Creo que hackearon mi email y mi pc

Sebamaster · 8 Noviembre, 2018 03:47

Hola Recien ahora leo un mail que me había llegado el lunes en el correo no deseado, curiosamente era desde mi mismo email, como estoy acostumbrado a que me intenten estafar con pishing por email siempre me fijo en el email más que en el nombre pero solo me muestra el email… les dejo dos screenshots del email con su contenido

[Album] Imgur

En el texto dice que la contraseña que ponen ahí (que la tape) es la de mi email pero no es asi, de hecho esa es una contraseña de las mas randoms que he usado y ya no me acuerdo en que sitios la use pero solo la use en los sitios menos seguros hace mucho tiempo. En el texto dice de que me grabo la cam mientras estaba en paginas para adultos pero yo no tengo cam xD. Y también dice que la proxima vez tenga cuidado en que sitios pongo mi contraseña, yo suelo ser muy cuidadoso con eso, siempre me fijo en la url antes de logear y que sea una conexión segura(el candadito). Por eso hasta el momento no me estaba preocupando mas allá de que parecía ser mi email pensé que era algún tipo de suplantación de identidad de mi email, por lo cual procedo a denunciarlo y a bloquearlo, pero al bloquearlo me tira error, si no me equivoco el error se refiere a que no me puedo bloquear a mi mismo, entonces de verdad me lo envio desde mi propia cuenta? entonces pudo acceder a mi cuenta? El error del bloqueo:

[Album] Imgur

Ahora lo que mas me preocupo es que luego de esto le vuelvo dar al boton de “no deseado” y me tira un pop up en una pestaña abriendome una pagina de juegos porno… eso nunca me habia pasado y lo mas raro es que paso desde la pagina de outlook, se me pudo haber infectado el pc luego de abrir el mail? no entre a ningún enlace dentro de este (como se ve en la imagen no hay ninguno). Y también de vez en cuando me ha pasado en otras paginas que me tire un pop up llevandome a la pagina de google.com… eso es muy raro. Hice un analisis con el malwarebytes premium, con avast, y adwcleaner. Malwarebytes no encontro nada, el awdcleaner si encontro algo.Por lo menos de momento no se ha vuelto a repetir lo del pop up de la página porno. Acabo de cambiar la contra del email y activar la verificacion de dos pasos, pero en el email dice que me lo infecto y que no importa que cambie la contraseña porque la volvera a conseguir, y que si no pago 900$ en las 48 horas va a activar el supuesto ransomware que hay en mi pc. Me pueden ayudar porfavor?

Miguelgrado · 8 Noviembre, 2018 06:36

Hola

Lo de recibir correos que aparentemente son de nuestro propio email, es muy común.

Lo del contenido, es genérico…lo de la cámara etc…si se pica pues bueno…lo mandan a listas enteras de emails

Realiza los siguientes pasos, , sin cambiar el orden

1) Descarga, actualiza y ejecuta Malwarebytes’ Anti-Malware,

Manual Malwarebytes, para que sepas usarlo y configurarlo.

Realiza un Análisis Personalizado,marcando Todas las casillas de la derecha y de la Izquierda actualizando si te lo pide.
Pulsar en “Eliminar Seleccionados” para enviarlo a la cuarentena y Reinicias el sistema.
Para acceder posteriormente al informe del análisis : Informes >> Registro de análisis >> Pulsar en >> Exportar >> Copiar al Portapapeles, y lo pegas en tu respuesta

2) Descarga Adwcleaner en el escritorio.

Desactiva tu antivirus Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad.
Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador.")
Pulsar en el botón Analizar Ahora, y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Iniciar Reparacion.
Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas.
Si no encuentra nada, pulsamos “Omitir Reparación”
El log lo encontramos en la pestaña “Informes”, volviendo a abrir el programa, si es necesario o en"C:\AdwCleaner\Logs\AdwCleaner[C0].txt"

Puedes mirar su manual >> Manual de Adwcleaner

3) Descarga Ccleaner

Instalalo y ejecútalo. En la pestaña limpiador dejas como esta configurada predeterminadamente, haces clic en analizar esperas que termine > clic en ejecutar limpiador. Clic en la pestaña Registro > clic en buscar problemas esperas que termine > clic en Reparar Seleccionadas y haces una copia de seguridad.

Pega los reportes de Malwarebytes, AdwCleaner y comentas como va el problema.

