Troyano minador

AikonCWD

#389 Prueba lo de #381

B

#389 Al final conseguí eliminarlo con un combo de Malwarebytes y Adwcleaner. Luego seguí tus pasos para deshacerme de los restos. Gracias!

B

Yo ahora mismo no tengo ni el administrador de tareas. O sea, hago alt supr le doy y no sale xD

Me parece que estoy jodidísimo

1 respuesta
AikonCWD

#393 descarga processexplorer o processhacker, como administrador de tareas alternativo

1 2 respuestas
B

#394 Ok eso he hecho. Por lo menos ya lo tengo. A ver si tengo un hueco y hago todo eso que hay por arriba. Que yo voy clic clic sin saber ni qué hago.

11 días después
Chuso20

Buenas! Mil gracias por la ayuda que estás dándonos a todos #394 , Hace una semana o asi me pasó lo que a todos...me descargué el Torrent y virus al canto...El caso es que antes de que pudiese dar con este foro, lo que hice fue restaurar el sistema a una versión anterior...Con eso al menos el minero parece que no me come recursos ya que tanto temperaturas como procesos parecen normales de nuevo...Después encontré este foro y este hilo, y he de decir que si pillé varias de las cosas que pusiste en el #52 Vi el KeyLogger y me cargué todo lo que pude...La cuestión es que no pude realizar bien algunos pasos porque carecía de los archivos que mencionabas...Asi que no se si he dejado el virus vivo, si restaurar el SO a una versión anterior ha sido matarlo a cañonazos o que...Alguna idea?

1 respuesta
AikonCWD

#396 Seguramente lo tengas limpio tras hacer el restore. Elimina todos los ficheros que tengas en tu PC respecto al virus. Reinicia el PC y revisa si se vuelve a re-generar.

1 respuesta
Chuso20

#397 Al reiniciar no hay rastro de los procesos Systeminfo, Vbc y de Conhost tengo esto pero me da que es del sistema...

Por otro lado, al ejecutar el shell:stratup no me encuentra ruta alguna....en Equipo\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run No tengo la entrada que mencionaste, Tampoco tengo la carpeta Random en C: ProgramData ni en la de AppData/Roaming...Creo que me lo he cepillado, estoy en lo cierto? :) Lo que más me preocupaba dado que he hecho volver a la normalidad de rendimiento el PC, era que se quedase con mis datos, pero al no haber Keylog supongo que no hay problema jeje, me hubiese gustado solucionar el problema desde el principio con la técnica que has puesto pero bien hecha, mucho mas elegante que restaurar el sistema xD

1 respuesta
AikonCWD

#398 exacto, si no aparece de nuevo los logs del keylogger, es que lo has quitado bien :)

1 respuesta
Chuso20

#399 Estupendo! mil gracias de nuevo! Estaba a punto de formatear por si las moscas... Viste los procesos conhost que tengo en el pc?? no se si son normales...y a los logs del keyloger te refieres a la carpeta con el registro de lo que he tecleado?

B

Yo estoy muy muy perdido. Con W10 cómo se entra en modo a prueba de fallos y qué aplicaciones tengo que ejecutar una vez dentro?

AikonCWD

Buenas, ayer estuve en remoto con un usuario infectado por el virus. Definitivamente han mejorado la versión del troyano. Ahora se inyecta en diferentes procesos (en su caso notepad y un proceso del Avast) y deja una clave de registro en CurrentVersion\RunOnce (en lugar de Run). Ya no se inyecta en vbc, systeminfo, etc...

2 respuestas
Vaody

#402 Que pueden hacer en tu PC con ese troyano?

1 respuesta
AikonCWD

#403 Te instalan un minero y utilizan tu CPU para minar cryptomonedas (el PC te irá lento como una castaña).
Luego te mete un keylogger para saber todo lo que escribes, imagino que para capturar contraseñas y cosas similares.

1 respuesta
Vaody

#404 Lo pregunto porque yo uso mucho esa pagina xD, hay alguna manera de saber si estoy infectado?

2 respuestas
AikonCWD

#405 Revisa https://www.mediavida.com/foro/hard-soft/troyano-minador-617386/2#52 y mira si tienes esas carpetas con esos ficheros.

1 2 respuestas
Vaody

#406 Muchas gracias AikonCWD

espikiller

La cosa es no usar más esa página.

bRo

Bueno, #406 ha estado un rato destripando mi circo de ordenador, creo que me llevo el top1 de ordenadores infectados. Me dispongo a cambiar contraseñas hasta la de mv, ha podido observar también mis gustos del porno y mis artes para ligar. Un keylogger en toda regla, teniamos hasta la ip del tío que según los correos que me mando google era de Grecia, aunque a saber si iba con vpn y demás. Lo único te lo agradezco un montón y espero no volver a dar el coñazo. Gracias por la clase!

1
Popino
#405Vaody:

Lo pregunto porque yo uso mucho esa pagina xD

Debes estar de coña.

1 respuesta
Vaody

#410 Efectivamente.

Chuso20

#402 Se inyecta en procesos de forma aleatoria? en cualquier programa que se tenga instalado?

1 respuesta
AikonCWD

#412 He visto que se inyecta en el notepad.exe y en un proceso del avast (si lo tienes instalado, claro), pero la lista seguramente sea mayor.

1 1 respuesta
Casimirott

#413 por que borraste el video de twitch donde mostrabas como lo analizabas? queria verlo for fun xddd

1 respuesta
AikonCWD

#414 se borran solos a los X días :(

Casimirott

encontre esta carpeta con numeros raros

y dentro tiene este archivo

de que podria ser? lo raro es que el resto de procesos no los tengo, pero me entro curiosidad tener esa carpeta.

1 respuesta
homerbask

a ver si me podeis echar una mano. tengo un troyano similar pero no es exactamente igual. paso el malwarebytes con la prueba premium me los detecta pero cada vez que se formatea lo vuelvo a tener. yo no suelo descargar nada en el pc por lo que aviso que creo que es por los servidores para ver series online en megadede.
dejo captura del malwarebytes

cuando los paso a cuarentena me dice esto:
todos los elementos seleccionados se han eliminado con exito. 1 archivo de registro se a guardado en la carpeta de registros.

su equipo debe reiniciarse para completar el proceso de eliminacion.....

reinicio lo vuelvo a pasar y otra la vez misma mierda.

2 respuestas
espikiller

#417 a parte de seguir la guía de aikon que está muy bien explicado entra en modo seguro si no lo hiciste.

AikonCWD

#417 Prueba esta tool: https://www.bleepingcomputer.com/download/chrome-cleanup-tool/

Tienes el navegador "secuestrado". Otra opción sería desinstalar completamente Chrome, recuerda antes salvar cualquier contraseña guardada, marcados/favoritos y cosas que puedas tener.

#416 puede ser cualquier cosa, pero dudo que sea nada malo.

homerbask

Lo he desistalado y han desaparecido al menos mientras no tengo el Chrome. Ahora cuando inicio me salen estos mensajes

https://cdn.discordapp.com/attachments/581531657979428865/586534350686781450/Sin_titulo.png

1 respuesta