#360 Pues mira que no he descargado nada raro, el antivirus y el antimawalrebytes no me detectan nada.
¿Alguna forma manual de comprobarlo?
#361 Saca el Administrador de tareas y haciendo clic derecho sobre la columna Nombre, dale a "Seleccionar columnas". Dentro busca abajo donde pone "Línea de Comandos". Ahora ordena los procesos por uso de CPU y mira a ver qué proceso es el que te consume tanto y desde que ruta lo está haciendo mirando la columna que acabas de sacar.
Si con el Administrador de tareas no lo ves porque te sigue bajando el consumo de CPU, prueba con el Process Explorer https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer
En Noviembres, ESET publicó una entrada con info del virus: https://blogs.protegerse.com/2018/11/27/usan-falsos-archivos-torrent-para-propagar-malware-entre-usuarios-espanoles/
Por si alguien se lo quiere leer, pero básicamente salen los procesos y rutas que ya mostré por aquí en Septiembre.
14 días después
AikonCWD buenas noches, me estoy tu ayuda. He estado leyendo este hilo tras haberme descargado dos (por falta de uno...) archivos con extensión .zip que al extraer contenían extensión .vbe. La descarga la he hecho en móvil Android y teniendo en cuenta la cantidad de datos, contraseñas, etc que en el acumulo, he entrado en pánico al ver lo que explicáis en este post. Cómo puedo eliminar el "virus" de mi móvil?? Qué datos han podido obtener?? Muchas gracias de antemano.
Después de tres horitas (a las que no sé si llamarlas duras por el mal rato o bonitas por el éxito final) peleándome con la vida para darle un respiro a mi CPU, porque me iba a echar fuego, aquí me hallo. Doy con este post tan maravilloso. Y aunque acumule menos 4 horas de sueño en los últimos dos días, creo que si desde septiembre hay aquí gente como @AikonCWD (entre otros) currándoselo y ayudando tanto a los demás es mi deber como ciudadano dedicar unos minutos todavía a registrarme únicamente para decirles: minero muerto, genial trabajo, muchas gracias y sigan así, muchachos.
Buenas noches
27 días después
Hace 2 o 3 semanas pille el virus en mejortorrent buscando una pelicula fui zarpadisimo y ale. El caso es que me di cuenta y lo quite.
Hoy me he enterado de que habia un hilo aqui sobre este tema.
Me ha dado por mirar, y exacto. Estan esas carpetas. Y el proceso Conhost. Me sigue apareciendo, no se si estara vinculado directamente al virus, o es del sistema y lo utiliza. Por mucho que lo suprimo sigue apareciendo. Y se supone que tenia el virus quitado ya. Los demas archivos Reggdit y demás no los encuentro.
20 días después
@AikonCWD muchas gracias por la ayuda, me ha venido genial para limpiar toda el virus. Es curioso porque yo no tenía ni el proceso puesto para ejecutarse al encender ni el registro metido 
quizás no llegó a infectarse del todo? Seguiré mirando estos días a ver si veo algo sospechoso. Y de nuevo, muchas gracias! También he disfrutado mirando lo que hacía el bicho, aunque puestos a escoger es mejor desde la distancia xD
Mira que soy cuidadoso y tengo el PC limpito, pero no desconfié de un ZIP. NEVER AGAIN
Siempre es bueno entrar en modo a prueba de fallos y correr cualquier anti-malware para hacer limpieza, así sea que no notes que no estas infectado, alguna sorpresa te puedes llevar...
10 días después
Hola,
Me he registrado en la wen solo por este hilo. He descargado un archivo .zip de mejortorrent pero solo he extraído los archivos, sin llegar a ejecutarlos porque al ver la extensión .vbe me pareció raro. ¿Está mi PC infectado solo con haber extraído el .zip pero sin abrir el .vbe? He buscado los procesos en el administrador de tareas pero nada, y al intentar ejecutar el shell: startup tampoco me ha encontrado nada.
