¿Estoy infectado, o alguien intenta hacerlo?, ¿Error en Bitdefender?

Hola, como podrán ver soy completamente nuevo.

Bueno mi problema es el siguiente, el día de ayer (13/04/2020) mi antivirus (Bitdefender) me detecto al mismo tiempo un recurso web y una pagina web infectada, esto me lo detecto a tan solo un par de segundos de abrir Chrome.

Lo que me marco Bitdefender es lo siguiente:

Ayer a las 2:09 PM Característica: Prevención de amenazas online Hemos bloqueado esta página peligrosa para protegerle: EDITADO ccedido por: svchost.exe Las páginas peligrosas intentan instalar software que puede dañar el dispositivo, recopilar información personal o actuar sin su consentimiento

Detectada página web infectada Ayer a las 2:09 PM Característica: Prevención de amenazas online Hemos bloqueado esta página peligrosa para protegerle: (Aquí pone el mismo link de arriba, pero al ser nuevo usuario el post me limita a poner solo dos enlaces.) Las páginas peligrosas intentan instalar software que puede dañar el dispositivo, recopilar información personal o actuar sin su consentimiento.

Debido a que yo no navego en paginas sospechosas, ni descargo nada que no me de confianza solo se me vino a la cabeza “¿Cómo paso esto?”. Después de eso decidí investigar el problema, y según publicaciones recientes (De solo un par de horas) de otro foro me entere que a otros también les salto este error el mismo día.

Busque el link en Virus Total y los resultados que arrojo es que estaba limpio, incluso había un comentario aludiendo a que esto es una falso positivo.

Bueno, lo hubiera dejado así pero justo hace un par de minutos al volver a encender la PC Bitdefender me volvió a lanzar otros dos avisos similares, pero con un link distinto lo que me está haciendo dudar.

Aquí están:

Se ha detectado un recurso Web infectado hace 46 minutos Característica: Prevención de amenazas online Hemos bloqueado esta página peligrosa para protegerle: EDITADO Accedido por: svchost.exe Las páginas peligrosas intentan instalar software que puede dañar el dispositivo, recopilar información personal o actuar sin su consentimiento.

Detectada página web infectada hace 46 minutos Característica: Prevención de amenazas online Hemos bloqueado esta página peligrosa para protegerle: (aquí pone el mismo link de arriba) Las páginas peligrosas intentan instalar software que puede dañar el dispositivo, recopilar información personal o actuar sin su consentimiento.

En verdad agradecería que alguien me ayudara con este problema, y me pudiera explicar que está pasando.

P.D: Gracias por darte un tiempo para leer todo lo que escribí.

Hola @luis_vallejo Bienvenido al ForoSpyware!!!

Vamos a revisar tu equipo para ver si hay infecciones.

Realiza los siguientes pasos, aunque hayas hecho alguno, sin cambiar el orden:

1) Descarga, actualiza y ejecuta Malwarebytes’ Anti-Malware, revisa en detalle el manual, para que sepas usarlo y configurarlo.

  • Realiza un Análisis personalizado, actualizando si te lo pide.
  • Pulsar en “Cuarentena seleccionado” para enviarlo a la cuarentena y Reinicias el sistema.
  • En el apartado del manual Historial de detecciones encontrarás el reporte de MBAM, clic en Exportar >> Copiar al portapapeles.

2) Descarga AdwCleaner | InfoSpyware en el escritorio.

  • Desactiva temporalmente el Antivirus >> Cómo deshabilitar temporalmente su Antivirus.
  • Cierra también todos los programas que tengas abiertos.
  • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador".)
  • Pulsar en el botón Escanear, y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Limpiar.
  • Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas.
  • Guardas el reporte que te aparecerá, para copiarlo y pegarlo en tu próxima respuesta.
  • El informe también se puede encontrar en C:\AdwCleaner\AdwCleaner[C1].txt

3) Descarga CCleaner

  • Instala Ccleaner
  • Abres Ccleaner en la pestaña limpiador dejas como esta configurada predeterminadamente, haces clic en analizar esperas que termine >> clic en ejecutar limpiador
  • Clic en la pestaña Registro >> clic en buscar problemas esperas que termine >> clic en Reparar Seleccionadas y haces una copia de seguridad
  • Vuelves a darle clic en buscar problemas hasta que no encuentre ninguno.

