Aplicación de PowerShell potencialmente maliciosa bloqueada

Resuelto
YouXI Mensajes publicados 5 Estado Miembro -  
YouXI Mensajes publicados 5 Estado Miembro -

Hola, Bitdefender me envía regularmente notificaciones de ataques bloqueados por PowerShell:

Mi Bitdefender no está actualizado, pero cuando intento actualizar, la búsqueda de actualizaciones se queda atascada en el 22% y no me atrevo a desinstalar y reinstalar Bitdefender por miedo a un ataque durante ese tiempo.

Gracias de antemano por su ayuda.

3 respuestas

  1. Bruno83200_6929 Mensajes publicados 724 Fecha de registro   Estado Miembro Última intervención   170
     

    Hola,

    Según sus capturas de pantalla, parece que Bitdefender detecta un comportamiento sospechoso relacionado con un script de PowerShell que accede y verifica claves del registro de Windows (específicamente en BagMRU, que gestiona las configuraciones de visualización de carpetas en el Explorador). El código mostrado verifica si un parámetro de vista de carpeta está "dañado" (a través de $isBroken), lo que podría estar relacionado con una herramienta de diagnóstico o un script legítimo, pero Bitdefender lo marca como sospechoso (firma AB30BF9243AD5IA0). Esto podría ser un falso positivo, ya que Bitdefender es conocido por generar algunos de estos en procesos normales de Windows o scripts inofensivos.

    Para la actualización bloqueada al 22%:


    Los problemas de actualizaciones atascadas en Bitdefender son frecuentes (a menudo en 0%, 80% o 84%, pero el 22% podría ser similar).

    Descargue la herramienta de actualización manual desde el sitio de Bitdefender (bitdefender.com). Ejecútela y vea si lo logra. A veces, las actualizaciones automáticas se quedan atascadas, pero la manual funciona.


    Algunas actualizaciones pueden parecer estancadas pero se reanudarán después de 10-15 minutos (como se ha notado para otros porcentajes).

    Desinstalación segura:

    Utilice la herramienta de desinstalación oficial de Bitdefender (disponible en su sitio) para una eliminación limpia. Desconecte internet durante la desinstalación/reinstalación si está paranoico (eso bloquea los ataques en red).


    Reinstale inmediatamente:

    Una vez desinstalado, instale la nueva versión de inmediato. La protección de Bitdefender no está completamente desactivada durante las actualizaciones normales, pero para una reinstalación, toma unos minutos como máximo.


    Si tiene Windows 10/11, el firewall incorporado y Defender ofrecen una protección básica mientras tanto.


    1
    1. brucine Mensajes publicados 24735 Fecha de registro   Estado Miembro Última intervención   4 154
       

      Hola,

      En resumen, PowerShell está integrado en Windows y no es sistemáticamente malicioso.

      Son ciertos scripts los que pueden serlo, pero ciertos procesos legítimos pueden utilizarlo, ya sea relacionados o no con ciertos programas (por ejemplo, es la vía legítima para actualizar las bases de datos de mi software de seguridad).

      Un script de PowerShell, sea malicioso o no, no caerá del cielo.

      Puede ser ejecutado a partir de un malware integrado en un ejecutable que hayamos descargado, pero de lo contrario, y si debe ejecutarse en línea, tendría que penetrar en el ordenador, y esta vez no es tarea del antivirus, sino del cortafuegos y del sistema de defensa del software de seguridad interceptar llamadas anormales a ejecutables.

      1
      1. brucine Mensajes publicados 24735 Fecha de registro   Estado Miembro Última intervención   4 154 > brucine Mensajes publicados 24735 Fecha de registro   Estado Miembro Última intervención  
         

        En el caso que nos interesa y a menos que un ejecutable malicioso lo haya suplantado, es probable que se trate solo de un script resultante de la telemetría de Windows CompatTelRunner, que se supone que examina la compatibilidad de las diferentes aplicaciones y la reporta a Microsoft.

        Se puede desactivar.

        1
      2. YouXI Mensajes publicados 5 Estado Miembro 1 > brucine Mensajes publicados 24735 Fecha de registro   Estado Miembro Última intervención  
         

        ¡Hola, gracias por su información!

        0
    2. YouXI Mensajes publicados 5 Estado Miembro 1
       

      Hola, muchas gracias por tu mensaje. En cuanto a Bitdefender, intenté la herramienta de actualización manual (¡no conocía esta técnica, gracias por la información!) pero no pareció funcionar, así que lo reinstalaré.

      Saludos cordiales

      0
  2. bazfile Mensajes publicados 58487 Fecha de registro   Estado Moderador Última intervención   20 266
     

    Hola @YouXI EstadoMiembro.

    Powershell a veces se usa para infecciones, especialmente para los Troyanos mineros de criptomonedas; para comprobar si la PC está infectada, haz lo siguiente.

    Descargar FRST.

    Una vez descargado, guarda FRST en el escritorio, luego haz clic con el botón derecho del ratón sobre FRST y elige Ejecutar como administrador, lo que mostrará esto:

    Espera a que aparezca el mensaje la herramienta está lista para funcionar, luego haz clic en Analizar.


    Para información:

    Si recibes una alerta de Microsoft Defender, no la tomes en cuenta, haz clic en Más información y luego en Ejecutar de todos modos, ver abajo.


    Atención, espera a que aparezcan los mensajes que indiquen que el análisis ha terminado.

    Al final del análisis, los dos informes FRST y Addition estarán en el escritorio.

    Enviar los informes FRST y ADDITION a https://pjjoint.malekal.com/ o https://www.catupload.com/.

    Luego adjunta los dos enlaces generados por https://pjjoint.malekal.com/ o https://www.catupload.com/ en tu respuesta.


    bazfile
    Moderador/Contribuidor de seguridad.
    un saludo, una respuesta, un gracias siempre son bienvenidos.

    1
    1. YouXI Mensajes publicados 5 Estado Miembro 1
       

      Hola, gracias por tu ayuda, hice lo que me dijiste, aquí están los 2 enlaces:

      https://pjjoint.malekal.com/files.php?id=FRST_20250903_k5p12g14j14f7

      https://pjjoint.malekal.com/files.php?id=20250903_d7p7z10k1214

      0
  3. Bruno83200_6929 Mensajes publicados 724 Fecha de registro   Estado Miembro Última intervención   170
     

    Hola,

    Acabo de inspeccionar sus dos informes.

    Personalmente, no veo nada sospechoso.

    En general, sus informes no muestran ninguna infección. Los únicos verdaderos puntos de atención son:

    Actualizar Bitdefender (o reinstalarlo).

    Limpie los restos de Avira.

    Verifique si necesita el servicio Brother no firmado.


    1
    1. YouXI Mensajes publicados 5 Estado Miembro 1
       

      De acuerdo, gracias Bruno por su rápida respuesta y sus consejos :) !

      Le deseo una agradable tarde

      Saludos cordiales

      1