Últimamente cuando hago búsquedas por google no se indenta bien el texto ya que me aparece el texto pegado a la izquierda de la pantalla (sólo a veces) y esto me hace pensar de un ataque man in the middle que sustituya la página por otra del atacante similar a google con el fin de monitorizar la búsqueda, insertar publicidad y demás. También pudieran interferir los addons de firefox que tengo para evitar el rastreo o la publicidad. El aspecto sería este:
Mira el certificado por si acaso (dándole al candado), pero más que un MiM yo veo un simple error al componer la web, algo no tan raro en Firefox. ¿Te ocurre en otro navegador?
Hola @Pablo
No tengo otro navegador, únicamente que probase con el Internet Explorer que viene de serie con Windows 7, pero está muy antiguo. Acabo de probar cómo se me ve google en Firefox y en este momento se ve bien, sólo pasa a veces… Si piensas que es normal que pase esto con Firefox lo daré por bueno.
En principio sí, me reitero. Si tienes dudas, dale al candado y sube una captura de pantalla a ver el certificado, pero el motor de Firefox digamos que no es lo más fino del mundo, lo que unido al juego sucio de Google pues genera problemas. ¿Te pasa también con otras webs?
Tal vez me ha pasado con otras webs, incluso sin darme mucha cuenta, pero que normalmente se resuelve recargando la pestaña donde se encuentra. En el caso de google creo que no se solucionó al recargar, de ahí la sospecha.
Creo que no me ha vuelto a ocurrir. El motivo de la sospecha es también la confluencia con otros problemas, que podían tener una causa común o no:
De vez en cuando, mientras estoy haciendo lo que sea con el portátil me aparece un pantallazo azul diciendo que el ordenador se apagará en unos segundos para no perder datos y al cabo de la cuenta atrás se pone la pantalla negra y tengo que apagar el portátil a las malas con pulsación prolongada del botón de apagado. Es algo parecido a cuando falla la memoria RAM y hace un volcado de la memoria. Es posible que suceda mientras uso Firefox, teniendo los perfiles almacenados en un pendrive, desde donde lee todos los datos del usuario, pendrive que frecuentemente me solicita windows al meterlo en el puerto que le haga una comprobación con chkdsk, para solucionar problemas de redundancia cíclica u otros problemas lógicos del sistema de archivos. ¿A qué crees que se puede deber esto?. ¿Al pendrive, a una desconexión de la memoria RAM, un malware, otra cosa que no dependa del navegador? ¿Cómo puedo evitar que se me colapse el sistema de semejante manera?
Y otro más es que en Firefox a veces se me quita algún addon de seguridad como el Privacy Badger, el AdBlock Ultimate o Ublock Origin, de forma involuntaria. Y ya no sé si es porque no se encuentran certificados para su uso con nuevas versiones de Firefox o qué es. Por ejemplo, tengo varios perfiles en Firefox y en uno de ellos me funciona perfectamente el Ublock Origin pero en otros se desactiva…
Una vez tuve un secuestrador de navegador y por mucho que le metiera addons y lo configurase para seguridad, se desconfiguraba. De ahí las sospechas, aunque en este momento pienso que puede ser algo relacionado con el funcionamiento del navegador…
IMPORTANTE: NO incluyas el análisis de Rootkits, pues hará al análisis muy muy lento e incluso puede colgar el programa.
IMPORTANTE 2: Para los análisis, conecta las unidades externas que uses y márcalas para analizar si se pide. Así, se desinfectarán también si son vector de infección.
Hecho eso, obtén el informe y pégamelo completo en la siguiente respuesta, de esta forma para su correcta legibilidad:
Para realizar el escaneo con malwarebytes tengo un problema.