Pega los reportes de Malwarebytes y AdwCleaner y comentas como va el problema.

¿Cómo pegar reportes en el foro?

Un saludo

1 me gusta

Perdón por la tardanza, estaba ocupado y el análisis de Malwarebyts demoro 10 horas. Aquí el reporte de malwarebyts

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 14/4/20
Hora del análisis: 22:59
Archivo de registro: 91a15878-7ecd-11ea-a727-6002922ab860.json

-Información del software-
Versión: 4.1.0.56
Versión de los componentes: 1.0.867
Versión del paquete de actualización: 1.0.22490
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 18362.720)
CPU: x64
Sistema de archivos: NTFS
Usuario: LUIS-MANUEL\LUISMANUEL

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 784225
Amenazas detectadas: 4
Amenazas en cuarentena: 4
Tiempo transcurrido: 10 hr, 48 min, 0 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 2
PUP.Optional.ASK, HKU\S-1-5-21-4139605698-3567738899-582139840-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{87BF8A6E-3224-4962-962C-70B0450BDCC4}, En cuarentena, 1, 258454, 1.0.22490, , ame, 
PUP.Optional.APNToolBar.Gen, HKU\S-1-5-18\SOFTWARE\AskPartnerNetwork, En cuarentena, 933, 186876, 1.0.22490, , ame, 

Valor del registro: 2
PUP.Optional.ASK, HKU\S-1-5-21-4139605698-3567738899-582139840-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{87BF8A6E-3224-4962-962C-70B0450BDCC4}|FAVICONURL, En cuarentena, 1, 258454, 1.0.22490, , ame, 
PUP.Optional.ASK, HKU\S-1-5-21-4139605698-3567738899-582139840-1001\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{87BF8A6E-3224-4962-962C-70B0450BDCC4}|URL, En cuarentena, 1, 258454, 1.0.22490, , ame, 

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Debido a que tardo mucho el análisis deje la PC encendida toda la noche, al amanecer (después del análisis personalizado) se ejecutó un análisis diario. Este arrojo 11 detecciones extra.

Aquí esta:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 15/4/20
Hora del análisis: 10:43
Archivo de registro: d33602d6-7f2f-11ea-b2f7-6002922ab860.json

-Información del software-
Versión: 4.1.0.56
Versión de los componentes: 1.0.867
Versión del paquete de actualización: 1.0.22506
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 18362.720)
CPU: x64
Sistema de archivos: NTFS
Usuario: LUIS-MANUEL\LUISMANUEL

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 334054
Amenazas detectadas: 11
Amenazas en cuarentena: 11
Tiempo transcurrido: 13 min, 56 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 1
PUP.Optional.ASK, C:\USERS\LUISMANUEL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\LevelDB, En cuarentena, 1, 454825, , , , 

Archivo: 10
PUP.Optional.ASK, C:\Users\LUISMANUEL\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\000005.ldb, En cuarentena, 1, 454825, , , , 
PUP.Optional.ASK, C:\Users\LUISMANUEL\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\002775.ldb, En cuarentena, 1, 454825, , , , 
PUP.Optional.ASK, C:\Users\LUISMANUEL\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\002776.log, En cuarentena, 1, 454825, , , , 
PUP.Optional.ASK, C:\Users\LUISMANUEL\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\002777.ldb, En cuarentena, 1, 454825, , , , 
PUP.Optional.ASK, C:\Users\LUISMANUEL\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\CURRENT, En cuarentena, 1, 454825, , , , 
PUP.Optional.ASK, C:\Users\LUISMANUEL\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOCK, En cuarentena, 1, 454825, , , , 
PUP.Optional.ASK, C:\Users\LUISMANUEL\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG, En cuarentena, 1, 454825, , , , 
PUP.Optional.ASK, C:\Users\LUISMANUEL\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\LOG.old, En cuarentena, 1, 454825, , , , 
PUP.Optional.ASK, C:\Users\LUISMANUEL\AppData\Local\Google\Chrome\User Data\Default\Sync Data\LevelDB\MANIFEST-000001, En cuarentena, 1, 454825, , , , 
PUP.Optional.ASK, C:\USERS\LUISMANUEL\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sustituido, 1, 454825, 1.0.22506, , ame, 

