Hardware y software

Guía para desinfección y detección de malware

Li3cht
Li3cht #571 Oct '21 Pitoniso

#568 Fan de Vega desde pequeñito.

Smacks
Smacks #572 Oct '21 Chocobo

#568 Te cito porque eres el primero en el que me he acordado. Se que no es el mejor sitio pero estoy un poco desesperado ya. Tengo un par de actualizaciones de Windows que me estan jodiendo la impresión por red en los equipos del trabajo. Como soy el unico que entiende algo tengo que estar arreglandolos casi todos los dias porque por mas que desactivo el windows update desde servicios, se activa solo cuando le da la gana y me mete estas dos actualizaciones. Una es la KB5006670 y la otra no recuerdo la numeracion pero creo que acaba en 55, cuando la veo se cual es.

Sinceramente estoy hasta las pelotas de tener que ir equipo por equipo desinstalando las actualizaciones que entran casi cada dia, y he probado varias cosas que he visto por internet y ninguna es permanente. No se si me puedes echar un cable, o cualquier otro usuario que me lea, os lo agradeceria muchisimo.

1 respuesta
Daidum
Daidum #573 Oct '21

#572 Tenemos clientes con el mismo problema. En nuestro caso parece que sucede solo con impresoras compartidas desde sistemas antiguos. No hemos tenido más pelotas que cambiar las impresoras en cuestión a otros equipos con Wndows10. No hemos encontrado un "workaround" por el momento.

No hay mal que por bien no venga. Con este tipo de cosas conseguimos que los clientes se deshagan de dinosaurios que tienen por ahí..

3 1 respuesta
Smacks
Smacks #574 Oct '21 Chocobo

#573 Muchas gracias por la respuesta. En este caso todas las maquinas tienen Windows 10, de hecho la maquina en la que esta la impresora es el mejor PC de la tienda, ya que fue un PC que me compré yo para jugar hace unos años, y cuando lo cambié se lo di a mi suegro para usarlo en el negocio. Creo que la unica solución posible seria parar de alguna forma esa actualizacion o cortar el Windows Update de raiz, cosa que he intentado por varios medios y no he podido hacer.

Como ultimo recurso podria probar a cambiarla de ordenador, pero me da la impresión de que va a ser para nada pues todos tienen el mismo sistema y las actualizaciones de las que hablo me estan jodiendo en todos los ordenadores cuando se activan.

1 respuesta
Daidum
Daidum #575 Oct '21

#574 https://www.bleepingcomputer.com/news/microsoft/new-windows-10-kb5006670-update-breaks-network-printing/

Más info.

2 1 respuesta
Smacks
Smacks #576 Oct '21 Chocobo

#575 Pues se ven un par de soluciones que en principio pueden hacer el apaño, como guardarte el dll antiguo, dejar que instale la actualización, y sobreescribir el nuevo. Probare con esto a ver que tal me va. Si pudiera te daba 100 manitas.

1 respuesta
Xlonicop
Xlonicop #577 Oct '21

#576 Podes intentarlo instalando un firewall, asi bloqueas todas las actualizaciones que haga el sistema automaticamente

3 meses después
Dusktilldawn
Dusktilldawn #578 Feb '22

Aprovecho este hilo para preguntar.
Me han traido un pen que probablemente este infectado, y no quiero meterlo en mi PC asi tal cual.
Como puedo abrirlo de manera segura y desinfectarlo sin que me contamine el PC?

2 1 respuesta
1 mes después
Strangelove
Strangelove #579 Mar '22

@AikonCWD he procedido primero con los análisis de malware y todo correcto, ocho entradas en cuarentena pero nada grave. He descargado y ejecutado zyogy686 y directamente se me ha quedado pillado, no lo consigo parar ni con Ctrl-Alt-Supr.

1 respuesta
AikonCWD
AikonCWD #580 Mar '22 Git Gud

#579 no conozco esa tool. pasa link

1 respuesta
Strangelove
Strangelove #581 Mar '22

#580 http://www.gmer.net/

He tenido que reiniciar para apagarlo, no me dejaba manualmente.