Tengo una unidad externa USB a escanear con dos o tres carpetas estropeadas que no se pueden acceder por el sistema. No estoy usando chkdsk para esta unidad ya que hay sectores en que tarda muchísimo al pasarlo. Desconozco si es un error físico o lógico o hay de todo. Normalmente, cuando es un error lógico arreglo eso haciendo copia en otra carpeta del contenido que se puede acceder y el resto lo borro, con la línea de comando, pero con una concretamente puede que sea un error físico y no se pueda hacer así sin marcar los sectores.
Por este problema el Malwarebytes se me va a bloquear cuando intente escanear sobre esas carpetas (creo que entra en bucle al acceder a la lectura por un problema de redundancia cíclica), igual que me pasa con otros programas como los buscadores de archivos. Se me ocurre excluír del acceso las carpetas que conozco que estén mal y probar, ¿se puede hacer eso o se te ocurre alguna solución mejor? ¿Conoces algún programa gratuíto de escaneo que resuelva estos problemas como el chkdsk para Windows 7 pero que permita especificarle una ruta y no una unidad entera como el chkdsk?. Para windows 7 no me deja y como te digo, tarda una eternidad, no es factible…
Resulta que tengo muchísimas pestañas abiertas en la sesión de dos perfiles de Firefox y en la barra de las pestañas me aparecen los iconos identificativos de el contenido de las pestañas además de las primeras letras del título. Pues bien, cuando se pasa el CCleaner borra todos los iconos y no sé cómo evitar esto. Por lo menos desaparecen y no sé si están almacenados en la carpeta del perfil o los captura de otra manera. Los iconos y el título resumido me dan una idea de los contenidos y no quiero perderlos. ¿Sabes cómo evitar eso en CCleaner?. Si no, tal vez no quiera hacer el primer paso que me dices con CCleaner.
Desmarca la casilla de caché del navegador a ver si así se quedan los iconos, pero la verdad, no sé dónde se guardan. De todas formas, si no quieres pasar CCleaner, en principio no debe pasar nada grave. Es algo recomendable pero no imperativo.
Respecto al USB dañado, haz el análisis sin conectarlo. Ya volveremos a él cuando acabemos.
He instalado y ejecutado CCleaner sólo para ver los plugins de navegador que me detecta y me aparecen unos plugins que no son los que tengo instalados en los perfiles que tengo almacenados en el pendrive (que se encontraba conectado) pero sí me detecta otros que no sabía que tenía y están en una carpeta de la unidad del sistema (C:), no en el pendrive, aquí una captura:
También me he salido un poco de tu recomendación instalando y ejecutando ZHPCleaner, que fue el que me detectó el secuestrador de navegador hace tiempo. Detecta dos elementos que no sé para qué sirven o si provienen de algún malware. No hice ninguna limpieza con este software. Aquí el informe:
~ ZHPCleaner v2021.5.6.294 by Nicolas Coolman (2021/05/06)
~ Run by digito (Administrator) (11/05/2021 16:31:41)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version :
~ Certificate ZHPCleaner: Legal
~ Type : Scanner
~ Report : C:\Users\digito\Desktop\ZHPCleaner (S).txt
~ Quarantine : C:\Users\digito\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 7 Ultimate, 64-bit Service Pack 1 (Build 7601)
---\ Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados. (ADS)
---\ Servicios (0)
~ No malintencionados o innecesarios artículos encontrados. (Servicio)
---\ Navegadores de Internet (0)
~ No malintencionados o innecesarios artículos encontrados. (Navegador)
---\ Hosts carpeta (1)
~ El archivo hosts es legítimo (1)
---\ Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados. (Tarea)
---\ Explorador ( Archivos, Carpetas ) (1)
ENCONTRADOS carpeta: \Users\digitouser\AppData\Local\Google\Chrome\User Data\Default\Preferences =>ChromiumPreference
---\ Registro ( Claves, Valores, Datos) (1)
ENCONTRADOS dados: [X64] HKLM\SOFTWARE\Classes\FirefoxHTML-308046B0AF4A39CB\Shell\Open\Command\\Default [Bad : [html] 'C:\Program Files\Mozilla Firefox\firefox.exe' -osint -url '%1'] =>Broken.OpenCommand
---\ Resumen de elementos en su estación de trabajo (2)
https://nicolascoolman.eu/2020/10/01/preferences-navigateurs-chromium/ =>ChromiumPreference
https://nicolascoolman.eu/forum/Topic/repaquetage-et-infection/ =>Broken.OpenCommand
---\ Resultado de la reparación.