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

El reporte de AdwCleaner:

        # -------------------------------
        # Malwarebytes AdwCleaner 8.0.4.0
        # -------------------------------
        # Build:    04-03-2020
        # Database: 2020-04-08.2 (Cloud)
        # Support:  https://www.malwarebytes.com/support
        #
        # -------------------------------
        # Mode: Clean
        # -------------------------------
        # Start:    04-15-2020
        # Duration: 00:00:35
        # OS:       Windows 10 Home Single Language
        # Cleaned:  35
        # Failed:   0


        ***** [ Services ] *****

        No malicious services cleaned.

        ***** [ Folders ] *****

        No malicious folders cleaned.

        ***** [ Files ] *****

        No malicious files cleaned.

        ***** [ DLL ] *****

        No malicious DLLs cleaned.

        ***** [ WMI ] *****

        No malicious WMI cleaned.

        ***** [ Shortcuts ] *****

        No malicious shortcuts cleaned.

        ***** [ Tasks ] *****

        No malicious tasks cleaned.

        ***** [ Registry ] *****

        Deleted       HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32|ApnTBMon

        ***** [ Chromium (and derivatives) ] *****

        No malicious Chromium entries cleaned.

        ***** [ Chromium URLs ] *****

        No malicious Chromium URLs cleaned.

        ***** [ Firefox (and derivatives) ] *****

        No malicious Firefox entries cleaned.

        ***** [ Firefox URLs ] *****

        No malicious Firefox URLs cleaned.

        ***** [ Hosts File Entries ] *****

        No malicious hosts file entries cleaned.

        ***** [ Preinstalled Software ] *****

        Deleted       Preinstalled.CyberLinkShellExtension   Registry   HKLM\Software\Classes\CLSID\{3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2}
        Deleted       Preinstalled.HPHealthCheck   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{6F340107-F9AA-47C6-B54C-C3A19F11553F}
        Deleted       Preinstalled.HPRegistrationService   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP REGISTRATION SERVICE
        Deleted       Preinstalled.HPRegistrationService   Folder   C:\ProgramData\HEWLETT-PACKARD\HP REGISTRATION SERVICE
        Deleted       Preinstalled.HPRegistrationService   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{D1E8F2D7-7794-4245-B286-87ED86C1893C}
        Deleted       Preinstalled.HPSupportAssistant   Folder   C:\HP\SUPPORT
        Deleted       Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP CUSTOMER FEEDBACK
        Deleted       Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
        Deleted       Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT INFORMATION
        Deleted       Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT SOLUTIONS
        Deleted       Preinstalled.HPSupportAssistant   Folder   C:\ProgramData\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
        Deleted       Preinstalled.HPSupportAssistant   Folder   C:\Users\LUISMANUEL\AppData\Local\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
        Deleted       Preinstalled.HPSupportAssistant   Folder   C:\Users\LUISMANUEL\AppData\Roaming\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
        Deleted       Preinstalled.HPSupportAssistant   Folder   C:\Windows\System32\config\systemprofile\AppData\Local\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
        Deleted       Preinstalled.HPSupportAssistant   Registry   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
        Deleted       Preinstalled.HPSupportAssistant   Registry   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
        Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Classes\CLSID\{335F9A62-FE4B-40CD-B4ED-BB4DE21DC95D}
        Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
        Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
        Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{335F9A62-FE4B-40CD-B4ED-BB4DE21DC95D}
        Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{C0ABBA07-B636-47B8-B9E1-BB96D7CD4831}
        Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
        Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
        Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{7FE016CC-DAA9-4E21-BD2F-98390D1E6F3F}
        Deleted       Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{B2B7B1C8-7C8B-476C-BE2C-049731C55992}
        Deleted       Preinstalled.LenovoPower2Go   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\InstallShield_{2A87D48D-3FDF-41fd-97CD-A1E370EFFFE2}
        Deleted       Preinstalled.LenovoPower2Go   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{2A87D48D-3FDF-41fd-97CD-A1E370EFFFE2}
        Deleted       Preinstalled.LenovoPowerDVD   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\InstallShield_{B46BEA36-0B71-4A4E-AE41-87241643FA0A}
        Deleted       Preinstalled.LenovoPowerDVD   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{B46BEA36-0B71-4A4E-AE41-87241643FA0A}
        Deleted       Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDTANGENT GAMES
        Deleted       Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDTANGENT GAMES\WEB LINK - THE GODFATHER 5 FAMILIES
        Deleted       Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangentGDF-hp-godfatherfivefamilies
        Deleted       Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangentGameProvider-hp-genres
        Deleted       Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangentGameProvider-hp-main