EDIT: Esto ha empezado esta tarde porque me ha metido un pantallazo azul mientras actualizaba archivos por steam, y cuando he intentado acceder al archivo ( WER-120276-0.sysdata.xml ) en una carpeta temporal de appdata, me encuentro que desaparece en mis narices. Ha sido al intentar abrirlo con el editor de XML, que me ha llevado al explorador de windows y al cerrarlo todo me ha desaparecido.

No sé si es normal o es que tengo un peaso virus del quince.

1 respuesta
Aidanciyo
Aidanciyo #582 Mar '22

#578 abrirlo con un live linux, sacar la info y formatear

AikonCWD
AikonCWD #583 Mar '22 Git Gud

#581 aaah coño, que ese es el nombre random que genera la web de gmer xd.

A ver, esa tool solo se debe usar para desinfectar un equipo que ya sabes que tiene un rootkit instalado. No es algo habitual que eso suceda así que normalmente no la utilizo. Por su naturaleza, intenta hookear todas las apis típicas de Windows y en muchas configuraciones eso puede provocar un BSOD, cuelgue del sistema, etc... reinici y punto.

Sobre lo que te ha pasado, lo que hay que hacer en tu caso es examinar ese BSOD, ver el código de error y diagnosticar un poco quien lo ha provocado. Que ese fichero se genere y luego se borre entra dentro de lo normal, no te asustes.

Seguramente se te ha generado un fichero *.dmp con la fecha y hora del pantallazo azul. Si lo encuentras, pásamelo y lo examinamos.

29 días después
jose678
jose678 #584 Abr '22

Interesante esto que me esta ocurriendo que no me había pasado antes (desde winXP) con un virus...

Pagina Warez Random... No recuerdo cual. Con su .rar de programa(Glassware monitorizacion de redes ultima vers.) +medicina.

Instalo programa, bien. Instalo medicina, todo bien. APARENTEMENTE.

Día 2: ¿Donde esta PowerShell? No existe.
¿Y Windows Defender? Nada por aqui...

Aun tengo CMD, taskbar y regedit... bueno esto es raro. A ver si puedo solucionar algo. PowerShell tengo la 7.0 asique sin problema.

Ejecuto sfc /scandisk. Sin resultado. Ejecuto dism /online /cleanup-image /restorehealth . Sin resultado.

Pruebo a reinstalar desde Powershell el antivirus. No se puede, falta el modulo de tal para la instalación...

En fin, lo he dejado aparcado un tiempo por que no tenia ganas de seguir intentándolo. Pero me preocupa la privacidad y en parte el ransomware...

He probado con detectores de rootkits, antivirus free y nada. Parece que tendré que formatear...

3 meses después
Hertzberg
Hertzberg #585 Ago '22

Hola, desde hace un tiempo mi computadora se calienta porque se usa el cpu y la gpu. Sospeché que tenía un malware y traté muchos tutoriales. Nada funcionaba. El tuyo es el único que hasta ahora pareció haber funcionado. Sin embargo los comportamientos raros volvieron así que estoy buscando en el rootkit y parece haber algo.
GMER 2.2.19882 - http://www.gmer.net
Rootkit scan 2022-08-10 09:57:24
Windows 6.2.9200 x64 \Device\Harddisk2\DR2 -> \Device\0000004b Samsung_SSD_980_PRO_2TB rev.4B2QGXA7 1863.02GB
Running: p1lxbqbn.exe; Driver: C:\Users\ELPUG1\AppData\Local\Temp\kxxdiaod.sys

