Virus bitcoinminer??

si no tienes el malwarebytes prueba con eso,a mi tambien me salto eso y tanto el norton como el malwarebytes saltaron a la vez pero a mi no me entro por que, solo me salto esa una vez

YuOminaeSSJ19 escribió:si no tienes el malwarebytes prueba con eso,a mi tambien me salto eso y tanto el norton como el malwarebytes saltaron a la vez pero a mi no me entro por que, solo me salto esa una vez

ok, voy a ello. Me está costando bastante pq el pc está va bastante lento.

No ha servido. Ha encontrado al atube catcher, y otro progrma que ya tenía. La cosa sigue igual, el norton no para de sacar el cartel.

el malwarebytes no te detecta nada ? esta actualizado ? esto tambien pasa cuando no tienes el navegador puesto ?
si usas firefox pilla la extension no coin y tambien se dice que el no script esta muy bien

Os recomiendo mirar este hilo sobre que hacer con los coinminer: hilo_bloquear-scripts-mineros-web-hay-alguna-extension-scripts-secuestradores-de-cpu_2259640

YuOminaeSSJ19 escribió:el malwarebytes no te detecta nada ? esta actualizado ? esto tambien pasa cuando no tienes el navegador puesto ?
si usas firefox pilla la extension no coin y tambien se dice que el no script esta muy bien

Sí detecta, pero parece que no es ese.
Sí, actualizado.
Sí, el navegador no está abierto y salta el cartel continuamente. Solo se corta cuando desconecto el cable de internet.

En el hilo hablan de instalar cosas para el navegador. Lo voy a hacer pero me salta continuamente si tener el navegador abierto. No creo que sea ese el problema.

El norton sigue bloqueando cada 2 segundos un ataque. Lo que pasa es que no sé si estoy infectado o no. Supongo que sí porque el norton no deja de trabajar.

prueba con Dr Web Cure It

Hoshi Masters escribió:prueba con Dr Web Cure It

Ok. Mañana porngo resultados.

Por si sirve de algo, el norton dice esto en cada bloqueo:

- Se bloqueó un intento de intrusión de fee.xmrig.com.
- Se bloqueó un intento de intrusión de 87.106.16.115
- Se bloqueó un intento de intrusión de 82.223.37.94.

Pero es de forma continua, cada 2 segundos. Hay una lista de las frases de arriba ya casi infinita debido a que bloquea cada 2 segundos.

¿Y si restauro a una versión anterior?? Servirá??

BrAddOk escribió:Hola buenas,

Ayer me comenzó a saltar la alerta del Norton: Norton bloqueó un ataque de: System infected: Bitcoinminer Activity 6.
En los detalles indica: el tráfico de 87.106.16.115 coincide con la firma de un ataque conocido. El ataque se originó de \DEVICE\HARDDISCKVOLUME2\WONDOWS\SYSWOW64\SYSTEMINFO.EXE.

He probado a pasarle un malware como el unhackme, pero sigue igual. Tengo otro instalado, pero no quiero darle porque me ha encontrado como troyano los cracks de otros programas (los cuales llevo años y no son virus). Ahora mismo le estoy pasando el Norton en análisis completo.

El tema es que no sé si lo tengo o no porque el Norton está continuamente bloqueándolo. O sea, me sale cada 2 segundos el mismo cartel que está escrito arriba. Si lo desconecto de internet, cesa. Si lo conecto, vuelve el Norton a bloquear continuamente este Bitcoinminer Activity 6.

He buscado en el registro HKEY-CURERNT USER\SOFWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN btc= appdata\btc.exe, pero no aparece este. Solo están el de xperia, mailbird, dropbox y otro que pone (predeterminado) (valor no establecido).

¿qué puedo hacer?

Yo desde que no uso cracks no me infecto con nada, navegador con bloqueador de script y cuenta de usuario sin privilegios no hace falta antivirus.


La solución es borrar los temporales... mas info aquí

Brutico escribió:

BrAddOk escribió:Hola buenas,

Ayer me comenzó a saltar la alerta del Norton: Norton bloqueó un ataque de: System infected: Bitcoinminer Activity 6.
En los detalles indica: el tráfico de 87.106.16.115 coincide con la firma de un ataque conocido. El ataque se originó de \DEVICE\HARDDISCKVOLUME2\WONDOWS\SYSWOW64\SYSTEMINFO.EXE.