Sebamaster · 8 Noviembre, 2018 23:47

Hola. Realice el analisis de malwarebytes personalizado como dijiste y como te comente en el post anterior no encontro nada, aunque en esta vez seleccione todos las unidades y rootkit. Lo que encontro Fue 3 archivos .rar que no abro hace mucho tiempo y no creo que tenga virus Y otros 2 que eran de cheatengine, un programa para cambiar cifras de un juego offline

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 8/11/18
Hora del análisis: 18:06
Archivo de registro: 1958ada0-e39a-11e8-b0bb-74d435b0ec28.json

-Información del software-
Versión: 3.6.1.2711
Versión de los componentes: 1.0.482
Versión del paquete de actualización: 1.0.7753
Licencia: Premium

-Información del sistema-
SO: Windows 10 (Build 17134.286)
CPU: x64
Sistema de archivos: NTFS
Usuario: FX\ezequ

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 773648
Amenazas detectadas: 5
Amenazas en cuarentena: 2
Tiempo transcurrido: 2 hr, 18 min, 30 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 5
RiskWare.DontStealOurSoftware, C:\USERS\EZEQU\APPDATA\ROAMING\Microsoft\Windows\Recent\CRACK (1) malwarebts.lnk, Sin acciones por parte del usuario, [5328], [278514],1.0.7753
RiskWare.DontStealOurSoftware, D:\DISCO D\DESKTOP\¡JUEGOS!MAS\.JUEGOS.       MAS\VARIOS\CRACK (1) MALWAREBTS.RAR, Sin acciones por parte del usuario, [5328], [278514],1.0.7753
PUP.Optional.GameHack, E:\USUARIO\ESCRITORIO\VARIOS\CHEAT ENGINE\CHEAT ENGINE 6.7\STANDALONEPHASE1.DAT, Se eliminará al reiniciar, [8045], [393793],1.0.7753
PUP.Optional.InstallCore, E:\USUARIO\ESCRITORIO\VARIOS\CHEAT ENGINE\CHEATENGINE67.EXE, Se eliminará al reiniciar, [406], [500846],1.0.7753
RiskWare.DontStealOurSoftware, E:\USUARIO\ESCRITORIO\VARIOS\CRACK (1) MALWAREBTS.RAR, Sin acciones por parte del usuario, [5328], [278514],1.0.7753

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

El adwcleanner como te dije en el post de arriba ya lo use, ahora lo pase y no encontro nada pero te dejo el log de ayer que si encontro algo:

# -------------------------------
# Malwarebytes AdwCleaner 7.2.4.0
# -------------------------------
# Build:    09-25-2018
# Database: 2018-11-05.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    11-07-2018
# Duration: 00:00:02
# OS:       Windows 10 Pro
# Cleaned:  13
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\Users\Public\Documents\Downloaded Installers
Deleted       C:\Users\ezequ\AppData\Local\slimware utilities inc

***** [ Files ] *****

Deleted       C:\Windows\System32\drivers\swdumon.sys

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKLM\Software\Wow6432Node\SlimWare Utilities Inc

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

Deleted       AVG Secure Search
Deleted       Citizens Wiki (en-gb)
Deleted       Softonic ES
Deleted       Softonic ES
Deleted       Softonic ES
Deleted       Softonic ES
Deleted       Softonic ES
Deleted       Softonic ES
Deleted       Softonic ES

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1863 octets] - [07/11/2018 21:16:34]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########


EL 2DO

# -------------------------------
# Malwarebytes AdwCleaner 7.2.4.0
# -------------------------------
# Build:    09-25-2018
# Database: 2018-11-05.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    11-07-2018
# Duration: 00:00:10
# OS:       Windows 10 Pro
# Scanned:  32052
# Detected: 13


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

PUP.Optional.Legacy             C:\Users\Public\Documents\Downloaded Installers
PUP.Optional.SlimCleanerPlus    C:\Users\ezequ\AppData\Local\slimware utilities inc

***** [ Files ] *****

PUP.Optional.Legacy             C:\Windows\System32\drivers\swdumon.sys

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.SlimCleanerPlus    HKLM\Software\Wow6432Node\SlimWare Utilities Inc

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

PUP.Optional.Legacy             AVG Secure Search
PUP.Optional.SafeFinder         Citizens Wiki (en-gb)
PUP.Optional.SofTonicAssistant  Softonic ES
PUP.Optional.SofTonicAssistant  Softonic ES
PUP.Optional.SofTonicAssistant  Softonic ES
PUP.Optional.SofTonicAssistant  Softonic ES
PUP.Optional.SofTonicAssistant  Softonic ES
PUP.Optional.SofTonicAssistant  Softonic ES
PUP.Optional.SofTonicAssistant  Softonic ES

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########

Y tambien utilice ccleanner antes de crear el post igual que como me lo comentaste ahi Algo bastante grave que me ocurre es que en algunas paginas me tira un pop up a una pagina que me termina redirigiendo a la misma, me ha pasado en outlook aprox 2 veces y en una pagina de apustas de csgo, un amigo usa la misma pagina nunca le tiro ningun pop up, ademas yo tengo adblock. El pop up me abre una pestaña de la de la misma pagina en la que estoy navegando y otra que me redirige a una pagina en blanco por unos segundos y luego de nuevo a la pagina en la que estaba, te dejo una screenshot de la pagina a la cual me redirige antes de volverme a mandar en la pagina en al que estaba antes:

https://imgur.com/a/ihCwYoD

Por cierto, podrian por favor borrar la primera imagen del primer post?. Ahora no me deja editarlo y me olvide de tapar el email en el texto. Gracias.

