Kaspersky
Solved

Infección por troyano Troyan.Win32.Generic [MOVIDO]

  • 25 January 2020
  • 11 replies
  • 2700 views

Userlevel 1
  • Bronze Theorist
  • 5 replies

Hola! Es la primera vez que escribo a una comunidad de este tipo para solicitar ayuda por la existencia de un virus en mi ordenador: hace varios días que el antivirus me notifica el siguiente problema: “PDM: Trojan.Win32.Generic detectado”, pero que no es capaz de resolver (no procesa el archivo, ni lo elimina, ni hace nada)…

He visto en el foro un problema similar de otro usuario, también presuntamente provocado por descargas de películas, series, etc, en páginas que deben de contener estos virus masivamente, aunque la infección que comentaba era por otro tipo de troyano (“Infección por troyano trojan.multi.brosubsc.gen”). Y como he visto que el tipo de información que le pedíais, aquí la envío, para ver si me podéis ayudar:

Versión sistema operativo: Microsoft Windows 10 versión 1809

Versión antivirus: Kaspersky antivirus 2019  19.0.0.1088

Y aquí os adjunto el enlace al archivo GSI que también solicitábais:
https://www.upload.ee/files/11031455/GSI6_DESKTOP-C9K2IL2_Usuario_01_25_2020_18_37_06.zip.html

Agradecería información sobre cómo podría eliminar este virus.

 

Gracias de antemano y un saludo,

Sue.

 

//Mod Note: movido a la sección correcta.

icon

Best answer by harlan4096 29 January 2020, 20:36

View original

11 replies

Userlevel 7
Badge +8

Bienvenid@ a la comunidad de Kaspersky.

 

Enlace a tu informe GSI

 

Por favor sube captura de pantalla con la detección completa que te envía tu Kaspersky, para saber qué archivo es y dónde está localizada.

 

En tu GSI no he visto nada sospechoso EXCEPTO este: Web Companion, para algunas casas de antivirus es considerado PUP/PUA/Adware, y puede ralentizar el sistema así como generar publicidad en navegadores, así que búscalo en tu Windows en el  Panel de Control → Programas y Características, y lo desinstalas.

 

Adicionalmente vamos a correr una utilidad para ver si hay algo más en su sistema:

 

Descarga AdwCleaner (By Xplode/Malwarebytes): https://toolslib.net/downloads/finish/1/

 

1.- Cierra todos los navegadores y programas, pulsa en Analizar ahora, cuando termine (NO pulses en Limpiar y Reparar aún), pulsa en Cancelar.

 

2.- Nos vamos a Informes, y aquí tendremos el registro del informe generado en un archivo .txt, si hacemos doble click sobre él, veremos las detecciones.

 

3.- Copia el contenido de dicho informe, y en tu próximo mensaje, pega el contenido dentro del marco generado previamente al pulsar el botón [ ,, ] (Quote o Citar) de la barra horizontal de herramientas en el cuerpo de edición del mensaje.

 

Saludos.

Userlevel 1

Bienvenid@ a la comunidad de Kaspersky.

 

Enlace a tu informe GSI

 

Por favor sube captura de pantalla con la detección completa que te envía tu Kaspersky, para saber qué archivo es y dónde está localizada.

Abajo adjunto capturas de pantalla (notificación  e informe detallado objetos detectados).

 

En tu GSI no he visto nada sospechoso EXCEPTO este: Web Companion, para algunas casas de antivirus es considerado PUP/PUA/Adware, y puede ralentizar el sistema así como generar publicidad en navegadores, así que búscalo en tu Windows en el  Panel de Control → Programas y Características, y lo desinstalas.

 

Adicionalmente vamos a correr una utilidad para ver si hay algo más en su sistema:

 

Descarga AdwCleaner (By Xplode/Malwarebytes): https://toolslib.net/downloads/finish/1/

 

1.- Cierra todos los navegadores y programas, pulsa en Analizar ahora, cuando termine (NO pulses en Limpiar y Reparar aún), pulsa en Cancelar.

 

2.- Nos vamos a Informes, y aquí tendremos el registro del informe generado en un archivo .txt, si hacemos doble click sobre él, veremos las detecciones.

 

3.- Copia el contenido de dicho informe, y en tu próximo mensaje, pega el contenido dentro del marco generado previamente al pulsar el botón [ ,, ] (Quote o Citar) de la barra horizontal de herramientas en el cuerpo de edición del mensaje.

