Compartir a través de

Infectado por un script a través de un Torrent con un keylogger ≡ Windows 10

Anónimas
2019-10-14T00:35:54+00:00

Muy buenas:

Borrando los archivos descargados de los últimos meses, he encontrado un .vbe dentro de un zip de unos torrents. No recuerdo haberlo ejecutado pero probablemente lo haría en su momento por inercia pensando que era el torrent en sí. La cuestión es que he buscado información y siguiendo las instrucciones de este post (https://www.mediavida.com/foro/hard-soft/troyano-minador-617386/2#52) no me he encontrado exactamente lo que indica pero en el registro tenía esto:

He borrado la entrada y me he ido a la carpeta donde estaban los archivos .exe y .au3, y allí, además de un archivo pe.bin, había una carpeta con logs de todo lo que habré tecleado en los últimos tres meses, ordenado por fechas. De momento no lo he borrado.

Buscando el nombre del archivo exe, me han salido un montón de carpetas de Windows empezadas por AppCrash como esta (AppCrash_33151e6.exe_aa778f81f59279bf2f179ac2198c 35b5c4e6126_06acf26e_47e220f6-7090-4594-96ec-aebfc278c511).

He tenido puesto el Avast todo este tiempo, y hoy he pasado el rkill, el malwarebits, y otros programas y no me detectan nada de esto.

¿Qué puedo hacer para limpiarlo del todo? Entiendo que además del keylogger, me pueden haber metido otras cosas, como un minador o a saber.

Soy bastante analfeto en seguridad informática y os agradecería enormemente que me ayudarais para borrar cualquier rastro. 

Muchas gracias.

Windows para el hogar | Windows 10 | Seguridad y privacidad

Pregunta bloqueada. Esta pregunta se migró desde la Comunidad de Soporte técnico de Microsoft. Puede votar si es útil, pero no puede agregar comentarios o respuestas ni seguir la pregunta.

0 comentarios

15 respuestas

Ordenar por: Muy útil
Muy útil Más reciente Más antiguo
  1. Anónimas
    2019-10-16T07:39:45+00:00

    Querido, J-Tone:

    Me alegro que haya solucionado por fin ese último problema que se resistía.

    Agradezco sus palabras tan amables ;), pero no tiene que darme las gracias. Estamos aquí para ayudar en la medida de lo posible.

    En cuanto a su pregunta sobre si el malware AutoIT pudo infectar a memorias USB como pendrives y discos duros, yo diría que la respuesta es negativa. En el informe de Farbar no aparece ninguna tarea o proceso relacionado con infectar unidades USB.

    Esa variante que afectó a su sistema y otras distintas variantes, ya las he tratado por aquí en otras ocasiones y ningún usuario a los que ayudé ha reportado nada relacionado con infecciones de memorias USB, ni por supuesto yo he notificado en los distintos informes que eso estuviese ocurriendo.

    Eso sí, parece que en la última semana de septiembre, se ha reportado una nueva variante del malware AutoIT que infecta las unidades USB, pero revisando el estudio que se tiene sobre el mismo no tiene relación con la variante que afectó a su sistema que es una de las ya conocidas desde muchos meses:

    Nueva variante de AutoIt que infecta pendrives y nos lo envian para analizar

    Por cierto, lo que sí debe tener en cuenta es que algunos malwares AutoIT según nos notificó una usuario de esta comunidad, se estaba distribuyendo a través de equipos universitarios. Supongo que ese caso era muy específico, pero se lo indico por si realmente se hubiese infectado a través de un pendrive conectado a algún equipo que no fuese el suyo. Para ello, tendría que haber hecho doble clic en algún archivo zip o similar.

    De todas formas, ese caso no quedó demostrado a través de los informes de Farbar, así que creo que era una teoría que tenía aquel usuario, pero que quizás no se adaptaba a la realidad. De hecho, el usuario había descargado archivos torrent, por lo que realmente creo que la infección estuvo provocado por esa causa que es la habitual.

    Un saludo y que le vaya todo bien. Por aquí nos tiene si lo vuelve a necesitar.

    1 persona ha encontrado útil esta respuesta.
    0 comentarios
  2. Anónimas
    2019-10-15T12:11:05+00:00

    Buenos días, Jesús:

    No he encontrado más rastro del malware en las carpetas que me indica. Buscando el archivo systeminfo.exe, no lo he encontrado en esa carpeta sino en otras como C:\Windows\SysWOW64 o C:\Windows\System32. ¿Entiendo que en este caso el archivo es legítimo?

    Sobre los PUP, estos son los logs del Adwcleaner y el Malwarebytes. El problema se soluciona pero vuelve a aparecer.

