Algunas webs me detectan como si estuviera en Rusia


#1

Curiosamente al visitar una página que tiene redirección automática según ubicación geográfica, ésta me redirigía a su versión rusa cada vez que intentaba acceder a ella.

No le hubiera prestado ninguna atención a esto si no llega a ser porque me ha hecho recordar que hace no mucho tiempo, una página común de las que visito me mostró la información en ruso.

¿Paranoia mía o puede que tenga algún tipo de Malware?

Muchas gracias y felicidades por la vuelta a lo grande.


#2

Hola JaviTorr

Realiza los siguientes pasos, aunque hayas hecho alguno, sin cambiar el orden:

1) Descarga, actualiza y ejecuta Malwarebytes’ Anti-Malware, revisa en detalle el manual, para que sepas usarlo y configurarlo.

  • Realiza un Análisis de amenazas, actualizando si te lo pide.
  • Pulsar en “Cuarentena seleccionado” para enviarlo a la cuarentena y Reinicias el sistema.
  • En el apartado del manual Informes :arrow_forward: Informe de análisis encontrarás el reporte de MBAM, clic en Exportar :arrow_forward: Copiar al portapapeles.

2) Descarga AdwCleaner | InfoSpyware en el escritorio.

  • Desactiva temporalmente el Antivirus :arrow_forward: Cómo deshabilitar temporalmente su Antivirus.
  • Cierra también todos los programas que tengas abiertos.
  • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador".)
  • Pulsar en el botón Escanear, y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Limpiar.
  • Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas.
  • Guardas el reporte que te aparecerá, para copiarlo y pegarlo en tu próxima respuesta.
  • El informe también se puede encontrar en C:\AdwCleaner\AdwCleaner[C1].txt

3) Descarga CCleaner

  • Instala Ccleaner
  • Abres Ccleaner en la pestaña limpiador dejas como esta configurada predeterminadamente, haces clic en analizar esperas que termine :arrow_forward: clic en ejecutar limpiador
  • Clic en la pestaña Registro :arrow_forward: clic en buscar problemas esperas que termine :arrow_forward: clic en Reparar Seleccionadas y haces una copia de seguridad
  • Vuelves a darle clic en buscar problemas hasta que no encuentre ninguno.

Pega los reportes de Malwarebytes y AdwCleaner y comentas como va el problema.

Un saludo


#3

Hola Daniela,

Muchas gracias por tu ayuda. Aquí van los informes:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 13/1/19
Hora del análisis: 11:42
Archivo de registro: f1033ef6-171f-11e9-8851-00266c66de38.json

-Información del software-
Versión: 3.6.1.2711
Versión de los componentes: 1.0.519
Versión del paquete de actualización: 1.0.8752
Licencia: Prueba

-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x64
Sistema de archivos: NTFS
Usuario: JaviTorr-TOSH\JaviTorr

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 334831
Amenazas detectadas: 4
Amenazas en cuarentena: 4
Tiempo transcurrido: 6 min, 20 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 4
PUP.Optional.DriveTheLife, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\MAIN\FEATURECONTROL\FEATURE_BROWSER_EMULATION|DRIVERTALENT.EXE, En cuarentena, [422], [478671],1.0.8752
PUP.Optional.DriveTheLife, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\FIREWALLRULES|{5A5FC7FB-08FA-4404-B17F-168FF8DEE55C}, En cuarentena, [422], [613270],1.0.8752
PUP.Optional.DriveTheLife, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\FIREWALLRULES|{EDDD1B26-CBAC-4343-9616-65C7344474ED}, En cuarentena, [422], [613270],1.0.8752
PUP.Optional.DriveTheLife, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\SHAREDACCESS\PARAMETERS\FIREWALLPOLICY\FIREWALLRULES|{D03AA8BF-CEAB-4C03-8F1C-E80B17A0B2B4}, En cuarentena, [422], [613270],1.0.8752

