De momento encontré varias cosas sospechosas. Pero debo contrastar esta información para eliminar la posibilidad de que ya tuviese malware en el equipo. Crearé otra máquina virtual limpia que tengo escaneada. Sigo haciendo pruebas de todos los archivos del sistema buscando modificaciones. De momento tengo lo siguiente:

XURU.ZIP No DOS or PE signature found. This file is not a valid 32-bit or 64-bit Windows module.
Metí dentro todo, archivos comprimidos, sin comprimir, con contraseña y sin contraseña.

Me encontré un hilo raro:
Name: System [4:160]
Type: Thread
Value: BB33E096
(Por mirar)

Registro:
REG1: CLSID\{3F4DACA4-160D-11D2-A8E9-00104B365C9F} (Malware.Packer.Gen)

REG2:TypeLib\{3F4DACA7-160D-11D2-A8E9-00104B365C9F} (Malware.Packer.Gen)

REG3: Interface\{3F4DACA0-160D-11D2-A8E9-00104B365C9F} (Malware.Packer.Gen)

REG4: \VBScript.RegExp (Malware.Packer.Gen)

He detectado varios archivos:
msxml2.dll Malware Package
vbscript.dll Malware Package
wzcsvc.dll (Trojan.FakeAV)
sfcfiles.dll (Trojan.Patched)
 
Alguno puede que ya lo tuviese. Más adelante lo compruebo. Que este pc no toca ninguna red ni nada externo, asique no lo desinfecto si no me da problemas. Se que tengo varios keyloggers corriendo y puede que ek fajeav tambien lo tuviese pero ni me he molestado en desinfectar el sistema.



Los tenía todos. El archivo a analizar está limpio. No hay nada oculto. Solo esos scripts que no puedo ejecutar en mi sistema porque no tengo las dll necesarias.
A ver si encontrais algo. Puedes pasar los logs que decias de virustotal?
Los scripts no sé que hacen, pero hay que ejecutarlos a mano. Asique un virus como tal...
Podría ser un módulo, pero de por si solos no hacen nada de nada.
A ver si alguien que entienda los scripts .vb sabe lo que son.

Pues si existen los link de descarga automática, pero se siguen unos pasos previos para llegar a ellos como por ejemplo este: https://tb.rg-adguard.net/dl.php?go=c266e1a8

Si le das clik te empezara una descarga del Windows 10 1809, pero el link no esta por allí disponible sino que yo lo saque de un servicio de descargas luego delos mencionados pasos previos...

pero de seguro no faltara quien ponga link así en páginas para meterle virus a los incautos... pero si uno tiene gestores de descargas puede parar eso que no ha solicitado descargar, o si ve la descarga abajo en el navegador también la puede detener...

 

Saludos.

A mi no me descarga nada automaticamente.
Le tengo puesto para elegir la carpeta de descarga y así siempre me pregunta.
Pero ese link ni descarga automático.

mmmmmm

Acabo de entrar en la nueva página de descarga jeje.

Pues ya me ha hecho algo.

Cuento:

He abierto la página, pero no se me ha descargado autómaticamente, debia darle yo.

Pero no lo he descargado, me he fijado en la carpeta temp, y me habia generado un archivo raro.

Luego de eso, parecia funcionar todo correcto, pero no podia entrar en la página el hacker, me mostraba caida, no podia entrar de ninguna forma  

He hecho algo que alomejor no hacia falta, pero le he borrado de appdata todos los rastros del navegador , pero tampoco podia entrar a el hacker y e perdido todos los favoritos y contraseñas guardadas.

Nada, al final, he cogido la partición donde estaba instalado windows, y le he cambiado todos los permisos otra vez de todo, y ahora ya puedo entrar al hacker.

¿Que extraño no?

No llegué a descargar el archivo.

Y ya no lo descargo.

Aún me da algo de problemas, ahora mismo estaba caida la página el hacker , pero ya puedo entrar otra vez  veré si me sigue dando problemas o no.

Saludos.

Buenas.

Yo no he descargado el archivo en si, por lo que no se nada ni he analizado nada.

Yo solo me ha creado un archivo en temp, justo al abrir la página, pero con permisos de trusted installer y no habia ningún usuario ajeno.

Lo he borrado yo rápidamente, alomejor lo hubiera podido copiar pegar y subirlo para ver que era... ahora he entrado otra vez, pero ya no me aparece el archivo temporal...

Aparentemente ningún problema ahora.
Mi equipo es bastante vulnerable, pero bueno, funciona ok parece.
Si os paso una captura del visor de eventos alucinais con la de errores que hay...también por que he modificado muchas cosas.

No se si me ha tocado algo en el registro o algo más, ya veré...yo no uso antivirus, solo tengo el repair kit de pago crakeado y limpiadores de registro.

Aunque si tengo muchos programas de analisis de rootkits, kernel, e historias.

Bueno, lo dejo como un susto.

Tu sabes mucho más que yo, tal vez un ataque dirigido a mi equipo a sabiendas que podia entrar  a la página, aprovechando mis vulnerabilidades, no se, ni idea.

Saludos.