Miguelgrado · 9 Noviembre, 2018 06:07

Desactiva Temporalmente tu antivirus y cualquier programa de seguridad.
Descarga a Tu Escritorio >> Esto es muy importante<<.,Fabar Recovery Scan Tool, considerando la versión adecuada para tu equipo. (32 o 64 bits) ¿Cómo saber si mi Windows es de 32 o 64 bits?
Doble clic para ejecutar Frst.exe. En la ventana del Disclaimer, presiona Yes.
En la nueva ventana que se abre, presiona el botón Scan y espera a que concluya el análisis.
Se abrirán dos (2) archivos (Logs), Frst.txt y Addition.txt, que estarán grabados en Tu escritorio.

En Tu próxima respuesta, copias y pegas los dos reportes Frst.txt y Addition.txt de FRST

Nota: Si el/los reportes solicitados no entraran en una sola respuesta porque superan la cantidad de caracteres permitidos, puedes utilizar dos o mas respuestas para pegarlos completamente.

Sebamaster · 9 Noviembre, 2018 14:47

Buenas, vuelvo a mencionar si por favor pueden eliminar la primera foto de todo el post ya que en una parte me olvide de tapar el email. Y no puedo responder con el log de Frst porque la web me tira el sigiente error: “Lo sentimos, pero los usuarios nuevos solo pueden mencionar a 2 usuarios en un post.” Una duda: ¿no es peligroso que los logs lo puedan ver todos?, quiero decir yo confio en los miembros del foro, pero como puede ver el post cualquier persona de internet y los logs tienen muchos datos de mi pc, no es peligroso? Gracias.

Miguelgrado · 9 Noviembre, 2018 16:46

Hola

La foto ya esta eliminada.

Los logs que pedimos, que generan los programas y herramientas que usamos, no muestran ninguna información privada o que pueda ser usada por nadie para nada en absoluto.

Debes poner las etiquetas como se indica , antes del texto y al final…pones [code] y debajo ( no al lado) pegas el log.

Al final, pones la otra etiqueta [/code], debajo…eso en cada respuesta que uses

Si tienes problemas, adjuntar los usando el símbolo de flecha para arriba

Miguelgrado · 9 Noviembre, 2018 21:35

oK, en cuanto lo revise todo, te pondre respuesta…( sera mañana ya)

Miguelgrado · 10 Noviembre, 2018 09:41

Primero, cortas y pegas, Frst.exe, en el Escritorio, que es donde se indicaba claramente que habia que ponerlo y ejecutarlo

Bien… y ahora sigue estos pasos, MUY Importante ~ Realiza una copia de seguridad del registro :

Para hacerlo descarga Delfix en tu escritorio.
Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona "Ejecutar como Administrador.")
Atención, ahora marca/selecciona únicamente la casilla "Create registry backup", las demás NO
Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

En el equipo con los demas programas cerrados:

Inicio >>> Ejecutar >>>Escribes notepad.exe.

Ahora copia y pega estos archivos dentro del Notepad:


Start
CreateRestorePoint:
CloseProcesses:

IFEO\adobe extension manager cs6.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\extendscript toolkit.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\gyazogif.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\gyazowin.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\gystation.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\memuconsole.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\origin.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\switchboard.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
IFEO\uninstall.exe: [Debugger] "C:\Program Files (x86)\AVAST Software\Avast Cleanup\autoreactivator.exe"
S3 SWDUMon; \SystemRoot\system32\DRIVERS\SWDUMon.sys [X]
2018-11-05 00:37 - 2018-11-05 00:37 - 000000000 ____D C:\Users\ezequ\AppData\LocalLow\Klei
2018-10-27 01:16 - 2018-10-27 01:16 - 000000000 ____D C:\Users\ezequ\AppData\Local\76561198108619134
2018-11-05 01:16 - 2018-11-05 01:16 - 000492544 _____ () C:\Users\ezequ\AppData\Local\Temp\s3.exe
ShortcutWithArgument: C:\Users\ezequ\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Aplicaciones de Chrome\TwitchAlerts Stream Labels.lnk -> C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google Inc.) ->  --profile-directory=Default --app-id=kgmggmdngboajiakmbpdknfpdelbjbcg
AlternateDataStreams: C:\Users\ezequ\Datos de programa:00e481b5e22dbe1f649fcddd505d3eb7 [0]
AlternateDataStreams: C:\Users\ezequ\AppData\Roaming:00e481b5e22dbe1f649fcddd505d3eb7 [0]
AlternateDataStreams: C:\Users\Public\AppData:CSM [470]

HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
END

Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.<<

Nota: Es importante que la Hta Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no no trabajara.

Y ahora usa esta Faq de Windows ¿Cómo iniciar Windows en Modo Seguro?, para trabajar desde ese modo de windows.
Ejecutas Frst.exe.
Presionas el botón Fix y aguardas a que termine.
La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).

Lo pegas en tu próxima respuesta, comentado como va el problema