sólo suele ser utilizado por expertos en seguridad, así que descártela si no quiere complicarse la vida.
Consejo 9: Aprender y preguntar de los expertos antes de hacer nada de lo que no estemos seguros, o una vez el sistema haya sido infectado o sospechemos de algo:
Microsoft Answers - Virus y malware
Para finalizar, quiero indicarle varias cosas relacionadas sobre el programa Farbar que utilizamos para eliminar el malware de su sistema y sobre algún software que tiene instalado en su equipo por si quiere tenerlas en cuenta:
- Dentro de C *:* encontará el directorio FRST.
Este es un directorio creado por Farbar donde se mantiene dentro de la carpeta Quarantine una copia neutralizada de los elementos que hemos eliminado, por si fuese necesario recuperarlos por si hubiésemos cometido algún error y quisieramos recuperar alguno de ellos. No hemos cometido ningún error, pero en otros casos donde pueda ocurrir, siempre es bueno tener la opción de dar un paso atrás desde la propia herramienta y recuperar algunos de los archivos eliminados.
También dentro del directorio FRST se encuentra otra carpeta nombrada como Hives que contiene una copia del registro del sistema.
Usted puede eliminarlar completamente el directorio FRST manualmente cuando quiera y lo crea conveniente.
Los expertos además suelen utilizar la herramienta Delfix para eliminar las herramientas de desinfección que hemos utilizado. Para ello, solamente tiene que seleccionar la casilla Remove desinfection tools y hacer clic en el botón Run. Esta herramienta debería eliminar también el directorio C: \FRST
- Daemon Tools es un programa que debe valorar si lo necesita tener instalado.
Desde Windows 8, el propio sistema es capaz de montar y abrir archivos en formato .ISO. Así pues, en Windows 10 no necesita ninguna utilidad de teceros (en este caso Daemon Tools) para abrir imagenes .ISO.
Si necesita abrir imagenes en otro formato (.CCD, .NRG), entonces sí tendría que utilizar este tipo de programas de terceros.
Daemon Tools o Alcohol 120% entre otras aplicaciones, siempre se ha indicado que instalaban controladores que podrían ocasionar problemas en el arranque del sistema.
Usted puede seguir utilizando este programa si lo desea y se siente satisfecha con su rendimiento. Tan solamente quiero indicarle que ese programa contiene adware (publicidad dentro de la interfaz del software), y en algunas ocasiones el software ha sido acusado de distribuir malware a través de ellas.
Existen alternativas más livianas y seguras que uTorrent, a las que si quiere podría darles alguna oportunidad. Por ejemplo: qbittorrent o Deluge
Un saludo y que le vaya todo bien.
Lo acabo de hacer.
Este es el resultado:
[EDITADO]
Gracias de nuevo.