He probado a pasarle un malware como el unhackme, pero sigue igual. Tengo otro instalado, pero no quiero darle porque me ha encontrado como troyano los cracks de otros programas (los cuales llevo años y no son virus). Ahora mismo le estoy pasando el Norton en análisis completo.

El tema es que no sé si lo tengo o no porque el Norton está continuamente bloqueándolo. O sea, me sale cada 2 segundos el mismo cartel que está escrito arriba. Si lo desconecto de internet, cesa. Si lo conecto, vuelve el Norton a bloquear continuamente este Bitcoinminer Activity 6.

He buscado en el registro HKEY-CURERNT USER\SOFWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN btc= appdata\btc.exe, pero no aparece este. Solo están el de xperia, mailbird, dropbox y otro que pone (predeterminado) (valor no establecido).

¿qué puedo hacer?

Yo desde que no uso cracks no me infecto con nada, navegador con bloqueador de script y cuenta de usuario sin privilegios no hace falta antivirus.


La solución es borrar los temporales... mas info aquí

Me infecté al entrar en mejortorrent para bajar una peli.

La solución es esta?:

apparently the bitcoinminer was exploding the powershell behind the ShadowCopy tasks I have programed, my solution was delete all the these tasks; start the server in Safe Mode, Eliminate all the "temp" folders and recreate again because some variants of the virus tried to start from there. now I have two days with not problem at all.

Qué son los temporales? Los archivos del navegador? "start the server in Safe Mode, Eliminate all the "temp" folders and recreate again" y recrearlo otra vez? Qué significa eso?

@BrAddOk Usa un bloqueador de script y tendrás que familiarizarte con los script (a principio cuesta)

Presiona la tecla de Windows + I para abrir el menú de configuración. Selecciona Sistema y luego Almacenamiento. Ahí elige tu disco y espera que Windows cargue todas las secciones y te muestre como está distribuido el espacio en esa unidad.

En https://notmining.org se puede comprobar si una web tiene regalo; también existen add-ons para distintos navegadores.

Brutico escribió:@BrAddOk Usa un bloqueador de script y tendrás que familiarizarte con los script (a principio cuesta)

Presiona la tecla de Windows + I para abrir el menú de configuración. Selecciona Sistema y luego Almacenamiento. Ahí elige tu disco y espera que Windows cargue todas las secciones y te muestre como está distribuido el espacio en esa unidad.

He borrado la carpeta de archivos temporales en modo seguro y al iniciar en modo normal, sigue exactamente igual. Ahora sí que no sé qué hacer.

En la solución decía antes de entrar en modo seguro, eliminar tareas, pero no sé a qué tareas se refiere.

Esto: El ataque se originó de \DEVICE\HARDDISCKVOLUME2\WONDOWS\SYSWOW64\SYSTEMINFO.EXE. , no da ninguna pista??

POr otro lado, el chico dice: meanwhile I am preparing an alternative server to migrate everything so that is my last option due the pain in the ass if I forgot to migrate something or if in the process something goes wrong.

¿Qué significa que está pensando en preparar un servidor alternativo para migrar??

Newton escribió:En https://notmining.org se puede comprobar si una web tiene regalo; también existen add-ons para distintos navegadores.

Parece que esa web no está infectada.




He encontrado esto: https://foro.elchapuzasinformatico.com/ ... o-cpu.html

He mirado en los programas que arrancan con win 8, pero ni idea de cual eliminar. Desde modo seguro, no puedo eliminar el systeminfo.exe. Cómo lo borro?? Es un archivo infectado??