~ ninguna reparación hecha
~ Mozilla Firefox OK
~ Internet Explorer OK
---\ STATISTIQUES
~ Items escaneado : 75002
~ Items encontrado : 2
~ artículos cancelados : 0
~ Ahorro de espacio (bytes) : 0
~ Items opciones : 9/17
---\ OPCIONES NO ACTIVAS
~ Análisis temporal de archivos
~ Análisis temporal de carpetas
~ Análisis de CLSID de carpetas vacías
~ Vaciar otro análisis de carpetas
~ Análisis de carpetas locales vacías
~ Análisis de archivos de instalación obsoleto
~ Iniciar navegadores con extensiones eliminadas
~ End of search in 00h57mn39s
---\ Reporte (3)
ZHPCleaner-[R]-14082019-17_52_36.txt
ZHPCleaner-[S]-14082019-17_47_43.txt
ZHPCleaner-[S]-11052021-17_29_20.txt
Todavía no he pasado el malwarebytes, cuando lo haya hecho te pongo el informe.
¿Qué me puedes decir de los plugins?¿Son legítimos todos? ¿y es legítimo que me los use/guarde en la unidad del sistema aunque yo lo haya configurado para USB?
Sobre ZHPCleaner, ¿eso que me detecta no es nada perjudicial?
Aquí te dejo el informe de Malwarebytes. Detecta 2 amenazas que son dos archivos de instalación de M FILE ANTI-COPY (un bloqueador del portapapeles) y PROCESSHACKER-2.39-SETUP.EXE (un administrador de tareas). Como son programas que actúan sobre el sistema, puede que las haya tomado por malware pero tal vez sean falsas alarmas. De todas maneras los ejecutables de los ya instalados no saltan…Los puse en cuarentena pero estos dos archivos también los tengo en la unidad externa USB como copia de seguridad, creo que los borraré…
Malwarebytes
www.malwarebytes.com
-Detalles del registro-
Fecha del análisis: 11/5/21
Hora del análisis: 18:24
Archivo de registro: 5cca1ba8-b275-11eb-b848-001cc4c7c3b7.json
-Información del software-
Versión: 4.3.3.116
Versión de los componentes: 1.0.1292
Versión del paquete de actualización: 1.0.40330
Licencia: Prueba
-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x64
Sistema de archivos: NTFS
Usuario: digito-PC\digitouser
-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 556549
Amenazas detectadas: 2
Amenazas en cuarentena: 2
Tiempo transcurrido: 3 hr, 51 min, 42 seg
-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar
-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)
Módulo: 0
(No hay elementos maliciosos detectados)
Clave del registro: 0
(No hay elementos maliciosos detectados)
Valor del registro: 0
(No hay elementos maliciosos detectados)
Datos del registro: 0
(No hay elementos maliciosos detectados)
Secuencia de datos: 0
(No hay elementos maliciosos detectados)
Carpeta: 0
(No hay elementos maliciosos detectados)
Archivo: 2
Malware.AI.4286175828, D:\DESCARGAS\LIBROS DESDE 27 DE NOVIEMBRE DE 2019\M-FILE ANTI-COPY STOPPER Y PREVENT\M-FILE ANTI-COPY\M FILE ANTI-COPY 4.0.EXE, En cuarentena, 1000000, 0, 1.0.40330, BD7A45E88A3DAF43FF79DA54, dds, 01240582, A9277606069A71AA2C1C28EE8746D56B, D574E4F1989DEF9DCB4B6D5D6D01A136C946D6C63079F4052BAF1222300AFB31
Malware.AI.4294075995, D:\PROGRAMAS\PROCESS HACKER 2\FICHERO INSTALACION\PROCESSHACKER-2.39-SETUP.EXE, En cuarentena, 1000000, 0, 1.0.40330, 71B889FE493EA072FFF2665B, dds, 01240582, 54DAAD58CCE5003BEE58B28A4F465F49, 28042DD4A92A0033B8F1D419B9E989C5B8E32D1D2D881F5C8251D58CE35B9063
Sector físico: 0
(No hay elementos maliciosos detectados)
WMI: 0
(No hay elementos maliciosos detectados)
(end)
Veo que MBAM ha detectado y enviado a cuerantena dos amenzas. De momento, te pido que esperes un poco, estoy recopilando alguna información sobre los argumentos con los que se te lanza Firefox y sobre esas amenazas. En cuanto la tenga, te informo como proceder.
