[URGE] Desaparición de un volumen cifrado

Iniciado por descargar2, 3 Mayo 2018, 18:29 PM

0 Miembros y 1 Visitante están viendo este tema.

descargar2

Hola

Me ha desaparecido un volumen creado con VeraCrypt. El caso es que se me ocurren tres posibilidades

  • Me infecté ayer con varios malware al descargar un parche
  • Un script para eliminar archivos de mas de 30 días en la carpeta Descargas sin configurar la ruta
  • A la hora de actualizar VeraCrypt elimino el directorio entero y el volumen estaba en la carpeta del programa y se lo llevo por delante

Como soluciones he usado programas de recuperación de archivos como Recuva, Stellar Phoenix y R-Studio, no aparece en la ruta indicada ni el nombre del volumen escaneando el disco de forma rápida. Ver en archivos ocultos, volver a un punto de restauración anterior y no puedo por que creo que me lo a jodido los malware


Script

REM Remove files older than 30 days
forfiles /p "C:Users???_????????????Downloads" /s /m *.* /c "cmd /c Del @path" /d -30


Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 2/5/18
Hora del análisis: 12:44
Archivo de registro: c10a2104-4df5-11e8-b15e-708bcd8e6d1b.json
Administrador: Sí

-Información del software-
Versión: 3.3.1.2183
Versión de los componentes: 1.0.262
Versión del paquete de actualización: 1.0.4938
Licencia: Gratis

-Información del sistema-
SO: Windows 10 (Build 16299.371)
CPU: x64
Sistema de archivos: NTFS
Usuario: DESKTOP-8HM990D\Asus

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Resultado: Completado
Objetos analizados: 354172
Amenazas detectadas: 69
Amenazas en cuarentena: 69
Tiempo transcurrido: 7 min, 53 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 3
PUP.Optional.YahooChrome, C:\PROGRAMDATA\yahoochrome_D\desktop25.exe, En cuarentena, [1649], [313284],1.0.4938
Trojan.Agent, C:\PROGRAMDATA\dahkService\dahkService.exe, En cuarentena, [383], [459290],1.0.4938
RiskWare.BitCoinMiner, C:\USERS\ASUS\APPDATA\LOCAL\OPTIMIZER\REAL.EXE, En cuarentena, [917], [454420],1.0.4938

Módulo: 3
PUP.Optional.YahooChrome, C:\PROGRAMDATA\yahoochrome_D\desktop25.exe, En cuarentena, [1649], [313284],1.0.4938
Trojan.Agent, C:\PROGRAMDATA\dahkService\dahkService.exe, En cuarentena, [383], [459290],1.0.4938
RiskWare.BitCoinMiner, C:\USERS\ASUS\APPDATA\LOCAL\OPTIMIZER\REAL.EXE, En cuarentena, [917], [454420],1.0.4938

Clave del registro: 9
PUP.Optional.YahooChrome, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\saiyitechnology, En cuarentena, [1649], [313284],1.0.4938
Trojan.Agent, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\dahkService, En cuarentena, [383], [459290],1.0.4938
Adware.FastDataX.EncJob, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\FASTDATAX TASK, En cuarentena, [2094], [407191],1.0.4938
Adware.FastDataX.EncJob, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{408566AE-6FF0-4DFF-A5FE-DB6F29E51906}, En cuarentena, [2094], [407191],1.0.4938
Adware.FastDataX.EncJob, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{408566AE-6FF0-4DFF-A5FE-DB6F29E51906}, En cuarentena, [2094], [407191],1.0.4938
Adware.FastDataX, HKU\S-1-5-21-739469189-3783455398-3633541335-1001\SOFTWARE\FastDataX, En cuarentena, [4016], [484533],1.0.4938
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\Opera scheduled Autoupdate 4086469641, En cuarentena, [3784], [510920],1.0.4938
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{28F28D67-EBD7-4882-854F-00D5BE19C347}, En cuarentena, [3784], [510920],1.0.4938
Trojan.Agent.Generic, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\PLAIN\{28F28D67-EBD7-4882-854F-00D5BE19C347}, En cuarentena, [3784], [510920],1.0.4938

Valor del registro: 4
Adware.FastDataX.EncJob, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TASKS\{408566AE-6FF0-4DFF-A5FE-DB6F29E51906}|PATH, En cuarentena, [2094], [407189],1.0.4938
Trojan.Agent, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\dahkService|IMAGEPATH, En cuarentena, [383], [459303],1.0.4938
PUP.Optional.YahooChrome, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SAIYITECHNOLOGY|IMAGEPATH, En cuarentena, [1649], [310525],1.0.4938
RiskWare.BitCoinMiner, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|real.exe, En cuarentena, [917], [454420],1.0.4938