Jolines, desde luego, que barato vendéis la estabilidad y la salud del ordenador instalando cracks y otros programas de desconocida procedencia. Yo es que me quedo perpleja. De hecho desde ya hace tiempo ya había ciertos personajes comprimiendo ejecutables con los UPX y subiéndolos a virustotal para conseguir que fueran indetectables, ahora ya ni te cuento. Nadie rompe la seguridad de un programa tan grande como un juego por amor al arte. Si queréis un juego actual pagad por el porque de lo contrario pasan estas cosas o cosas peores convirtiendo vuestros ordenadores en zombis, sobretodo a día de hoy en que los antivirus no valen para nada desde la masificación de la surf de internet. Al creador del hilo le recomendaría que formatease el ordenador, reinstalase todo ( sin cracks) y ponerse estas cosillas en el navegador como HTTPS Everywhere, NoScript, uBlock Origin y asi en ese sentido. Cualquier antivirus te valdrá a mayores, yo te recomendaría el kaspersky free. y esperate que eso que tienes metido aparte de acelerar el procesador es capaz de crear una puerta trasera para hacer y deshacer a su antojo. Déjate de antivirus y soluciones mágicas y haz una copia de lo que mas te importe y formatea el ordenador, luego reinstala todo (sin cracks ni ejecutables raros).

oscx7 escribió:Jolines, desde luego, que barato vendéis la estabilidad y la salud del ordenador instalando cracks y otros programas de desconocida procedencia. Yo es que me quedo perpleja. De hecho desde ya hace tiempo ya había ciertos personajes comprimiendo ejecutables con los UPX y subiéndolos a virustotal para conseguir que fueran indetectables, ahora ya ni te cuento. Nadie rompe la seguridad de un programa tan grande como un juego por amor al arte. Si queréis un juego actual pagad por el porque de lo contrario pasan estas cosas o cosas peores convirtiendo vuestros ordenadores en zombis, sobretodo a día de hoy en que los antivirus no valen para nada desde la masificación de la surf de internet. Al creador del hilo le recomendaría que formatease el ordenador, reinstalase todo ( sin cracks) y ponerse estas cosillas en el navegador como HTTPS Everywhere, NoScript, uBlock Origin y asi en ese sentido. Cualquier antivirus te valdrá a mayores, yo te recomendaría el kaspersky free. y esperate que eso que tienes metido aparte de acelerar el procesador es capaz de crear una puerta trasera para hacer y deshacer a su antojo. Déjate de antivirus y soluciones mágicas y haz una copia de lo que mas te importe y formatea el ordenador, luego reinstala todo (sin cracks ni ejecutables raros).

+1000 yo no sufro de cosas como esas porque normalmente es el usurio el que hace q se infecte

Brutico escribió:1000 yo no sufro de cosas como esas porque normalmente es el usurio el que hace q se infecte

Si, de hecho por lo que estoy viendo este troyano lleva scripts que lo conectan a un servidor remoto que controla el troyano y la puerta que abre, ademas infecta utilizado el exploit de wannaCry, el famoso eternal blue (el cual fue escrito por la NSA), y concretandolo utiliza el doublePulsar como plugin, el eternalBlue como exploit y el fuzzbunch como framework ( escrito también por la NSA)

Al creador del hilo:
Lo primero y ante todo antes de nada es quitarle el control del ordenador al troyano desactivando el WMI de windows



Luego formatea el ordenador y reinstala todo porque eso que tienes instalado sirve para mas cosas aun peores

oscx7 escribió:Jolines, desde luego, que barato vendéis la estabilidad y la salud del ordenador instalando cracks y otros programas de desconocida procedencia. Yo es que me quedo perpleja. De hecho desde ya hace tiempo ya había ciertos personajes comprimiendo ejecutables con los UPX y subiéndolos a virustotal para conseguir que fueran indetectables, ahora ya ni te cuento. Nadie rompe la seguridad de un programa tan grande como un juego por amor al arte. Si queréis un juego actual pagad por el porque de lo contrario pasan estas cosas o cosas peores convirtiendo vuestros ordenadores en zombis, sobretodo a día de hoy en que los antivirus no valen para nada desde la masificación de la surf de internet. Al creador del hilo le recomendaría que formatease el ordenador, reinstalase todo ( sin cracks) y ponerse estas cosillas en el navegador como HTTPS Everywhere, NoScript, uBlock Origin y asi en ese sentido. Cualquier antivirus te valdrá a mayores, yo te recomendaría el kaspersky free. y esperate que eso que tienes metido aparte de acelerar el procesador es capaz de crear una puerta trasera para hacer y deshacer a su antojo. Déjate de antivirus y soluciones mágicas y haz una copia de lo que mas te importe y formatea el ordenador, luego reinstala todo (sin cracks ni ejecutables raros).

