Hice missclick en una historia de facebook

Buenas tardes, disculpen, tengo una duda Ahorita estaba viendo historias de facebook, le hice clic a una que era de anime xd me abrió una página que se redireccionó a otra y se cerró instanteamente, esto fue en pc Ahora me da cosa porque no sé si capaz me robaron datos o algo, tengo el malwarebytes y ublock de extensión activados y no vi que bloquearan algo. Me da cosa que me roben el facebook, aunque lo tengo con autenticación de 2 pasos, que debería de hacer? Este link fue al que me redireccionó

No sé si sirva de algo, pero lo analicé con virustotal el link que me redirigió y salió esto

2 Me gusta

Hola buenas @Seniorbrayan por favor coméntame acerca de este tema en el que te atendí en su momento y ya no me dijiste nada más. Es este: ¿Es real este mensaje? - nº 5 por MIXU

Salu2.

Hola buenas nuevamente @Seniorbrayan

Con lo que te he comentado en el otro tema. Cerraré el otro cuando tú me autorices a ello y he abierto este nuevamente.

Ok. Bueno por las imágenes que veo no tiene buena pinta y si puede que te hayan robado algo. Yo lo que haría es en primer lugar cerrar todas las sesiones iniciadas de cuentas en la máquina infectada, cambiar todas las contraseñas de absolutamente todas tus cuentas y renovar todos los 2FA de todas las cuentas y activarlos en las que no tuvieras activado el 2FA (haciéndolo desde una máquina limpia de malware). Ya que si no…, no servirá de nada.

Después seguidamente desinfectar la máquina (en caso de que haya malware), que no lo sabemos, pero puede que sí lo haya.

:one: EN BUSCA / ELIMINACIÓN DE MALWARE

(Mantén conectados todos tus dispositivos externos que tengas como: USBs, discos duros externos, etc).

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden, los pasos con todos los programas cerrados, incluidos los navegadores.

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas y discos duros externos si también tienes.

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

0) Descarga Ccleaner Aquí te dejo su manual: Manual de CCleaner , para que sepas como usarlo y configurarlo correctamente.

Lo instalas y lo ejecutas. En la pestaña Limpieza personalizada dejas la configuración predeterminada. Haces clic en Analizar y esperas a que termine. Seguidamente, haz clic en Ejecutar Limpiador. Clic en la pestaña Registro > clic en Buscar Problemas esperas que termine. Finalmente, clic en Reparar Seleccionadas y realizas una Copia de Seguridad del registro de Windows.

1) Descarga, instala, actualiza y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente.

  • Realizas un Análisis Personalizado, marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:

1. Analizar objetos en memoria

2. Analizar configuracion de inicio y registro

3. Analizar dentro de los archivos

  • Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
  • Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

2) Descarga Adwcleaner en el escritorio.

  • Desactiva tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
  • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
  • Pulsar en el botón Analizar Ahora, y espera a que se termine el análisis. Inmediatamente, pulsa sobre el botón Iniciar Reparación.
  • Espera a que termine y sigue las instrucciones que te aparezcan. Si te pidiera Reiniciar, pues reinicias el ordenador pulsando en Aceptar.
  • Si no encuentra nada, pulsa en Omitir Reparación.
  • El log lo encontrarás en la pestaña Informes, volviendo a abrir el programa, si es necesario o en la siguiente ubicación: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
  • Para más información aquí te dejo su manual: Manual de Adwcleaner.
  • Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

3) Utiliza nuevamente CCleaner tal como te dije en el punto 0.

Pegas los reportes de Malwarebytes y AdwCleaner y comentas como va el problema inicial planteado por el cual abriste este tema. También responde a las preguntas que te haya realizado a lo largo de este Post, siempre que te haya hecho alguna, si no, no

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

Buenas noches, mil gracias de verdad por la ayuda :'D! Estaría bien si el otro hilo se cierra, porfa

Por otro lado, estos son los reportes:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 16/5/2024
Hora del análisis: 19:42
Archivo de registro: 1a3b34fc-13f7-11ef-94e8-04d4c4dd5f37.json

-Información del software-
Versión: 5.1.4.112
Versión de los componentes: 1.0.1233
Versión del paquete de actualización: 1.0.84775
Licencia: Versión de prueba

