Guía para desinfección y detección de malware

asterix021

#599 ¿Cómo limpiarías un equipo de uso empresarial que tiene o ha tenido instalado alguna versión pirata de Autocad y/o Adobe Pro?

¿SSD nuevo e instalación limpia de Windows?

Gracias por tu tiempo y dedicación con la guía.

3 respuestas
Freeddie

#601 Para los programas de Adobe hay un limpiador especial por ahi rulando... Adobe Cleaner creo que se llamaba hace tiempo, no se si le habrán cambiado el nombre.

Popino

#601 Instalación limpia.

Alien_crrpt

#601 Tener cuidado que si instalas una versión oficial de autocad donde antes tenías un autocad pirata les llega la información y te cobran 7000 euros o te llevan de juicio.

#599 ¿ Que opinas de esto? Me lo he encontrado de casualidad.

Darkxenos

#599 Algún antivirus, gratuito o de pago que recomiendes?

1 respuesta
AikonCWD

#605 Actualmente y desde hace ya tiempo: Windows Defender que viene con el propio Win10 o Win11.

8 1 respuesta
wOlvERyN

#606 al hilo de lo que dices de windows defender, tengo malwareybtes pagado y cada dos por tres me dice que ha bloqueado un exploit y el WDefender ni se inmuta...

¿Son compatibles?

Creo que el WD se me desactiva solo o con ayuda de alguien externo que esté trolleandome el pc. No tengo ni idea de informática. Muchas gracias por adelantado.

3 meses después
ElGranMou

Hola chicos, me ha detectado este virus Bitdefender, intente borrarlo con varios programas que puso #1 y nada, al igual Bitdefender no me lo consigue borrar.

Algo que le pueda instalar y que consiga borrarlo?

1 respuesta
AikonCWD

#608 adwcleaner no te lo ha borrado? hummm.

Haz un scan con HijackThis, saca el logfile y compartelo por aquí o en pastebin.com

1 respuesta
ElGranMou

#609 Al final con el malwarebytes la versión trial lo borre, me costó lo suyo, gracias de igual manera por responder.

1
12 días después
Thingol

Algo le ha entrado al pc de sobremesa. Sospecho de un pendrive...
La cuestión es que ahora no tengo mucho margen de maniobra porque me peta el pc a los pocos minutos de encendido, no me deja iniciar más aplicaciones y el apagar/reiniciar se queda colgado y lo tengo que hacer a mano.
Pasar el RKill no ayuda. Logré instalar y pasar el malwarebytes y me detectó y borró un malware de publicidad (adware.elex.shrtcln) pero tras eso sigue igual.
No veo nada raro, o nada que entienda como raro, en el process explorer.

Alguna sugerencia?

2 respuestas
M

#611 Si el problema principal viene cuando te metes en Windows, yo tiraría de algún SO bootable y que revise el sistema entero.

Yo el que suelo utilizar es el Kaspersky Rescue Disk.

1 respuesta
AikonCWD

#611 cuando dices que te peta, a que te refieres? pantallazo azul?

1 respuesta
Thingol

#613 No. Empieza a hacer cosas raras.
Por ejemplo, no inicia aplicaciones que si las abro nada más arrancar sí que se abren. Hitmanpro, si espero a iniciarlo no empieza ni a analizar, si lo hago nada más arrancar el pc inicia el análisis pero se queda sin responder habiendo analizado 350.000/400.000 archivos (las dos veces que lo intenté)
Si abro algo y lo cierro, ya no puedo abrirlo más. La barra de navegación acaba sin funcionar. Etc, etc
Eso unido a no poder apagar/reiniciar con normalidad

#612 Tendré que empezar a mirar por ahí.

HoRuS

Hola buenos días, no se que he hecho con la contraseña de respaldo de authy pero no hay forma de sacarla, no la tengo apuntada tampoco en bitwarden, bastante raro todo pero bueno.

He reestablecido el authy mediante la opción que te da, lo he vuelto a instalar pero me sigue preguntando sobre la contraseña de respaldo que no se cual es, alguna forma de recuperarla o de resetearla? gracias.

Thingol

Al final he restaurado sistema. Ahí tengo el USB por si un día me da por investigar qué era...

16 días después
caN

Una preguntita, a ver si alguien me puede explicar la pestaña que dice 'Behavior' en VirusTotal. No sé cómo interpretarla. ¡Gracias!"

https://www.virustotal.com/gui/file/728f3db89dce3b3db87fe2d09f454046c223d77c696a1e7de394b2db057e0057/detection

1 respuesta
AikonCWD

#617 En esa pestaña se lanzan análisis dentro de diferentes sandboxes y te sacan un report. Básicamente son máquinas virtuales que ejecutan el fichero y te muestran un report de lo que le ha sucedido a la máquina. Así se puede saber si un fichero realiza acciones malignas pese a que ningún antivirus lo tenga en su base de datos. Analiza comportamientos en lugar de firmas estáticas o heuristicas.

Suelen ser de pago, al menos las que uso yo. Al parecer Virustotal te muestra un informe agregado de diferentes sandboxes.

1 respuesta
caN

#618 AikonCWD Muchas gracias. ¿Ese archivo debería preocuparme o es simplemente un .doc? La parte de 'MITRE ATT&CK' y 'Dropped files' me ha desconcertado, porque en una primera revisión no indicaba nada, y en la segunda aparecieron.