---- Threads - GMER 2.2 ----

Thread C:\Windows\system32\csrss.exe [13320:18440] fffffa69712f20d0
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:312] 00007ffbbdbd1b70
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:8740] 00007ffbbf23b360
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:14304] 00007ffbbdbd1b70
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:9792] 00007ffbbdbd1b70
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:6364] 00007ffbbfbebe80
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:1968] 00007ffb8b4bada0
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:10456] 00007ffbbd61bf50
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:9148] 00007ffbb2c6e700
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:8752] 00007ffbbfbd53d0
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:18204] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:19744] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:18628] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:12760] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:14952] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:16372] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:8204] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:4736] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:12404] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:20164] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:6096] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:11676] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:13836] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:11484] 00007ffbb5bf4350
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:3364] 00007ffbbf23b360
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:15324] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:13080] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:5196] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:11552] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:9536] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:12732] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:6572] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:15876] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:13972] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:8728] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:2384] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:10816] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:5184] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:13948] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:17996] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x648wekyb3d8bbwe\HxOutlook.exe [2148:5676] 00007ffbadc99270
Thread C:\Program Files\WindowsApps\microsoft.windowscommunicationsapps_16005.14326.20970.0_x64__8wekyb3d8bbwe\HxOutlook.exe [2148:19192] 00007ffb8b35cf50

---- EOF - GMER 2.2 ----

Saludos, espero que puedas ayudarme

1 respuesta
Alien_crrpt
Alien_crrpt #586 Ago '22

#585 No será el antivirus?

6 meses después
GuaNaGe
GuaNaGe #587 Feb '23

Buenas,

Acabo de pasar esto:

RKill
Malwarebytes
AdwCleaner
HitmanPro

En ese orden. ¿Creéis que si hubiese algo en mi PC sería capaz de pasar desapercibido?

1 1 respuesta
Wakkox
Wakkox #588 Feb '23

La web del RegSeeker me la detecta el Malwarebytes como troyano :frowning2:

Xlonicop
Xlonicop #589 Feb '23

#587 Pues, esos programas no son tan eficientes, aunque yo te recomendaria utilizarlos de todas formas, pero infalibles no seran nunca, yo por mi parte intentaria esto al analizar al pc, para una seguridad mas plena, aunque nunca sera perfecta, si que te protegera bastante:

  • Antivirus, los mejores son avira, nod32 y kaspersky
  • Firewall
  • Malwarebytes
  • AdwCleaner
  • HitmanPro

Todos usados en el pc a prueba de errores, eso seria todo, por lo demas recomiendo antes de instalar algo utilizar la pagina virustotal para saber que tan seguro es el programa exe o el archivo exe instalado, saludos.

2
dynamic
dynamic #590 Feb '23

Yo antivirus lo veo obsoleto la verdad

1 respuesta
hda
hda #591 Feb '23 Agujeros negros ( ͡° ͜ʖ ͡°)

#590 XD

3
3 meses después
I
Irlanda #592 26 May

#568 Saludos, lamento ser molestia, soy nuevo por aqui, vengo recomendado, estoy teniendo ciertos problemas con mis cuentas siendo hackeadas, he seguido tu guia para intentar encontrar y eliminar las amenazas, los diversos programas han encontrado bichos y cosas raras que han ido eliminando, pero cuando he llegado al Gmer, me ha saltado la notificación de rootkit detectado...

Así que aqui estoy, pidiendote ayuda porque no se que hacer...

10 meses después
Zireael
Zireael #593 4d

Bueno, ya que ha vuelto Aikon por aquí aprovecho para decir que hace pocos días eché mano del hilo (de nuevo) y todo el aprendizaje que nos diste.

Gracias por todo el empeño y posts explicando cómo ejecutar en una VM y cómo (intentar) desgranar un malware.

4 1 respuesta
Alien_crrpt
Alien_crrpt #594 3d

#593 ¿Es que se había ido?

2 respuestas
guillauME
guillauME #595 3d

#594 Si llevaba más de un año sin entrar.

1 respuesta
AikonCWD
AikonCWD #596 3d Git Gud

#595 #594 Desde Abril de 2022!

2 1 respuesta
JuankdooM
JuankdooM #597 3d

#596 toca 'update' del hilo entonces!! Jajaja

Usuarios habituales

Tags