Eliminando infección por Rootkit + Rogue
Hola a todos y un saludo. Hacia tiempo que no entraba, mil disculpas.
Les cuento desde le principio. Es mas bien como una anécdota y por si le sirve a alguien.
Estaba mi hermano viendo videos del Youtube y se interesó en uno de unos perros que le llamo la atención.
Al ingresar al video pasa algo raro, lo deja haciendo y en un momento empiezan a aparecer ventanas de descarga de archivos a la máquina. Me llama al
telefono asustado que algo pasa con el PC. Tengo su pc pinchado con el teamviewer y al intentar conectarme me deniega el acceso.
"Corta el router, no reinicies ni hagas nada, le dije". Aunque ya era tarde, ya habia descargado y ejecutado dos archivos.
Fui a su casa y la primera ventana que podía apreciarse, pues es como si hubiese raptado el proceso Explorer, solo dejaba acceder a una ventana típica de
antivirus falso "Rogue" y el resto del esfritorio se veía difuso (Nuna me habia topado con un bicho de estos).
Al abrir el administrador de procesos, veo que hay dos procesos nuevos que desconocía. Uno es
Mato los procesos y no se resisten, todo vuelve a la normalidad en el escritorio, cierro las ventanas abiertas y demas. Busco en el registro, borro todo lo
relacionado, y veo que el antivirus (Nod32 v4) esta operativo pero no ha podido neutralizar la infección. No se ha desactivado la autodefensa ni nada, pero
tanto Malwarebytes, Superantispyware y SpyBot S&D estan de vacaciones y no quieren ejecutarse. "Empieza el lio :)"
Les cuelgo alguna capturas de lo que pude:
Antispyware OFF;
Entradas del registro;
Aqui intentando actualizar Spybot, (no se para que pero bueno...)
El archivo de las actualizaciones estaba marcado como solo lectura (supongo el malware), entré a las opciones del archivo le desmarque la casilla y acepto las
actualizaciones, pero seguía sin ejecutarse. Intente ejecutar los modulos del Spybot desde la consola, se ejecutaba el proceso en el administrador de tareas
pero no me mostraba la interfaz.
Al hacer un escaneo con el Nod, este me detecta un troyano en la memoria operativa, aunque los procesos del Rogue no vuelven a aparecer.
Reinicio la PC en modo seguro y sorpresa, entra al menu pero no me deja desplazarme por el, para elegir "Modo a prueba de fallos". Vuelvo a reiniciar
y recuerdo que al entrar al "Msconfig" habia una opcion para que entrase en modo seguro. Ahora si logra entrar y en modo con red.
Ejecuto el antivirus desde la consola, empieza el escaneo y al llegar a un archivo comprimido con UPX del programa Alcoholo120% se queda clavado y no sigue.
No entiendo que carajo le ha hecho este bicho al pc, así que ejecuto "Dr. Web Cure It" y este me arroja el siguiente resultado:
Reinicio y entro en modo normal sin conexión a internet. EL antivirus sigue detectando infeccion por troyano en la memoria y otra infección desde una .dll con el
nombre: H8SrTovfuohojmb.dll. Intento buscar el archivo en la ubicacion que me alertaba el antivirus y no está (en System32).
