Ayer, literalmente, escribimos sobre la iteración anterior de esta plaga: JoopApp. NoqotApp de Haye Cosq es una aplicación falsa que cambia de nombre cada semana. Sólo existe para utilizar los recursos del sistema para minar bitcoins y otras monedas digitales, e introducir más malware en tu sistema.
Creo que es suficiente explicación; ya lo tienes. Lo importante a tener en cuenta es que este malware intentará evitar que lo elimines en todo momento, pero por lo demás es seguro, es decir, puedes intentar eliminarlo sin problemas y no pasará nada malo. Sólo tienes que seguir la guía explícitamente.
Instrucciones de eliminación de NoqotApp
Dado que el desinstalador oficial de NoqotApp no funciona (no es de extrañar), tendrás que visitar y eliminar varias carpetas o archivos de tu PC, a veces en ubicaciones del sistema. No te saltes ninguno de los pasos que se describen a continuación; están ahí por una razón.
SUMMARY:
| Nombre | NoqotApp |
| Tipo | Trojan |
| Herramienta de detección |
Atención: Los creadores de NoqotApp cambian las cosas un poco cada vez. Creamos esta guía con muchos datos de las iteraciones anteriores, pero puede haber (o no) algo ligeramente diferente cada vez. Esto puede complicar la eliminación manual. Si no quieres invertir el tiempo necesario, te recomendamos descargar la aplicación de nuestros anuncios, SpyHunter 5.
Preparativos para la mudanza
Necesitas instalar 1 utilidad gratuita llamada Lock Hunter. Esto es necesario para no complicar demasiado las cosas con la eliminación. Puede haber (y probablemente habrá) varios casos en los que los archivos son inaccesibles para usted y esta es la forma más indolora de evitarlo. Entiendo que la mayoría de la gente no quiere descargar nada – si realmente insistes en esto después de leer la explicación, entonces desafortunadamente esta página no es para ti, ya que varios de los pasos no se pueden realizar.
Desinstalar la aplicación del virus NoqotApp
Abra el menú Inicio. Escriba “Aplicaciones y funciones“. Ordena por fecha de instalación y revisa la lista. Si algo apareció alrededor de la fecha en que empezaste a tener problemas, es decir, hace muy poco, está bajo sospecha. Esto no se puede modificar para incluir una fecha anterior. Tendrás que mirar las últimas 5 o 10 entradas como mucho. Si algo es sospechoso, es decir, no sabes por qué está ahí, desinstálalo. Siempre puedes restaurarlo más tarde si es seguro.
NoqotApp aparecerá en esta lista, pero no pasará nada cuando intentes desinstalarlo. No te estreses, esto es de esperar en este punto.
Revelar archivos ocultos
Tendrás que revelar algunos archivos de NoqotApp. Puedes saltarte esta parte si ya has revelado los archivos y carpetas ocultos del sistema en tus opciones.
Abra el menú Inicio. Escriba “Opciones de carpeta“. Pulse Intro.
Pestaña Ver> “Mostrar archivos, carpetas y unidades ocultos”> Aceptar.
Ahora los archivos ocultos en su sistema serán visibles.
Deshacerse de NoqotApp en el Administrador de Tareas
Este paso requiere que tomes un poco de decisiones personales. Te daremos una lista de los procesos que NoqotApp crea, pero algo puede diferir en tu PC. Fíjate bien en todo.
Abra el Administrador de tareas con Ctrl + Shift + Esc > More Details
Estos son los procesos que crea NoqotApp:
“C:\Windows\system32\msiexec.exe” /I “C:\Users\<USER>\Desktop\installer.msi” /qb ACCEPTEULA=1 LicenseAccepted=1
C:\Windows\System32\mousocoreworker.exe -Embedding
C:\Windows\system32\msiexec.exe /V
C:\Windows\system32\services.exe
C:\Windows\syswow64\MsiExec.exe -Embedding 6CBBDE8C67B0E1EE7AF7FB9E96370864
“C:\Windows\System32\msiexec.exe” /i “C:\Users\user\Desktop\install.msi”
“C:\Windows\System32\msiexec.exe” /i “C:\Users\user\Desktop\installer.msi”
C:\Windows\SysWOW64\msiexec.exe C:\Windows\syswow64\MsiExec.exe -Embedding 595D1191C36995804CF71467D921FB64
C:\Windows\SysWOW64\msiexec.exe C:\Windows\syswow64\MsiExec.exe -Embedding B9E2218A25A507AA0E0D52BA34703758
C:\Windows\System32\msiexec.exe C:\Windows\system32\msiexec.exe /V
Finaliza cada proceso que consideres sospechoso. Para determinar si algo es realmente sospechoso, haga clic en él con el botón derecho del ratón > Propiedades. Debería haber una descripción de lo que hace si algo es legítimo.
