Ransomware nuke.jse y Win32/Kryptik.FTUQ

Mél -  
 Mél -
Hola,

Mi ordenador tenía un virus: Variante de Win32/Kryptik.FTUQ Caballo de Troya. Creo que he logrado quitarlo, pero todos mis archivos están bloqueados, no puedo abrirlos en absoluto y dice: Archivo de script codificado JScript.

¿Alguien puede ayudarme?

Muchas gracias

Configuración: Windows / Firefox 55.0

10 respuestas

  1. Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 712
     
    Hola,

    Sería bueno que das los archivos detectados y luego:

    Sigue el tutorial FRST. ( ).

    Descarga y ejecuta el escaneo FRST,
    Espera a que termine el escaneo, un mensaje indicará que el análisis ha finalizado.

    Se generarán tres informes FRST:
    FRST.txt </li> Shortcut.txt </li> Additionnal.txt</li></ul>

    Envía estos 3 informes al sitio https://pjjoint.malekal.com/ para compartirlos.
    A cambio, proporciona los 3 enlaces pjjoint que conducen a los informes aquí en una nueva respuesta para que podamos consultarlos.

    --
    Por favor presiona cualquier tecla para continuar la desinfección...
    0
  2. Mél
     
    Aquí están los enlaces:

    https://pjjoint.malekal.com/files.php?id=20171002_j12j6g10t7y8
    https://pjjoint.malekal.com/files.php?id=FRST_20171002_c11k7w14s14i12
    https://pjjoint.malekal.com/files.php?id=20171002_l7x11e15q12q10
    0
  3. Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 712
     
    Desinstala:
    Google Toolbar para Internet Explorer
    Web Companion


    Dame el informe de escaneo de NOD32.

    --
    Por favor, presiona una tecla para continuar con la desinfección...
    0
    1. M&eacute;l
       
      Claro,

      ¿Cuál es el informe del escaneo de NOD32?
      0
      1. Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 712 > M&eacute;l
         
        El informe de análisis que proporciona las detecciones con todos los detalles.
        0
    2. M&eacute;l
       
      De acuerdo, ¿pero cómo accedo al informe? Gracias.
      0
      1. Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 712 > M&eacute;l
         
        Al final del escaneo, debes tener el diario que puedes guardar.
        Lo envías a https://pjjoint.malekal.com
        y das el enlace aquí
        Desinstala bien los dos programas mencionados en mi mensaje anterior
        Web Companion es un programa no deseado.
        0
    3. M&eacute;l
       
      De acuerdo, vuelvo a escanearlo y se lo envío.
      0
  4. Mél
     
    Hola,

    Aquí está el enlace:
    https://pjjoint.malekal.com/files.php?id=20171003_m12x9e5d11y9

    Gracias
    0
    1. Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 712
       
      Ninguna detección :
      Número de amenazas detectadas : 0
      Hora de finalización : 18:45:52 Tiempo total de análisis : 5381 seg. (01:29:41)


      así que todo está bien :)
      0
  5. Mél
     
    No, todo va mal lol

    No puedo abrir mis archivos en absoluto, están codificados: Archivo de script codificado JScript.
    0
  6. Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 712
     
    Ah sí, perdón, lo pasé por alto en FRST.

    Has contraído el ransomware Nemucod, probablemente tras abrir un correo electrónico comprometido.

    En la actualidad, realmente no hay un método para recuperar los documentos cifrados. Si los datos son muy importantes, guárdalos temporalmente a salvo, porque quizás en el futuro haya una solución para recuperarlos.
    Sin embargo, aún puedes intentar las versiones anteriores con Shadow Explorer
    Mantén los archivos durante unos meses y sigue esta página para posibles soluciones en el futuro y una herramienta que permite recuperar los archivos: Lista de DecryptTools para ransomware

    Para eliminarlo:

    Aquí tienes la corrección que debes hacer con FRST. Puedes ayudarte de esta nota explicativa con capturas de pantalla.

    Abre el Bloc de notas: tecla Windows + R,
    En el campo "Ejecutar", escribe notepad y OK.
    Copia/Pega lo siguiente:

    CreateRestorePoint:
    Startup: C:\Users\user\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\nuke.jse [2017-10-02] ()
    RemoveProxy:
    Hosts:
    EmptyTemp:
    RemoveProxy:
    Reboot:


    Una vez que hayas pegado el texto en el Bloc de notas,
    Menú "Archivo" y luego "Guardar como",
    A la izquierda, colócate en el Escritorio,
    En el campo de abajo, en nombre del archivo, pon: fixlist.txt
    Haz clic en "Guardar", esto creará fixlist.txt en el Escritorio.

    Reinicia FRST y haz clic en el botón "Corregir / Fix"
    Es posible que sea necesario un reinicio (no es obligatorio)
    Aparecerá un archivo de texto, copia/pega el contenido aquí en un nuevo mensaje.

    Reinicia el ordenador.

    Por favor, presiona una tecla para continuar con la desinfección...
    0
  7. Mél
     
    Si hago eso, ¿qué se elimina exactamente?

    Lo siento, estoy un poco perdida.
    0
    1. Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 712
       
      El problema es que no das ninguna información sobre el nombre de la amenaza y sobre todo la ubicación (el archivo detectado)
      así que no sé de qué hablas.
      Además, en el análisis de NOD32, hay 0 detecciones.

      Puede ser un troyano, como también puede ser simplemente el archivo de instrucciones de pago del ransomware que está siendo detectado (inoffensivo).

      En fin, proporciona toda la información sobre la detección.
      0
  8. Mél
     
    Mi ordenador me dice otra vez que tengo virus.
    0
    1. Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 712
       
      Esto eliminará el ransomware o lo hará inactivo finalmente.
      0
  9. Mél
     
    Desafortunadamente, lo único que sé es que decía: Variante de Win32/Kryptik.FTUQ Caballo de Troya.
    0
    1. M&eacute;l
       
      Un correo con un archivo adjunto fue abierto, este era el correo:

      Hola,

      Adjunto encontrará el archivo PDF que contiene la factura de 782.21 EUR IVA incluido de su contrato 48512667.

      Para visualizar los archivos PDF, puede usar la herramienta Adobe Reader, que se puede descargar gratuitamente desde el sitio web de Adobe.

      Ha optado por el pago por domiciliación bancaria.

      Le informamos que la cuenta bancaria proporcionada será debitada automáticamente con el importe de esta factura en los próximos días.

      Nota:
      Si el importe de la factura es negativo, se trata de un abono que se le reembolsará a través de su método de pago.

      Atentamente,

      Servicio al Cliente 1&1 Internet SARL
      Sylvain Lebedel
      Responsable de Relaciones con Clientes
      0
  10. Mél
     
    Voici le lien

    https://pjjoint.malekal.com/files.php?id=20171003_y8n5g11j915
    0
    1. Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 712
       
      ok bien, ha sido eliminado :)
      0
    2. M&eacute;l
       
      ah genial, eso ya es algo :) gracias a ustedes por su ayuda.

      Ahora no sé cómo vamos a hacer con nuestros expedientes... es una catástrofe. Somos una asociación...
      0
      1. Malekal_morte- Mensajes publicados 178136 Fecha de registro   Estado Moderador, Colaborador de seguridad Última intervención   24 712 > M&eacute;l
         
        Desgraciadamente, no hay solución.
        De ahí la necesidad de hacer copias de seguridad.
        0
    3. M&eacute;l
       
      :'(
      0