Si con lo de cracks y juegos piratas te refieres a mi, totalmente equivocada. NO tengo ni me bajo ningún juego pirata. A los precios a los que está en steam va de sobra. De hecho, no juego en pc, sino en consolas. Para instalar photoshop, indesign y programas de ese estilo que uso a nivel personal, no para ganar dinero, sí tengo instalado cracks. COMO LA MAYORÍA. O ahora todos compráis windows, programas adobe, office, winrar, etc, etc.??? y nunca he tenido problemas con ellos.

No sé a qué viene todo este ataque de los cracks y demás cuando el problema me vino de entrar en mejortorrent, nada de instalar programas, (que por cierto, primero veo online o por descarga películas o series y si la stermino de ver, posteriormente me compro las que me merecen la pena).

Dejando todo esto a un lado, ayer ya empecé a pasar las cosas al disco duro para formatear. Si voy a formatear, ¿para qué voy a quitarle el control del ordenador al troyano? ¿Una vez formateado, sigue funcionando?

BrAddOk escribió:Si con lo de cracks y juegos piratas te refieres a mi, totalmente equivocada. NO tengo ni me bajo ningún juego pirata. A los precios a los que está en steam va de sobra. De hecho, no juego en pc, sino en consolas. Para instalar photoshop, indesign y programas de ese estilo que uso a nivel personal, no para ganar dinero, sí tengo instalado cracks. COMO LA MAYORÍA. O ahora todos compráis windows, programas adobe, office, winrar, etc, etc.??? y nunca he tenido problemas con ellos.

Entonces el de los cracks de los juegos no eras tu?, entonces el de los cracks de los juegos era en otro hilo, no obstante no instales cracks de otros programa. Por otra parte que no tengas problemas con ellos no quiere decir que sean programas inofensivos, y si ya me conozco eso de los falsos positivos. Si no quieres pagar por los programas puedes utilizar programas similares como 7zip en lugar de Winrar y cosas asi

BrAddOk escribió:el problema me vino de entrar en mejortorrent, nada de instalar programas, (que por cierto, primero veo online o por descarga películas o series y si la stermino de ver, posteriormente me compro las que me merecen la pena).

Si, ya lo se. De ese troyano no te infectas con un ejecutable o con una dll, es una serie de scripts

BrAddOk escribió:Dejando todo esto a un lado, ayer ya empecé a pasar las cosas al disco duro para formatear. Si voy a formatear, ¿para qué voy a quitarle el control del ordenador al troyano? ¿Una vez formateado, sigue funcionando?

Para que el troyano pare de una vez, ahora mismo el ordenador esta haciendo cosas que tu no sabes porque ese troyano instala una puerta trasera para que una persona ajena a ti tenga control total de tu ordenador y con eso poder realizar ataques a otros sistemas (o cosas peores), y esto es lo mismo que si lo estuvieses tu haciéndolo.

haz una cosa, bajate este proigrama y analiza el ordenador con el, proque creo que el troyano ya esta bajando ciertos programitas.

También después de desactivar el WMI desconecta el ordenador por completo de internet, que no tenga acceso de ninguna de las maneras, despues de eso formatealo

BrAddOk escribió:Si con lo de cracks y juegos piratas te refieres a mi, totalmente equivocada. NO tengo ni me bajo ningún juego pirata. A los precios a los que está en steam va de sobra. De hecho, no juego en pc, sino en consolas. Para instalar photoshop, indesign y programas de ese estilo que uso a nivel personal, no para ganar dinero, sí tengo instalado cracks. COMO LA MAYORÍA. O ahora todos compráis windows, programas adobe, office, winrar, etc, etc.??? y nunca he tenido problemas con ellos.