 

Y aquí adjunto el contenido del txt generado con AdwCleaner:

 

# -------------------------------
# Malwarebytes AdwCleaner 8.0.1.0
# -------------------------------
# Build:    12-17-2019
# Database: 2020-01-24.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    01-26-2020
# Duration: 00:00:23
# OS:       Windows 10 Home
# Scanned:  34795
# Detected: 27


***** [ Services ] *****

PUP.Optional.Legacy             WCAssistantService

***** [ Folders ] *****

PUP.Optional.MYPCTuneUp         C:\ProgramData\NERO\NERO TUNEITUP
PUP.Optional.WebCompanion       C:\Program Files (x86)\Lavasoft\Web Companion
PUP.Optional.WebCompanion       C:\ProgramData\Application Data\Lavasoft\Web Companion
PUP.Optional.WebCompanion       C:\ProgramData\Lavasoft\Web Companion
PUP.Optional.WebCompanion       C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion
PUP.Optional.WebCompanion       C:\Users\Usuario\AppData\Local\Lavasoft\WEBCOMPANION.EXE_URL_MRPQ523XMEO0CM2M0N5VJ25Z3NZKGEP4
PUP.Optional.WebCompanion       C:\Users\Usuario\AppData\Local\Lavasoft\WEBCOMPANION.EXE_URL_SIQ0LWF3TZGXP2KHFKLLYBK3IDTBEHNG
PUP.Optional.WebCompanion       C:\Users\Usuario\AppData\Roaming\Lavasoft\Web Companion

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Adware.Heuristic            HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{e8f9a35e-0ac4-46af-9d50-a4ea5d66329b}|DisplayIcon
PUP.Adware.Heuristic            HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{e8f9a35e-0ac4-46af-9d50-a4ea5d66329b}|DisplayName
PUP.Adware.Heuristic            HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{e8f9a35e-0ac4-46af-9d50-a4ea5d66329b}|UninstallString
PUP.Optional.Conduit            HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
PUP.Optional.Legacy             HKCU\Software\Microsoft\Windows\CurrentVersion\Run|Web Companion
PUP.Optional.Legacy             HKLM\Software\Wow6432Node\\Classes\CLSID\{8BF0126F-A5B7-4720-ABB2-2414A0AF5474}
PUP.Optional.MYPCTuneUp         HKLM\Software\Wow6432Node\NERO\nero_tuneitup
PUP.Optional.SofTonicAssistant  HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\softonic.com
PUP.Optional.SofTonicAssistant  HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\DOMStorage\soulseek.softonic.com
PUP.Optional.SofTonicAssistant  HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\softonic.com
PUP.Optional.SofTonicAssistant  HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\CurrentVersion\AppContainer\Storage\microsoft.microsoftedge_8wekyb3d8bbwe\Children\001\Internet Explorer\EdpDomStorage\soulseek.softonic.com
PUP.Optional.WebCompanion       HKCU\Software\Lavasoft\Web Companion
PUP.Optional.WebCompanion       HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
PUP.Optional.WebCompanion       HKLM\Software\Wow6432Node\Lavasoft\Web Companion
PUP.Optional.WebCompanion       HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com
PUP.Optional.WebCompanion       HKU\.DEFAULT\Software\Mozilla\NativeMessagingHosts\com.webcompanion.native
PUP.Optional.WebCompanion       HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\webcompanion.com

***** [ Chromium (and derivatives) ] *****

PUP.Optional.DefaultSearch.ShrtCln Adaware Secure Search

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Preinstalled Software ] *****

No Preinstalled Software found.

 

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########

 

 

Userlevel 7
Badge +8

Ok, como imaginaba el Web Companion lo deberías desinstalar… o bien correr de nuevo AdwCleaner y esta vez eliminar/limpiar todas las detecciones…

 

Hay otra cosa que veo en la 2ª captura de pantalla que has adjuntado… veo que estás bajando películas de alguna página de Torrents… sé por experiencia que muchas de éstas páginas están infectadas, es decir, cuando pinchas en un enlace para bajar una película, te han hacen bajar un script .vbs que obviamente está infectado, y cada vez que lo haces Kaspersky te detecta dicho script.

 

Así que lo 1º que debes hacer es dejar de bajar Torrent de esa página, pues sus enlaces de descargas están infectadas (archivos comprimidos con un archivo .vbs en su interior), lo 2º ve a la carpeta Descargas de Windows y borra todos los .vbs que tengas descargados.