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)
# -------------------------------
# Malwarebytes AdwCleaner 7.2.6.0
# -------------------------------
# Build:    12-18-2018
# Database: 2019-01-10.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    01-13-2019
# Duration: 00:00:03
# OS:       Windows 7 Home Premium
# Cleaned:  33
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\Program Files (x86)\OSTotoSoft\DriverTalent
Deleted       C:\ProgramData\DRIVERTALENT
Deleted       C:\ProgramData\Microsoft\Windows\Start Menu\Programs\DRIVER TALENT
Deleted       C:\Program Files (x86)\OSTotoSoft
Deleted       C:\OSTotoFolder
Deleted       C:\Users\JaviTorr\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Ace Stream Media
Deleted       C:\_acestream_cache_
Deleted       C:\Users\JaviTorr\AppData\LocalLow\.acestream
Deleted       C:\Users\JaviTorr\AppData\Roaming\.acestream
Deleted       C:\Users\JaviTorr\AppData\Roaming\acestream
Deleted       C:\Windows\System32\sstmp

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKCU\Software\Classes\acestream
Deleted       HKCU\Software\RegisteredApplications|AceStream
Deleted       HKCU\Software\OSTotoSoft
Deleted       HKLM\Software\Wow6432Node\OSTotoSoft
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\AceStream
Deleted       HKCU\Software\AceStream
Deleted       HKCU\SOFTWARE\Classes\Applications\ace_player.exe
Deleted       HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.tslive
Deleted       HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.acestream
Deleted       HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.acemedia
Deleted       HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.acelive
Deleted       HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{79690976-ED6E-403C-BBBA-F8928B5EDE17}
Deleted       HKLM\Software\Wow6432Node\Classes\CLSID\{79690976-ED6E-403C-BBBA-F8928B5EDE17}
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|UDP Query User{9484CD26-E517-4172-B745-6ED4063522D0}C:\users\javitorr\appdata\roaming\acestream\engine\ace_engine.exe
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|TCP Query User{EBDEDAA3-2D30-42DD-8074-6D5082DA05AB}C:\users\javitorr\appdata\roaming\acestream\engine\ace_engine.exe
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{C4D73AAC-6330-4078-BADA-EB9AEDC2ACE4}
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{0B634F29-4902-4EAA-B673-E16CD90DD9C5}
Deleted       HKCU\Software\Classes\.acestream
Deleted       HKLM\Software\Classes\.acestream
Deleted       HKCU\Software\Classes\.tslive
Deleted       HKCU\Software\Classes\.acemedia
Deleted       HKCU\Software\Classes\.acelive

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [4339 octets] - [13/01/2019 11:58:59]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

He hecho la comprobación y la página concreta que me reenviaba a la versión rusa sigue haciéndolo. Pero al probar con una tablet y un ordenador portátil conectados a la misma WiFi también lo hace. Así que es probable que sea un problema a nivel de router.


#4

Hola

Antes de mandarte a realizar algún paso, dime la página que es para probar a ver si el problema es de la misma web o del router.

Un saludo


#5

Hola, Daniela

Es esta: EDITADO

A mí me redirige a … con dos ordenadores, la tablet y diferentes navegadores en cada dispositivo.

Además, como comenté en el primer post, no es que sea cosa de esta página sólo. Hace tiempo me llamó la atención que Facebook sin login se me mostrase en ruso. Pero fue puntual y lo dejé como lago anecdótico.

Muchas gracias.


#6

Hola

A mi me abre bien la página, no me redirecciona, elimino los enlaces.

Descarga Farbar Recovery Scan Tool.en el escritorio, seleccionando la versión adecuada para la arquitectura(32 o 64bits) de tu equipo. :arrow_forward: ¿Cómo saber si mi Windows es de 32 o 64 bits.?

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Pon los dos reportes generados.

Debes copiarlos y pegarlos con todo su contenido y usaras varios mensajes si recibes un mensaje de error indicando que es muy largo(mas de 50.000 caracteres aprox.).

Un saludo