Te pongo unas alternativas que no es necesario utilizar cracks. Funcionan en Windows y te evitarás problemas:

Photoshop = Gimp
InDesign = Scribus
MS Office = Open Office / Libre Office
WinRAR = 7-zip

Puede que al principio se te haga raro si es que estas muy acostumbrado a los productos que dices; pero conozco a más de un usuario que ha sido capaz de cambiar de programas y tan contento

A día de hoy con todas las alternativas de calidad que existen no entiendo cómo los usuarios aún prefieren utilizar utilizar cracks.

BrAddOk escribió:
Si con lo de cracks y juegos piratas te refieres a mi, totalmente equivocada. NO tengo ni me bajo ningún juego pirata. A los precios a los que está en steam va de sobra. De hecho, no juego en pc, sino en consolas. Para instalar photoshop, indesign y programas de ese estilo que uso a nivel personal, no para ganar dinero, sí tengo instalado cracks. COMO LA MAYORÍA. O ahora todos compráis windows, programas adobe, office, winrar, etc, etc.??? y nunca he tenido problemas con ellos.

No sé a qué viene todo este ataque de los cracks y demás cuando el problema me vino de entrar en mejortorrent, nada de instalar programas, (que por cierto, primero veo online o por descarga películas o series y si la stermino de ver, posteriormente me compro las que me merecen la pena).

Dejando todo esto a un lado, ayer ya empecé a pasar las cosas al disco duro para formatear. Si voy a formatear, ¿para qué voy a quitarle el control del ordenador al troyano? ¿Una vez formateado, sigue funcionando?

Yo tengo todo lo que nombras original... menos winrar que uso otros..

La suite adobe cloud


El compresor...


El office 365 VIP y el Enterprise


Y así casi todo el software que uso en windows... yo diría que tengo todo menos firefox y el obs que son open source.... todo lo demás lo he pagado... nero, powerdvd, filmora, vsdc, etc...

@BrAddOk Habiendo soluciones gratuitas no veo porque tengo que bajarme nada, además de vez en cuando dan claves para las versiones viejas de los programas que te pueden hacer el apaño

oscx7 escribió:
haz una cosa, bajate este proigrama y analiza el ordenador con el, proque creo que el troyano ya esta bajando ciertos programitas.

También después de desactivar el WMI desconecta el ordenador por completo de internet, que no tenga acceso de ninguna de las maneras, despues de eso formatealo

Es programa ya lo instalé, junto con otros, y no solucionaron el problema. Lo que voy a hacer es desconectar el cable de internet, pasar los archivos necesarios a un disco duro y formatear.

Plage escribió:@BrAddOk Habiendo soluciones gratuitas no veo porque tengo que bajarme nada, además de vez en cuando dan claves para las versiones viejas de los programas que te pueden hacer el apaño

Sinceramente, encantado. Instalar cosas con cracks, es un dolor de cabeza. No sabía que regalaban claves.

Brutico escribió:
Yo tengo todo lo que nombras original... menos winrar que uso otros..

La suite adobe cloud

El compresor...

El office 365 VIP y el Enterprise

]

Y así casi todo el software que uso en windows... yo diría que tengo todo menos firefox y el obs que son open source.... todo lo demás lo he pagado... nero, powerdvd, filmora, vsdc, etc...

Pues eres el primero que conozco que lo compra todo. Yo también tengo el W10 y office original que venía con el portátil. Tampoco voy a pagar 25 euros al mes o 3000 euros de licencia para usar photoshop de higo a breva para uso no lucrativo. De hecho, hago todo lo que puedo con paint, y cuando no da más de sí, uso PS xD.

Newton escribió:Te pongo unas alternativas que no es necesario utilizar cracks. Funcionan en Windows y te evitarás problemas:

Photoshop = Gimp
InDesign = Scribus
MS Office = Open Office / Libre Office
WinRAR = 7-zip

Puede que al principio se te haga raro si es que estas muy acostumbrado a los productos que dices; pero conozco a más de un usuario que ha sido capaz de cambiar de programas y tan contento

A día de hoy con todas las alternativas de calidad que existen no entiendo cómo los usuarios aún prefieren utilizar utilizar cracks.