 

Hay otras detecciones en la 2ª captura de pantalla que pertenecen a detecciones en páginas Web, en estos casos como los archivos maliciosos están en el servidor, Kaspersky simplemente bloquea el acceso y deniega la descarga.

 

Saludos.

Userlevel 1

Buenas de nuevo,

Antetodo darte las gracias por los consejos: por descontado no volveré a entrar en esas páginas para descargar torrents!

Respecto al Adwcleaner, volví a pasarlo y eliminó los archivos que estaban en cuarentena, o sea que  lo de Web Companion ya está solucionado.

Respecto a lo de borrar los .vbs en la carpeta de descargas, decirte que la he revisado y no encuentro en esa carpeta ningún archivo de ese tipo. En cambio, he seguido la ruta en la cual el antivirus me notificaba que había un problema (1a. captura de pantalla que mandé) y encontré 2 archivos .vbs creados por la descarga de películas, pero no pude borrarlos (te vuelvo a adjuntar nueva captura de pantalla)… tengo que borrarlos desde otro sitio o eliminarlos de otra manera??

Posteriormente borré el historial del navegador y ejecuté la limpieza de rastros privados de Kaspersky, por si acaso… aunque no sé si en este caso me ha servido de algo.

A continuación hice análisis completo nuevamente con KaspK. y aunque el informe me dice que ya no se detectan amenazas, sigue saliendo la notificación de que hay un problema por la existencia del dichoso troyano en el mismo archivo (1a. captura de pantalla)… ¿qué más puedo hacer??

Gracias por todo,

Userlevel 7
Badge +8

En tu última captura, puedes indicar exactamente en qué carpeta está ese .vbs

 

...\AppData\Roaming\Microsoft\… → a ver si podemos saber la ruta completa

 

Saludos.

Userlevel 1

Hola! pues he estado buscando en todas las carpetas de esa ruta (AppData\Roaming\Microsoft\...) y para mi sorpresa todas las carpetas están vacías…

Hace un momento he vuelto a realizar análisis completo con Kspk y me vuelve a decir que no hay amenazas, aunque en la pantalla de notificaciones sigue saliendo el mismo mensaje del troyano… esta vez he hecho la captura poniendo el puntero del ratón encima para que se lea la ruta completa (ver “Notificación”)… pero no soy capaz de encontrar esa ruta en las carpetas (me quedo en la carpeta “Temp”→ adjunto captura de carpetas). ¿A qué es debido?.

Un saludo y gracias.

Userlevel 7
Badge +8

Seguramente tendrás que activar la visualización de archivos del sistemas y ocultos, para hacer eso debes cambiar las Opciones de Carpeta en tu Windows:

 

 

 

Imagino que en la notificación que te sigue apareciendo en el Centro de Notificaciones de tu Kaspersky, has probado a pulsar en Resolver

 

Saludos.

Userlevel 1

Hola,

ya tenía marcada la opción de mostrar los archivos, carpetas y unidades ocultos. Aunque no tenía desmarcada la de ocultar archivos protegidos del sistema operativo. Ahora que la he desmarcado, la diferencia es que en la carpeta que me dice que debería estar el susodicho archivo se muestran un par de archivos más, pero ninguno es .vbs. Te adjunto captura para que lo compruebes…

Por descontado que apretar el botón de “Resolver” es lo primero que hice, pero no hace nada (se queda pensando unos segundos y vuelve a aparecer el símbolo de la exclamación en rojoy con el mismo mensaje: PDM:Trojan.Win32.Generic detectado.

Ante esta situación y viendo que en los 2 últimos análisis completos que ha hecho KaspK me dice que no se han detectado amenazas, estoy pensado en apretar alguna de las otras opciones del botón desplegable:  o “Agregar a las exclusiones” o “Ignorar”… ¿me recomiendas alguna de ellas?

Gracias.

Userlevel 7
Badge +8

Sí, dale a Ignorar y comprueba durante un tiempo que ya no te aparecen más detecciones, casi seguro que el malware ya no está ahí, pero sigue intentando eliminar algo que ya no está…

 

Saludos.

Userlevel 1

Buenas!

Así lo he hecho y de momento todo ok y espero que siga así!:thumbsup_tone2:

Muchas gracias por la ayuda.

Muy útiles los consejos que dais en esta comunidad!

 

Saludos y hasta otra.

Userlevel 7
Badge +8

De nada, saludos :)

Reply