Si tienes miedo de estropear algo, te recomendamos que crees un punto de restauración del sistema: sólo tienes que escribirlo en el menú de inicio de Windows y podrás volver fácilmente a este estado.
Eliminar archivos y carpetas de NoqotApp
Vaya a C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup y elimina cualquier archivo sospechoso que parezca estar relacionado con NoqotApp. En caso de que no estés seguro de qué eliminar, simplemente borra todo lo que haya en esa carpeta excepto el archivo desktop.ini.
Luego haz exactamente lo mismo en esta carpeta:C:\Users\TuNombreDeUsuario\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup.
A continuación, vaya a C:\Users\USERNAME\AppData\Roaming\Haye Cosq\NoqotApp\ – Obviamente, se trata de la carpeta principal del malware. Si se te impide borrarla, usuario Lock Hunter – clic derecho – ¿Qué está bloqueando…? > podrá eliminar la carpeta en el menú.
Por último, vaya a la carpeta Temp escribiendo “%TEMP%” en el menú Inicio y pulsando Intro. A continuación, elimina todo lo que haya allí.
Se trata de archivos y carpetas temporales, por lo que es seguro eliminarlos todos y podría haber restos de archivos del malware entre ellos.
Comprobación del Programador de Tareas
Las tareas programadas pueden resucitar NoqotApp. Debe evitarlo.
Abra el menú Inicio. Escriba “Programador de tareas”. Pulse Intro.
Examine los elementos listados en la Biblioteca del Programador de Tareas.
¿Tareas desconocidas? Haga clic con el botón derecho del ratón y seleccione Propiedades.
Pestaña Acciones: si la tarea apunta a AppData o Roaming o ejecuta algún archivo .exe o script sospechoso, es probable que esté vinculada a NoqotApp, por lo que debe desaparecer.
Limpieza del Registro
Por último, es hora de limpiar el Registro. Este es un paso muy importante, pero debe tener cuidado de no borrar lo incorrecto o de lo contrario su sistema puede volverse inestable. Si no estás seguro de poder hacerlo por ti mismo, considera usar SpyHunter para que se encargue del malware por ti.
Si estás decidido a hacerlo manualmente, te explicamos cómo:
Busque el Editor del Registro en el menú Inicio y ábralo con derechos de administrador.
Abre el menú Edición, haz clic en Buscar y escribe NoqotApp.
Busque entradas relacionadas y, si encuentra alguna, elimine la clave (carpeta) del panel izquierdo que la contiene. Haz una búsqueda más después de cada eliminación para asegurarte de que no queda nada más.
A continuación, busque también elementos relacionados con el programa (o programas) que desinstaló anteriormente. Es por esto que usted tuvo que tomar nota de sus nombres.
Una vez eliminadas todas las claves falsas, es de esperar que no quede nada del malware en el Registro y en el sistema.
Esta es una lista de todas las claves de registro que NoqotApp crea:
HKEY_CURRENT_USER\Software\Haye Cosq\NoqotApp\Path
HKEY_CURRENT_USER\Software\Haye Cosq\NoqotApp\Version
HKEY_CURRENT_USER\Software\Haye Cosq\{10600033-A088-43AB-8B0A-E5B5B72293BD}
HKEY_CURRENT_USER\Software\Haye Cosq\{10600033-A088-43AB-8B0A-E5B5B72293BD}\LanguageIdent
HKEY_CURRENT_USER\Software\Microsoft\RestartManager
HKEY_CURRENT_USER\Software\Microsoft\RestartManager\Session0000
HKEY_CURRENT_USER\Software\Microsoft\RestartManager\Session0000\Owner
HKEY_CURRENT_USER\Software\Microsoft\RestartManager\Session0000\Sequence
HKEY_CURRENT_USER\Software\Microsoft\RestartManager\Session0000\SessionHash
HKEY_CURRENT_USER\Software\Microsoft\Windows Script
HKEY_CURRENT_USER\Software\Microsoft\Windows Script\Settings
HKEY_CURRENT_USER\Software\Microsoft\Windows Script\Settings\JITDebug
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Config.Msi\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Users\user\AppData\Roaming\Haye Cosq\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Users\user\AppData\Roaming\Haye Cosq\NoqotApp\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Users\user\AppData\Roaming\Haye Cosq\NoqotApp\Required\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Users\user\AppData\Roaming\Haye Cosq\NoqotApp\git\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Users\user\AppData\Roaming\Haye Cosq\NoqotApp\git\bin\
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Folders\C:\Users\user\AppData\Roaming\Haye Cosq\NoqotApp\git\cmd\
Leave a Comment