Pues muchas gracias por la info. No sabía que había esas alternativas para ciertos programas. Supongo que no serán todo lo bueno que son los otros. Por ejemplo, he usado open office, peor a veces da fallo de formatos o de corrección. Pero, en general, para lo que los uso va de sobra.

Brutico escribió:COMO LA MAYORÍA

En este caso, eres minoría. De mi entorno, no conozco a nadie que pague. Mala suerte supongo. Incluso con los mismos artistas con los que trabajo. Pero viendo las alternativas, las utilizaré.



Volviendo al hilo. Formatear y listo. Aunque se solucione, es mejor no arriesgarse. Y si alguien le pasa lo mismo y quiere ayuda de verdad, que visite la web: bleeping computer punto com. Otro nivel.

BrAddOk escribió:Es programa ya lo instalé, junto con otros, y no solucionaron el problema. Lo que voy a hacer es desconectar el cable de internet, pasar los archivos necesarios a un disco duro y formatear.

Pues claro que no funciono, ese programa es puramente informativo para saber si ha descargado ciertos archivos que yo me se, ese programa ni ninguno te soluccionara el problema, lo que tienes que hacer es formatear cuanto antes

BrAddOk escribió: Y si alguien le pasa lo mismo y quiere ayuda de verdad, que visite la web: ..........r punto com. Otro nivel.

Sin comentarios , no se ni para que me molesto

Edito: Por cierto, he visto la magica soluiccion que pone en esa web que dices pero lo que tienes tu instalado no es precisamente eso porque tu tienes la variante que utiliza el doublepulsar y el fuzzbunch, por eso te has infectado online en esa web.

@oscx7

Es necesaria la acción del usuario para infectarse,o solamente por acceder a un sitio en línea es suficiente?.

cygni escribió:Es necesaria la acción del usuario para infectarse,o solamente por acceder a un sitio en línea es suficiente?.

Te puedes infectar de las dos maneras, eso si las dos se pueden evitar no abriendo archivos sospechosos, cracks, programas regalados y cosas asi y la otra es teniendo un bloqueador de scripts, y otros derivados como HTTPS Everywhere, NoScript, uBlock Origin, etc . De hecho estas extensiones para el navegador son mas importantes que los antivirus, los antivirus a día de hoy no valen para nada. Otra recomendación es no usar casi nunca la cuenta de super usuario (el administrador vamos). Lo único que hacen los antivirus es ofrecer falsa seguridad, lo que no se puede hacer es instalar cracks y todo tipo de software dudoso pensando que te protegerá el antivirus de lo que sea, como ya he dicho con sentido común y ciertas extensiones en el navegador es muy difícil infectarse, no es imposible pero si que es muy muy difícil.

@oscx7

Ya veo, yo uso https everywhere y uorigin, el noscript me cuesta usarlo por la configuración.

Vale con los 2 primeros para estar fuera de riesgo? Aparte de no abrir y o bajar archivos o software con cracks keygens?.

cygni escribió:Ya veo, yo uso https everywhere y uorigin, el noscript me cuesta usarlo por la configuración.

Vale con los 2 primeros para estar fuera de riesgo? Aparte de no abrir y o bajar archivos o software con cracks keygens?.

Ante todo lo que hay que tener es un bloqueador de scripts, de hecho el troyano del que estamos hablando es una serie de scripts, los cuales no hubieran hecho nada si se hubiesen bloqueado desde un principio. Este troyano crea una puerta trasera pero cuando ya esta circulando por el ordenador, no antes porque hasta que no entra es casi inofensivo, el problema esta cuando tiene el control total del ordenador y empieza a extenderse, bajar archivos y crea una puerta trasera conectada a un servidor remoto ( controlado por vete tu a saber quien o quienes), lo mas importante es tener sentido común y no abrir cosas de dudosa procedencia aunque otras personas digan que son falsos positivos o como he escuchado, que por ejemplo las compañías pagan a los antivirus para que salte la alarma ante un crack, y esto no es verdad. Eso se llama ingeniería social.

Existe un bloqueador de scritps más amigable que noscript?.

@cygni

Prueba con YesScript; a mí no me acabó de convencer, pero cada usuario es un mundo.