Saludos.
PD: Estoy en una época horrible, donde llevo por delante mucho más de lo que puedo. Por tanto, pido perdón si alguna vez tardo en responder.
Hola. No me gusta mucho el informe de ZHPCleaner… parece que el ejecutable de Firefox puede no ser legítimo, ¿De dónde lo descargaste?
Vamos a pasar AdwCleaner, sigue su manual:
Cuando termines y tengas todo lo detectado en cuarentena , sube aquí el informe, obteniéndolo como se indica en el penúltimo punto del propio manual y subiéndolo como has hecho con el de ZHP.
He pasado el AdwCleaner y no me detecta nada, con lo que no puse nada en cuarentena. Más abajo está el informe. Ahora el navegador me ha quitado el addon decentraleyes a causa aparentemente de no estar verificado para su uso con firefox lo cual es extraño ya que está recomendado en la página oficial de addons de mozilla. Ya me lo hizo otras veces con otros y al reinstalarlos me funcionaron igual, me lo hace periódicamente. Aquí la captura:
No encuentro en google de un primer vistazo qué significan esos parámetros con los que se abre firefox, con lo que no tengo ni idea de si provienen de un malware ni si tienen que ver con que tenga varios perfiles de usuario en el navegador y al arrancarlo me aparezca la pantalla de selección de los mismos… Aquí el informe de AdwCleaner:
El navegador me lo bajé hace tiempo de la página oficial de Mozilla y se actualiza de forma automática en segundo plano.
Los addons me ayudan a tener una navegación más segura que a veces no se puede conseguir con los antivirus por lo que me resultan imprescindibles, por eso esto es una lata…
Hace un tiempo escribí en el foro por algún problema y me recomendaron ejecutar Combofix según unas instrucciones pero el programa no se ejecutó correctamente y no se pudo hacer el análisis. Es más efectivo contra algunos malware que las herramientas convencionales y siempre me quedó la duda de si algún malware me estaba impidiendo ejecutar Combofix para no ser detectado. Aquí está el enlace con explicaciones y capturas:
No sé si será conveniente utilizar algún programa avanzado de ese tipo u otros que manejáis en el foro. Yo conocía ZHPCleaner por otra consulta.
Varias cosas: te sobran extensiones por un tubo. Con uBlock Origin y el propio bloqueo de FF puedes bloquear prácticamente todos los rastreadores, ¿las otras para qué?
Por otro lado, te repito, esta línea no me gusta un pelo. Parece un ejecutable modificado y recompilado o algo así:
¿Qué ocurre si al leer del usb externo con fallos de CRC o incluso algún sector dañado en algunos archivos me entra en bucles de lectura / no avanza el proceso de detección?. Con otros programas como de descarga o búsqueda de ficheros me ha pasado. Algunos errores los conozco y puedo probar a excluír esos archivos de la detección, si es que se puede configurar en el ESET Online Scanner qué va a escanear.
