Pc infectado con un malware de mineria de Moneros
el-brujo:
Si quieres analizarlo adelante, pero si realmente lo que quieres hacer es limpiarlo de verdad, reinstala Windows o formatea y empieza de 0..
M3LiNdR1:
Cita de: el-brujo en 26 Febrero 2024, 11:18 am
Si quieres analizarlo adelante, pero si realmente lo que quieres hacer es limpiarlo de verdad, reinstala Windows o formatea y empieza de 0..
Pues creo que lo mas sensato será hacer borrón y cuenta nueva. Pero quizas me haga una imagen del SO antes de formatear para correrla en una màquina virtual, sabeis de algun programa FOSS o gratuito para hacer eso?
Mr.Byte:
Puedes probar con https://es.malwarebytes.com/adwcleaner/. No sustituye tu antivirus, ni se instala. Solo es un ejecutable
M3LiNdR1:
Cita de: Mr.Byte en 28 Febrero 2024, 10:34 am
Puedes probar con https://es.malwarebytes.com/adwcleaner/. No sustituye tu antivirus, ni se instala. Solo es un ejecutable
Lo he probado y tampoco me ha detectado software malicioso. Voy a tener que formatear el pc, pero ya me he hecho una copia de seguridad del disco duro con el programa disk2vhd.
https://learn.microsoft.com/es-es/sysinternals/downloads/disk2vhd
Voy a probar a analizar el malware y haber que sale.
Muchas gracias a todos por vuestras respuestas! :D
D3s0rd3n:
Cita de: M3LiNdR1 en 25 Febrero 2024, 21:24 pm
Muchas gracias por las respuestas, @BloodSharp, he ejecutado el comando que me has dicho y he cazado la conexión:
Es la que apunta al puerto destino 5555. Por lo que acabo de descubrir Dwm.exe es un proceso genuino de windows que significa Desktop Windows Manager. Parece que el malware se esta ejecutando inyectado dentro de este proceso. Como podria seguir tirando del hilo ahora? Como se ha emmascardo el malware dentro del proceso dwm.exe, a partir de un archivo ejectuable? Como podria encontrarlo?
Por otro lado, en la imagen también se aprecia un servicio llamado CryptSvc con conexiones establecidas a una ip por el puerto ochenta que me hacen dudar muchísimo de su legitimidad.
Tampoco estoy seguro de si este malware solo es para la minación de monero o realiza alguna otra acción fraudulenta.
Lo mas seguro es que es un secuestro de proceso, que versión de windows tienes?
Navegación
[#] Página Siguiente
[*] Página Anterior