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 17
PUP.Optional.YahooChrome, C:\ProgramData\yahoochrome_D\update, En cuarentena, [1649], [313284],1.0.4938
PUP.Optional.YahooChrome, C:\PROGRAMDATA\yahoochrome_D, En cuarentena, [1649], [313284],1.0.4938
Trojan.Agent, C:\PROGRAMDATA\dahkService, En cuarentena, [383], [459290],1.0.4938
PUP.Optional.SystemTable.Generic, C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Default\SystemTable\1.2_0\icon, En cuarentena, [4765], [509531],1.0.4938
PUP.Optional.SystemTable.Generic, C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Default\SystemTable\1.2_0\js, En cuarentena, [4765], [509531],1.0.4938
PUP.Optional.SystemTable.Generic, C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Default\SystemTable\1.2_0, En cuarentena, [4765], [509531],1.0.4938
PUP.Optional.SystemTable.Generic, C:\USERS\ASUS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\SYSTEMTABLE, En cuarentena, [4765], [509531],1.0.4938
Trojan.Agent, C:\USERS\ASUS\APPDATA\ROAMING\WIDMODULE, En cuarentena, [383], [492739],1.0.4938
PUP.Optional.BitsInstall.BITSRST, C:\PROGRAMDATA\aa196c0a-2173-0, En cuarentena, [652], [407181],1.0.4938
PUP.Optional.BitsInstall.BITSRST, C:\PROGRAMDATA\aa196c0a-6b47-1, En cuarentena, [652], [407181],1.0.4938
PUP.Optional.SuperFind, C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\0nawhth1.ESR\extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233\META-INF, En cuarentena, [1159], [450133],1.0.4938
PUP.Optional.SuperFind, C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\0nawhth1.ESR\extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233\images, En cuarentena, [1159], [450133],1.0.4938
PUP.Optional.SuperFind, C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\0nawhth1.ESR\extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233\js, En cuarentena, [1159], [450133],1.0.4938
PUP.Optional.SuperFind, C:\USERS\ASUS\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\0nawhth1.ESR\EXTENSIONS\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233, En cuarentena, [1159], [450133],1.0.4938
Adware.FastDataX.EncJob, C:\Users\Asus\AppData\Local\FastDataX\log\installer, En cuarentena, [2094], [474798],1.0.4938
Adware.FastDataX.EncJob, C:\Users\Asus\AppData\Local\FastDataX\log, En cuarentena, [2094], [474798],1.0.4938
Adware.FastDataX.EncJob, C:\USERS\ASUS\APPDATA\LOCAL\FASTDATAX, En cuarentena, [2094], [474798],1.0.4938