Gracias de antemano por este hilo
Hola a todos, antes que nada muchas gracias a @AikonCWD por la ayuda tan desinteresada que nos ha dado y una consulta, hice todo el procedimiento y todo parece estar normal, las carpetas no se vuelven a crear y el systeminfo.exe ya no aparece en el administrador de tareas. Lo que me altera un poco es que otro de los procesos llamado conhost.exe sigue ahí, ¿habrá alguna posibilidad de que haya hecho algo mal o que siga infectado?
De todas formas gracias a todos C:
#374 Podría tratarse de algún otro minero, quizás alguna versión mejorada del troyano. Cuándo te infectaste? Lo hiciste en la web esta del torrent?
#375 Wow, eres rápido jaja. Fue ayer en la misma web, estaba tratando de descargar la trilogía del padrino y como en otras páginas los torrents se descargan en .zip pues no desconfié, y valió mierda
#376 Ok, voy a probar de nuevo el troyano a ver si lo han modificado... a veces ocurre que actualizan el dropper, haciendo que el mismo troyano descargue más malware o una versión actualizada del mismo.
#377 pffffff y yo que pensé que ya me había librado del maldito virus, igual muchísimas gracias por toda la ayuda y por tu respuesta tan rápida, igual creo que era una versión actualizada porque siempre que trataba de borrar la carpeta de programdata se volvía a crear unos segundos después, y lo mismo en regedit.exe
#378 Bueno, definitivamente, los de mejortorrent han actualizado el troyano/dropper, lo primero que veo diferente es que comprueba si el troyano se ejecuta en un PC real o en una Máquina Virtual, si detecta una VM entonces el troyano se cierra y no se ejecuta.
Es un método de "protección", así evitan que nadie pueda destripar el troyano y ver lo que hace.
Así que hasta que no lo pruebe en un PC real no podré saber si el troyano hace cosas diferentes, pero todo apunta a qué si 
#379 Y no se trata de algún proceso de windows? leí esta página y al parecer es "normal" siempre y cuando no esté usando mucha memoria y esté almacenado en system32, como es mi caso
https://www.lifewire.com/conhost-exe-4158039
#380 Es un proceso de windows, pero muy utilizado por malware para inyectar procesos en él y minar (por ejemplo).
- Descarga HijackThis
- Ejecuta como administrador, haciendo click derecho
- Pulsa el primer botón: Do a systemscan and save logfile
- Sube el contenido del log, completo a www.pastebin.com
- Pásame el link del pastebin para que pueda analizar el log
#382 Desinstala uTorrent y usa qBittorrent, uTorrent lleva spyware asqueroso y consume muchos recursos.
Por lo demás no veo nada raro ni alarmante, pero ya que estás, borra las entradas:
Simplemente las marcas y le das el botón Fix Checked. Por si la smosas descarga y analiza tu PC usando AdwCleaner
#383 Lo haré, entones no es nada? o no hay otra manera de saber? porque Adwcleaner no detecta amenazas
Ostia puta, me ha dado por mirarlo y también tengo svchost a punta pala, 17 para ser exactos. Me como una mierda y estoy infectado? xd
#383 https://pastebin.com/pr1iYyr7 le puedes echar un vistazo cuando puedas?
#385 svchost es un proceso normal de Windows, utilizado para arrancar servicios principalmente. Es normal tener muchos y no por ello estarás infectado.
#379 AICON CWD tienes noticias del nuevo Troyano Minador? Siguiendo los pasos que habías dado para la versión anterior no consigo deshacerme de él. En él Administrador de tareas no encuentro los procesos y en shell:startup no aparece nada. Sin embargo, en el regedit está dentro de CurrentVersion\RunOnce y no en CurrentVersion\Run#381 #379
#387 No le he dedicado tiempo, me da muchísima pereza ponerme a saltarme el vm-detection que le han metido