    ***** [ Chromium URLs ] *****

    Deleted       Softonic ES

    Deleted       http://www.sweet-page.com/?type=hp&ts=1407325392&from=cor&uid=HitachiXHTS543216L9A300\_090507FB2200VCFKKHBAX

    Deleted       sweet-page

    ***

    Carpeta: 2

    PUP.Optional.SweetPage, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Sin acciones por parte del usuario, [415], [455284],1.0.12917

    PUP.Optional.SweetPage, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, Sin acciones por parte del usuario, [415], [455284],1.0.12917

    Archivo: 10

    PUP.Optional.SweetPage, C:\Users\david\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000005.ldb, Sin acciones por parte del usuario, [415], [455284],1.0.12917

    PUP.Optional.SweetPage, C:\Users\david\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000007.log, Sin acciones por parte del usuario, [415], [455284],1.0.12917

    PUP.Optional.SweetPage, C:\Users\david\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000008.ldb, Sin acciones por parte del usuario, [415], [455284],1.0.12917

    PUP.Optional.SweetPage, C:\Users\david\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\CURRENT, Sin acciones por parte del usuario, [415], [455284],1.0.12917

    PUP.Optional.SweetPage, C:\Users\david\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOCK, Sin acciones por parte del usuario, [415], [455284],1.0.12917

    PUP.Optional.SweetPage, C:\Users\david\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG, Sin acciones por parte del usuario, [415], [455284],1.0.12917

    PUP.Optional.SweetPage, C:\Users\david\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG.old, Sin acciones por parte del usuario, [415], [455284],1.0.12917

    PUP.Optional.SweetPage, C:\Users\david\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\MANIFEST-000001, Sin acciones por parte del usuario, [415], [455284],1.0.12917

    PUP.Optional.SweetPage, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sin acciones por parte del usuario, [415], [455284],1.0.12917

    PUP.Optional.SweetPage, C:\USERS\DAVID\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Secure Preferences, Sin acciones por parte del usuario, [415], [455284],1.0.12917

    Muchas gracias.

    1 persona ha encontrado útil esta respuesta.
    0 comentarios
  3. Anónimas
    2019-10-15T08:21:02+00:00

    Hola, J-Tone:

    • Ayer justamente se me olvidó comentarle (me acordé cuando ya no estaba conectado a Internet, pero se lo iba a indicar hoy mismo) que revisara el directorio de *C:* y el de Program Data por si existiesen algunas carpetas con nombres aleatorios que contuvieran copias del malware. De cualquier forma, no se preocupe que lo que son los procesos vitales del malware ya no estaban en el sistema y por tanto esas carpetas aunque seguían existiendo no iban a ser funcionales para volver a crearse el malware.

    De cualquier forma por supuesto, debe eliminar esas carpetas manualmente porque al fin y al cabo son rastros del malware que aunque no están activos, no van a hacer nada en el sistema y le ocupan espacio (aunque sea poco).

    Con respecto a esto, debo indicarle que en el informe de Farbar no aparecían esas carpetas, debido a que probablemente fueron creadas hace más de un mes, que es el tiempo predeterminado en el que Farbar recopila la información de archivos y carpetas creadas y modificadas. Podemos establecer un máximo de 90 días, aunque no es habitual utilizar esta opción.

    Ese es el motivo por el que no las pude incluir en el archivo de la solución, ya que en su caso no tenía constancia de que existieran.

    Un directorio que también puede revisar es el de C:\Usuarios:\Su_nombre_de_usuario\AppData\Roaming. En esta última carpeta, podría llegar a encontrarse alguna carpeta con nombre aleatorio del tipo 0f5d2ace281daf0d61efa9a28c723fad. En ocasiones, este tipo de carpetas con ese nombre, pueden estar vacías.

    Algunas variantes del malware AutoIT, también dejaban un archivo temporal ejecutable en C:\Usuarios:\Su_nombre_de_usuario\AppData *\Local\Temp* con el nombre de systeminfo.exe.

    De cualquier forma, en teoría los archivos temporales deberían haber sido eliminados por la herramienta Farbar.

    • PUP son las siglas de Programas Potencialmente No Deseados.

    Esto significa que al descargar e instalar un programa, el asistente de instalación, puede instalar otros programas no deseados (que pueden llegar a ser maliciosos o traer consecuencias en el sistema) que nosotros no hemos querido instalar.

    Los anti-malwares suelen tener un listado de portales web (con instaladores propios) o programas que en el proceso de instalación pueden "ocultar" de manera intencionada al usuario, que se van a instalar otros softwares de terceros en el sistema. Estos instaladores suelen tener dos tipos de modos de instalación la Predeterminada y la Personalizada (Customize Installation). Si se utiliza la instalación Predeterminada, se nos pueden instalar programas que nosotros no hemos elegido que se instalen. Si se elige la opción Personalizada, entonces sí se nos puede mostrar algujna ventana que indique que se va a instalar software no requerido.

    También pueden dejar marcadas en el proceso de instalación casillas de instalación de software de terceros, que el usuario no suele revisar o no suele tener en cuenta para desmarcarlas, y que no son necesarios para que el programa que realmente desea instalar el usuario funcione.

    • En el caso de PUP.Optional.SoftonicAssistant, se hace referencia a que el asistente de instalación de Softnic para el programa que le está indicando AdwCleaner contiene software opcional de instalación y que debe tenerlo en cuenta.