        *************************

        [+] Delete Tracing Keys
        [+] Reset Winsock

        *************************

        AdwCleaner[S00].txt - [5925 octets] - [15/04/2020 15:03:30]

        ########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Hasta el momento Bitdefender no me ha vuelto a arrojar otro intento de acceso a una página/recurso web maligno.

Hola

Sigue estos pasos, para eliminar las herramientas utilizadas:

Para hacerlo utiliza de nuevo/descarga >> DelFix.exe en tu escritorio.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

  • Marca todas las casillas, y pulsas en Run

Se abrirá el informe (DelFix.txt), puedes cerrarlo.

Confirma si sigue todo bien.

Un saludo

1 me gusta

Ya ejecuté Delfix.exe, según el informe solo elimino AdwCleaner y no los otros dos programas (Marwarebytes y CCcleanr).

Aquí está el txt que dejo antes de desinstalarse:

# DelFix v1.013 - Logfile created 15/04/2020 at 20:12:39
# Updated 17/04/2016 by Xplode
# Username : LUISMANUEL - LUIS-MANUEL
# Operating System : Windows 10 Home  (64 bits)

~ Activating UAC ... OK

~ Removing disinfection tools ...

Deleted : C:\AdwCleaner
Deleted : C:\Users\LUISMANUEL\Downloads\adwcleaner_8.0.4.exe

~ Creating registry backup ... OK

~ Cleaning system restore ...

Deleted : RP #118 [Punto de control programado | 04/11/2020 02:06:53]
Deleted : RP #120 [Windows Update | 04/15/2020 08:15:01]
Deleted : RP #121 [AdwCleaner_BeforeCleaning_15/04/2020_15:05:17 | 04/15/2020 20:05:27]

New restore point created !

~ Resetting system settings ... OK

########## - EOF - ##########

También dejo este .exe en el lugar donde estaba antes, y al intentar correrlo marca error. image image

Hola @luis_vallejo

Esos programas no se desinstalan con Delfix, los puedes dejar en tu equipo y ejecutarlos a de vez en cuando.

No se ve la imagen, puedes volver ha hacer la captura y subirla?

Un saludo

Hola, en cuanto reinicie el equipo delfix.exe volvió a la normalidad. image

Hola

Delfix tendrás que eliminarlo tu si a eso te refieres.

Comenta si podemos dar por solucionado el tema.

Un saludo

Si, muchas gracias por la ayuda. Mi antivirus no volvió a marcar otro intento de acceso por recurso infectado.

1 me gusta

Hola @luis_vallejo

Gracias a ti por confiar en ForoSpyware. Ha sido un placer ayudarte :handshake:

Nos alegramos que se te haya resuelto :+1: Damos el tema por solucionado.

Solucionado

Un saludo

1 me gusta