Hola a todos desde hace una o 2 semanas, creo estar infectado por este virus, aunque me dí cuenta de que lo tenía ayer cuando en el solucionador de problemas de windows me apareció.
Me he dado cuenta desde hace una semana o así que se me abría el glcnd.exe (el programa que abre los pdf en windows 8 por defecto), se me abría solo aunque no había ningún pdf que había abierto, lo cerraba y pasado un rato volvía a aparecer, puede que él sea el causante del problema.
No me dejaba abrir la ubicación del archivo desde el administrador de tareas ventana de procesos me decía que no tenía permisos (para los demás si que me dejaba, extraño), para los demás procesos no tenía problema!, (lo cerre hace poco y ya se ha vuelto a abrir xD), sin embargo le di a ir a detalles y me llevo al proceso en la pestaña de detalles de el administrador de tareas y el proceso era glcnd.exe. OK. Le di ir a ubicación del archivo y me dejo bien.
Me lleva a este directorio entonces:
C:\Program Files\WindowsApps\Microsoft.Reader_6.3.9654.17499_x64__8wekyb3d8bbwe
En ese directorio hay varios archivos .xaml alguno .dll y .pri, y el .exe en cuestión.
Llamo la atención password.xaml, no se para que valen estos archivos pero no tenía contraseñas ni nada, pero extraño ver estos archivos para un editor pdf, para mí vamos.
De esto que voy a acceder al directorio anterior con el explorador y no me deja que no tengo permisos me dice, le doy a usar permisos admin me abre el editor de la seguridad y me dice que no tengo permisos, pos ok.
Cojo voy al .exe en cuestión a propiedades seguridad y SORPRESA, me aparecen 2 usuarios más, está TODOS LOS PAQUETES DE APLICACIONES, SYSTEM, SERVICIO LOCAL, servicio de red, Administrador y usuario, y 2 usuarios llamados:
Cuenta desconocida (S-1-15-2-1836922079-331571XXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XXXXXXXXX-XXXXXXXXXX)
Cuenta desconocida (S-1-15-3-1836922079-331571XXXX-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XXXXXXXXX-XXXXXXXXXX)
[OJO notesé que en un archivo cualquiera del programa los usuarios que me aparecen al entrar en propiedades-> seguridad son TODOS LOS PAQUETES DE APLICACIONES, trustedinstaller, SYSTEM, Administrador, y Usuarios.]
Ok ambos con permisos de lectura y ejecución, leer carpeta, ejecutar archivos... . Parece que no me dejaba cambiar los permisos, en editar ok, fuí a opciones avanzadas-> cambiar permisos, le doy a suprimir esos usuarios raros de 1000 caracteres y no funciona, dice que deshabilite su herencia y ahí estoy ya bloqueado pues le dí y me desaparecieron los demás usuarios excepto el instalador de paquetes así que no le dí a aplicar, la verdad estoy sorprendido es un malware muy fino y cabrón aunque no me paso desapercibido ya sospechaba algo cuando veía el proceso abridor de pdfs en ejecución (o suspendido) cuando no lo estaba usando.
Para el caso no sé si sabríais algo para eliminar esos usuarios, recuperar privilegios, entrar en los directorios y demás, también quiero saber si ese .exe es el que me abre el archivo pdf o no, para buscar otro abridor de pdfs y eliminar ese para siempre.
Acabo de subir el archivo a virustotal y me dice que está limpio pero raro que el primer análisis haya sido de tan solo una semana, es algo nuevo, normal que no lo detecten aún.
Hice análisis con AVG sin éxito, pero el virus creo que ya está detectado y es ese, esperemos que no haya más, ¿alguna idea para eliminarlo?.
También añado que el directorio: C:\Program Files\WindowsApps es invisible (aunque tenía la opción de ver carpetas invisibles activada) y su edición última fue el 2/12/2014 cuando aparecería el virus no me deja acceder a ese directorio ni con consola.
Vaya que si me toca los huevos me hago un batch de 3 lineas para que lo cierre, AUNQUE PIENSO ESTUDIAR ESE PROGRAMA ABRIR EL WIRESHARK, MIRAR DÓNDE SE CONECTA, QUÉ HACE Y DENUNCIARLO si se confirma que es el virus, solo hice 2 cosas arriesgadas con el ordenador hace 2 semanas, usar un crack y abrir pdfs
Saludos.