#60 esa foto es de tu PC? En tal caso sí, completamente xD, mira arriba como quitarlo y si necesitas ayuda me dices
edit: desde el 7/mayo que llevas minando gratis y toda tu info que hayas tecleado la ha capturado el keylogger :S
Bueno, a modo de info he estado hablando con @ESL_Kaiser y en remoto le he podido ayudar un poco. Tenia el sistema infectado desde hacía meses, con un montón de logs de todos los programas que ha ejecutado, passwords tecleados y toda esa info sensible. Incluso si hubiese buscado en xvideos "hardcore porn shemale ass fuck POV" también saldría en los logs 
Hemos limpiado todo y ahora parece que todo está bien.
edit: al final el bicho me ha entretenido más de lo que esperaba al inicio.
A raiz de su problema, miré antes en la carpeta de Roaming y tenía una carpeta con nombre raro en el que dentro tenía contenido "miner" y tal, he estado mirando los archivos y exactamente era un keylogger, pero no se ni como ni cuando lo borré y estaba ahí el rastro.
Hay que tener un cuidado...
#66 Lo pregunto porque me parece que hace tiempo tenía algo de eso y hace poco formateé el pc, así que tenía la duda de si podría seguir con vida.
Pregunta de noob: ¿solo afecta al disco principal (en caso de tener más discos)?
¿Dónde debería mirar para ver si tengo un bicho de estos? Tengo el McAffe con licencia pagada, que dicen que es el mejor del mercado... pero a saber (nos la regalan por X motivos cada año). Gracias aikon por el currazo!
#68 Quien te haya dicho que el McAffee es el mejor antivirus del mercado:
1.- No es tu amigo
2.- Vive en 1999
3.- Podría dejar de respirar y no pasaría nada
En serio, no se que es peor, si el Mcffee o el AVG que es más difícil de desinstalar que un virus.
Consejo: el mejor antivirus es el sentido común. Y luego, el Kaspersky.
Hola,
Si as realizado los pasos con el MalwareBytes, puedes pasarme el reporte que te a dejado?, esta en el apartado "Informes". A veces, se tiene que configurar bien este programa para que logre detectar. Pasame el reporte fijandote la fecha y hora para analizarlo :).
#66 Con mi portatil te tienes que hacer pajas de sangre, 1 año sin antivirus metiendome en paginas chinas, a veces se me pone la CPU al 80% solo con steam abierto y unas 10 pestañas de firefox, y eso que es un i7 7700HQ con 8 gb de RAM xD
#66 Una duda desde la ignorancia, si sabes destriparlo, y puedes sacar que hace, puedes tambien sacar a donde envia datos?
Es decir, el keylogger y demas, sabes a donde esta enviando lo qpilla?
o es otro rollo completamente diferente y estoy hablando ya de asuntos tipo james bond y peliculeo? XD
Joder tambien estoy infectado... Lo que no entiendo es que a saber de cuando lo tengo pero si roban datos, porque sigo teniendo todos mis ahorros y todas mis cuentas? es decir para que quieren dicha informacion si luego no hacen nada?
Pero la manera de saber si estas infectado en si tienes el proceso que muestran #60 y en el administrador de tareas o se esconde una vez lo abras?
Con eset la online y malaware deberia quitarse?
#80 yo ni me he enterado siempre tengo el pc haciendo cosas y no me paro a mirar si está chupando de más, además que tampoco sabía cómo mirarlo
Y todo esto, al igual que millones de virus, se podrian evitar con la sola configuracion de mostrar la extension de los ficheros. No hay mas.
Bueno, eso y saber que vbe es una extension de script que puede desencadenar el propio infierno en tu pc.
#67 No puede sobrevivir a un format y solo afectaría al disco principal.
#68 Tienes la guía en la página 2, si encuentras esos ficheros o procesos, estarás infectado.
#70 No he usado el Malwarebyte y no tengo ningún log, sorry
#75 Sí, claro. Normalmente saco esos datos. El "problema" con este bicho es que todo empieza desde un autoIt encriptado que no he sabido reversar. Los procesos encargados de capturar los datos no están en disco (son inyectados directamente en la memoria sobre procesos legítimos). Tendría que dumpear el proceso activo, reparar la tabla IAT y hacer mil guarradas más para sacar esa info. Demasiado trabajo para que finalmente los datos vayan encriptados o algo... otra opción sería dejar el wireshark durante horas y luego escudriñan los miles de paquetes hasta dar con el que envía los datos... Demasiado trabajo para lo que es. Si encuentro otro bicho más simple y directo os lo muestro para que veáis el ejemplo. He llegado a sacar passwords de cuentas de gmail dónde se enviaban los datos, entrar en la bandeja de entrada y ver como 5000 mails con logs de sus victimas. Un horror.
#76 Ni idea la verdad, quizás vendan la info a empresas de estadísticas para sacarse unos €, sin importar el contenido de los logs.
#80 Me da la impresión que el bicho se queda activo en el sistema durante X días y al final se desactiva solito. No estoy seguro de ello. Si lo has tenido deberías encontrar los rastos en las carpetas que dije, sobretodo en %appdata% (roaming) donde estarán los logs del keylogger.
#87 Sip, pero cualquier ayuda es bien recibida. Viendo el source original del troyano, usa RC4 para desencriptar sus cosillas. Si el shell.txt y pe.bin están en RC4 necesitaré sí o sí la key para reversarlo. Dicha key debería estar en el script de autoIt que no controlo y no sé como desencriptar xD.
#88 Bueno, supongo la la key se autogenerara con la seed de cuando se ejecuta el script, así que poco se puede rascar con una key random pese a no ser una super encriptación.
Supongo que la primera encriptación que abriste era simple base64 text no?
#89 Nope, la primera es la propia de vbe, está documentada. Luego obtienes código vbs "normal", salvo que todas las variables están renombradas con nombres raros, luego hay 3 cadenas enormes en base64 que son el exe del autoIt y los 2 ficheros adicionales (miner y keylogger).