1 respuesta
Eiizos

@AikonCWD Una pregunta como curiosidad, Los Activadores, como el GenP de Adobe, suelen llevar mierda?

1 respuesta
AikonCWD

#619 Una vez se ha ejecutado el fichero dentro de una sandbox, esta ofrece un reporte de lo que le ha sucedido a la sandbox para que el analista de malware realice un informe. Mitre Att&ck es una matriz desarrollada por una ¿empresa? que pretende dibujar en una tabla todo lo que realiza el fichero, cada acción llevada a cabo por el malware se categoriza por tipología (columnas) y se situa a una altura de la tabla en base a la gravedad.

Este sería un ejemplo de una tabla Mitre Attack de algún malware random. Rápidamente un analista o personal de seguridad podrá identificar el impacto de dicho malware solo viendo las celdas iluminadas. Cada celda sería una acción típica que haría un malware, desde persistencia, movimiento lateral, encriptar ficheros, robar password, etc... dependiendo de que se ilumina en la tabla sabes lo que hace y ahí tienes el resumen.

Todo el mundo lo usa para presentar de forma fácil y rápido lo que hace el malware analizado y se ha convertido en un estandar de facto. En tu caso, el documento DOCX solo ha arrojado 3 infos en esa tabla, lo que significa que no hace nada malo. La parte de dropped files, si los miras en detalle, son los tipicos accesos directos que quedan en el sistema tras abrir el documento, alguna clave de registro modificada que sirve para listar los "archivos abiertos recientemente" y ese tipo de cosas.

En resumen, ese fichero que has subido no es malware. Es raro encontrar un word sin macros (como en tu caso) que llegue a ser maligno.

#620 Ni idea de esos activadores. Subelo a virustotal y revisamos el reporte a ver que sale.

3 2 respuestas
Eiizos

#621 Ok, gracias. A ver que sale...

Vireca

@AikonCWD estaba leyendo la primera pagina y por curiosidad, por saber si tuviera algo me ha dado por probar el RKill. Me dice que no tengo nada. Con esto es suficiente para comprobar si un equipo tuviera malware?

No lo he pasado porque crea que tenga algo metido en el pc, ha sido simplemente por curiosidad, pero por saber cual sería el metodo para "testear" si hubiera malware cuando no estas seguro

1 respuesta
caN

#621 Muchas gracias, AikonCWD. Me has dado una explicación estupenda. He pasado de sentir miedo o dudar del archivo a sentir una auténtica atracción por la materia. ¡Vaya mundo y qué bien explicado! Mil gracias, tío. 🤗

1
AikonCWD

#623 RKill podría funcionar para lo que comentas, pero realmente no sería la herramienta adecuada. RKill se utiliza para eliminar el "secuestro" que puedas tner mientras tienes un malware activado. Hay muchos virus que, una vez están dentro del sistema, bloquean el acceso al registro, al taskmanager o incluso te cierran el chrome/firefox para que no puedas googlear una solución. RKill en este caso se encargaría de finalizar esos procesos para permitirte a ti luego ejecutar tu antivirus o herramienta de desinfección.

Para el caso que comentas, en Windows 10 y 11, el propio antivirus de Windows es una excelente forma de chekear si todo está bien. Un examen completo sería el primer punto de partido que yo haría:

Lo siguiente que haría sería ejecutar AdwCleaner. Que en pocos segundos te detectará cualquier mierda que pudieras tener. Esas serían las 2 herramientas que utilizaría para lo que propones. Si usas el PC en ambientes hostiles (por ejemplo te pasas cada semana bajando torrents y juegos piratas de webs chungas), utilizaría esas 2 herramientas una vez por semana. Si no haces esas acciones, una vez cada 2 meses es suficiente.

1 1 respuesta
Vireca

#625 perfecto, muchas gracias!

Después del RKill pasé el AWDCleaner también y me detectó una cosa de Tencent que marcaba como malware. A saber que era, pero lo borré por si acaso

1 respuesta
AikonCWD

#626 seguramente cookies de seguimiento o alguna basurilla del estilo. No te preocupes por eso

1 respuesta
Vireca

#627 no ya, siendo Tencent probablemente sería de algun juego o algo

Realmente nunca entro en sitios raros ni descargo nada en el PC, pero quería aprender a mantener el PC limpio. Puedo decir orgullosamente que nunca he tenido un virus en mi PC xD

1 1 respuesta
1 mes después
Albertsson

#628 Eso es como no tener caries nunca, enhorabuena! 🤣

Ya que hablais de herramientas de desinfección uso windows defender + suscripcion a mcafee total protection pero me salta de vez en cuando un banner para hacer un upgrade del antivirus.

Ignoro eso pero vamos el pc lo tengo virgen, juegos solo de steam, battlenet o ubisoftconnect (es decir launchers oficiales) programas de fiar (al menos eso creo) y nada de descargar juegos o programas de dudosa procedencia.

A parte de eso tuve un par de filtraciones de contraseña que no llegaron a nada (que yo sepa) porque una de ellas fue en badoo y no lo uso desde hace 15 añoa por lo menos y la ultima que tuvo nexusmods que aun asi cambié password y ahi sigue funcionando.

Para el movil, tablet y portatil uso mcafee ya que tengo suscripción.

Ahora ¿pueden hacer que un virus sea tan persistente que infecte el ordenador aun formateandolo? ¿Algo relacionado con la bios?