    Lo más probable es que AdwCleaner, le está informando de algún programa que usted tiene descargado (o sea del instalador del mismo) en la carpeta donde suela descargar los programas. Pero esto tendría que revisarlo en el informe de resultados ofrecido por el programa.

    Softonic es un portal web que añade su propio asistente de instalación a todos los programas que se descarguen desde sus servidores. Este asistente de instalación, instala otros programas sin nosotros pedirlos, incluso puede llegar a infectar a los sistemas instalando barras en los navegadores.

    Softonic es un portal que está desaconsejado para descargar software. Siempre hay que descargar los programas desde las web oficiales de los desarrolladores de los programas, y aún así hay que tener cuidado con los procesos de instalación.

    • En el caso de PUP.Optional.SweetPage, ya elimamos este secuestrador de navegador que se iniciaba como página de inicio junto con Chrome y que hace redirigir el tráfico.

    Si me indica la carpeta donde AdwCleaner detecta dichos elementos, puedo indicarle alguna información más.

    En algunos casos debe tener en cuenta que si está sincronizando Chrome con otros dispositivos, es posible que al volver a abrir el navegador, SweetPage vuelva a poder a establecerse.

    En otros casos, a veces hay que volver a instalar Chrome, asegurándose de eliminar carpetas relacionadas con su perfil.

    Un saludo.

    1 persona ha encontrado útil esta respuesta.
    0 comentarios
  4. Anónimas
    2019-10-14T10:12:35+00:00

    Muchas gracias por responder, Jesús.

    Estos son los archivos que me ha generado el programa:

    [EDITADO]

    Gracias de nuevo.

    0 comentarios
  5. Anónimas
    2019-10-14T07:37:39+00:00

    Hola, J-Tone:

    El sistema de su equipo fue infectado por el malware AutoIT.

    Este malware se está distribuyendo principalmente a través de páginas que contienen enlaces a archivos torrent, e incluso a través de la descarga de programas que estas mismas páginas ponen a disposición de sus usuarios.

    Para infectar a un usuario, no es necesario ni que el usuario haga doble clic sobre el archivo .vbe. Simplemente con que abra el archivo .zip, el sistema se infecta automáticamente.

    Así pues, con respecto a la descarga de este tipo de archivos, debe asegurarse de nunca descargar archivos de enlaces a torrents con doble extensión: .torrent.zip.

    Ese archivo con doble extensión .torrent.zip, es el que causa que el equipo se infecte. En algunas otras páginas de descargas, el archivo malicioso es un simple .zip.

    Así pues, asegúrese de que cuando haga clic en un enlace torrent y se abra el cuadro de diálogo que permite abrir o guardar el archivo, ese archivo tenga únicamente la extensión .torrent

    Explicado lo anterior, pasamos a la otra parte importante:

    Efectivamente, tal y como comenta este malware utiliza todos los recursos del sistema de los usuarios infectados para minar criptomonedas. Este tiene como consecuencia que el sistema vaya excesivamente lento.

    Como también indica hay variantes de este malware que guardan en un archivo de texto, todo lo que el usuario introduce por teclado.

    La entrada del registro que eliminó es correcta, pertenece a dicho malware. Pero debe tener en cuenta que es posible que esa entrada o una nueva entrada vuelva a autocrearse, ya que este malware es capaz de autoreproducirse gracias a los distintos archivos que deja en el sistema.

    Las carpetas AppCrash, en principio, no deberían estar relacionadas con este tipo de malwares.

    Para asegurarnos de eliminar por completo el malware AutoIT, necesitamos utilizar la herramienta de diagnóstico Farbar Recovery Scan Tool.

    Por favor, siga el siguiente paso:

    Farbar Recovery Scan Tool tiene dos versiones (32 bits o 64 bits). Descargue la versión correspondiente a la arquitectura del sistema que esté utilizando.  Si le aparece alguna advertencia de que este programa es peligroso/dañino, no se preocupe que es totalmente seguro.

    • Ejecute Farbar Recovery Scan Tool: **FRST.exe.**Es recomendable que la herramienta sea ejecutada desde el escritorio.
    • En el mensaje de la ventana del Disclaimer, debe hacer clic en el botón Yes.

    En la ventana principal, debe marcar las casillas de verificación "Registry", "Services", "Drivers", "Processes" e "Internet". Además, DEBE ASEGURARSE de marcar la casilla de verificación "Addition.txt". Haga clic en el botón Scan y espere a que concluya el análisis.

    • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en la misma ubicación donde está ejecutando la herramienta.
    • Ahora con esos dos archivos logs tiene varias opciones: 1) Subir los dos archivos a Google Drive si dispone de una cuenta de correo de Gmail: Google Drive 2) Subir los dos archivos a OneDrive si dispone de una cuenta de correo de Outlook/Hotmail: OneDrive 3) Subir los dos archivos a sendspace haciendo clic en el botón Browse y luego en Upload: sendspace 4) Pegar el contenido completo de los dos archivos en la web de Pastebin, haciendo clic en el botón Create New Paste: Pastebin

    Vuelva a respondernos con los enlaces a esos dos archivos y los reviso.

    Un saludo.

    0 comentarios