Archivo: 33
PUP.Optional.YahooChrome, C:\PROGRAMDATA\yahoochrome_D\desktop25.exe, En cuarentena, [1649], [313284],1.0.4938
PUP.Optional.WinHTTP, C:\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\WINHTTP.DLL, En cuarentena, [5409], [382898],1.0.4938
Trojan.Agent, C:\PROGRAMDATA\dahkService\dahkService.exe, En cuarentena, [383], [459290],1.0.4938
Adware.FastDataX.EncJob, C:\WINDOWS\SYSTEM32\TASKS\FASTDATAX TASK, En cuarentena, [2094], [407191],1.0.4938
PUP.Optional.SystemTable.Generic, C:\USERS\ASUS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\SYSTEMTABLE\1.2_0\manifest.json, En cuarentena, [4765], [509531],1.0.4938
PUP.Optional.SystemTable.Generic, C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Default\SystemTable\1.2_0\icon\icon128.png, En cuarentena, [4765], [509531],1.0.4938
PUP.Optional.SystemTable.Generic, C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Default\SystemTable\1.2_0\icon\icon16.png, En cuarentena, [4765], [509531],1.0.4938
PUP.Optional.SystemTable.Generic, C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Default\SystemTable\1.2_0\icon\icon24.png, En cuarentena, [4765], [509531],1.0.4938
PUP.Optional.SystemTable.Generic, C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Default\SystemTable\1.2_0\icon\icon32.png, En cuarentena, [4765], [509531],1.0.4938
PUP.Optional.SystemTable.Generic, C:\Users\Asus\AppData\Local\Google\Chrome\User Data\Default\SystemTable\1.2_0\js\background.js, En cuarentena, [4765], [509531],1.0.4938
Trojan.Agent, C:\USERS\ASUS\APPDATA\ROAMING\WIDMODULE\DATA.TXT, En cuarentena, [383], [492739],1.0.4938
PUP.Optional.SuperFind, C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\0nawhth1.ESR\extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233\images\icon-128.png, En cuarentena, [1159], [450133],1.0.4938
PUP.Optional.SuperFind, C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\0nawhth1.ESR\extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233\images\icon-18.png, En cuarentena, [1159], [450133],1.0.4938
PUP.Optional.SuperFind, C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\0nawhth1.ESR\extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233\images\icon-48.png, En cuarentena, [1159], [450133],1.0.4938
PUP.Optional.SuperFind, C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\0nawhth1.ESR\extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233\images\icon-64.png, En cuarentena, [1159], [450133],1.0.4938
PUP.Optional.SuperFind, C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\0nawhth1.ESR\extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233\META-INF\manifest.mf, En cuarentena, [1159], [450133],1.0.4938
PUP.Optional.SuperFind, C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\0nawhth1.ESR\extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233\META-INF\mozilla.rsa, En cuarentena, [1159], [450133],1.0.4938
PUP.Optional.SuperFind, C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\0nawhth1.ESR\extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233\META-INF\mozilla.sf, En cuarentena, [1159], [450133],1.0.4938
PUP.Optional.SuperFind, C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\0nawhth1.ESR\extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233\bg.jpg, En cuarentena, [1159], [450133],1.0.4938
PUP.Optional.SuperFind, C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\0nawhth1.ESR\extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233\manifest.json, En cuarentena, [1159], [450133],1.0.4938
PUP.Optional.SuperFind, C:\Users\Asus\AppData\Roaming\Mozilla\Firefox\Profiles\0nawhth1.ESR\extensions\mefhakmgclhhfbdadeojlkbllmecialg@chrome-store-foxified-1132576233\style.css, En cuarentena, [1159], [450133],1.0.4938
Adware.FastDataX.EncJob, C:\Users\Asus\AppData\Local\FastDataX\log\installer\02-04-2018(12-24).log, En cuarentena, [2094], [474798],1.0.4938
Adware.FastDataX.EncJob, C:\Users\Asus\AppData\Local\FastDataX\log\installer\02-04-2018(12-26).log, En cuarentena, [2094], [474798],1.0.4938
RiskWare.BitCoinMiner, C:\USERS\ASUS\APPDATA\LOCAL\OPTIMIZER\REAL.EXE, Se eliminará al reiniciar, [917], [454420],1.0.4938
Trojan.Agent.Generic, C:\WINDOWS\SYSTEM32\TASKS\Opera scheduled Autoupdate 4086469641, En cuarentena, [3784], [510920],1.0.4938
Adware.Adposhel, C:\USERS\ASUS\APPDATA\LOCAL\TEMP\IS-L6U3L.TMP\BWPAH.DLL, En cuarentena, [445], [425937],1.0.4938
Adware.MegaDowl, C:\USERS\ASUS\APPDATA\LOCAL\TEMP\RAR$EXA9740.30290\IDM_6.EXE, En cuarentena, [8799], [517376],1.0.4938
PUP.Optional.YahooChrome, C:\USERS\ASUS\APPDATA\LOCAL\TEMP\1525256659U1QTMPDOWN.EXE, En cuarentena, [1649], [504905],1.0.4938
Adware.ExtenBro, C:\USERS\ASUS\APPDATA\LOCAL\TEMP\INSTALLER.EXE, En cuarentena, [8178], [502723],1.0.4938
RiskWare.Tool.HCK, C:\USERS\ASUS\CRACK\KRT_5.1.0.41.EXE, En cuarentena, [8133], [69818],1.0.4938
RiskWare.BitCoinMiner, C:\USERS\ASUS\APPDATA\LOCAL\TEMP\SETUP (1).EXE, En cuarentena, [917], [511902],1.0.4938
CrackTool.IDMCrack, C:\USERS\ASUS\CRACK\NEW IDM UNIVERSAL WEB CRACK.EXE, En cuarentena, [13123], [106434],1.0.4938
Adware.Downloader, C:\USERS\ASUS\APPDATA\LOCAL\TEMP\WEBUPD.EXE, En cuarentena, [391], [499620],1.0.4938

Sector físico: 0
(No hay elementos maliciosos detectados)


(end)

Machacador

Prueba con Gparted a ver si logras recuperar tu volumen perdido...

:rolleyes: :o :rolleyes:

Suerte.
"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"