-Información del sistema-
SO: Windows 10 (Build 19045.4291)
CPU: x64
Sistema de archivos: NTFS
Usuario: DESKTOP-P1GGTKM\Monan

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 521689
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: STRING-NOT-ADDED

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Este es del AdwCleaner

# -------------------------------
# Malwarebytes AdwCleaner 8.4.2.0
# -------------------------------
# Build:    03-04-2024
# Database: 2024-03-04.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    05-16-2024
# Duration: 00:00:00
# OS:       Windows 10 (Build 19045.4291)
# Cleaned:  0
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1420 octets] - [16/05/2024 21:09:31]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Esto pasó el día que abrí el hilo, por tonto apenas actué en la noche, cambiándole de contraseña a todos las cuentas importantes. Al día siguiente de eso, cerré sesiones de todo lo que podía cerrar, también deshabilité mi cuenta de facebook e instagram por si acaso

En outlook y en gmail he estado revisando constantemente por si no encuentro alguna sesión activa en estos, pero nunca he encontrado alguna más que la de mi teléfono

Ya casi todo lo he cambiado a otro correo, sólo me falta el Facebook e Instagram, que siguen estando deshabilitadas, porque buscando, creo que usaron algo sobre GraphApi de mi cuenta de facebook (por el url de las capturas) y tal vez tengan esos datos actualmente. Tengo la mini esperanza que con la cuenta deshabilitada, en algún momento expire la cookie o algo y ya no le sirva de nada, no sé si eso pueda funcionar

Por otro lado, tenía la duda sobre eso, si cierro las sesiones que tenía de mi computadora, eso haría inútil que tenga estas sesiones el atacante porque debería de ahora poner el correo/user y contraseña? o eso no funcionaría?

Una disculpa las tonterías y mil gracias de verdad por la ayuda y por su tiempo

1 me gusta

Hola buenas @Seniorbrayan

De nada. Ok voy a cerrarlo… Cerrado.

Todo lo que has ejecutado lo has hecho correctamente y, pero NO se han detectado malwares, de momento. Pero aún no hemos acabado. Sigamos pues…

Ok.

Ok.

Bueno depende. Yo si fuese tú contactaría con soporte de Facebook y cuéntales lo sucedido, haber que te dicen/ofrecen.

Sí, en principio, sí que funcionaría y ya no las tendría operativas y tendría que poner user + pass para poder entrar, en principio. Pero mejor hacer lo que ya hemos comentado.

OK, de nada.

Sigamos pues…

:one: EN BUSCA / ELIMINACIÓN DE MALWARE

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, USB, etc). Inicias el ordenador en Modo Normal.

0) Descarga Eset Online Scaner Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y realizas un Análisis Personalizado tal y como se indica en su manual. Me traes su reporte.

1) Descarga Kasperky Virus Removal Tool Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y lo realizas tal y como se indica en su manual. En este caso no da reporte alguno, cuando finalice, presionas en la pestaña Report tal y como se indica en su manual y haces una captura de pantalla y la subes.

¿Como subir imágenes al Foro?

:two: PRÓXIMA RESPUESTA

Pegas los reportes de Eset Online Scaner y Kasperky Virus Removal Tool (captura) y comentas como va el PC.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

Buenas noches :'D muchas gracias por la ayuda!

Este es el reporte de eset

17/05/2024 16:42:53 p. m.
Archivos explorados: 412511
Archivos detectados: 1
Archivos desinfectados: 1
Tiempo total de exploración 00:29:36
Estado de la exploración: Finalizado
C:\laragon\bin\ngrok\ngrok.exe	a variant of WinGo/Ngrok.C potentially unsafe application	cleaned by deleting


Y estas son del kapersky

1

3

Muchas gracias! En todo tengo 2fa, pero voy a renovarlos hoy en donde pueda :'D! En un ratito también voy a mandar un ticket a facebook, mil gracias!

Hola buenas @Seniorbrayan

De nada.

Ok. Todo correcto.

Ok. Todo correcto. Las que dice Proccessing Error no tienen mayor importancia. No son infecciones.

Por todo lo que veo tu máquina está bastante limpia. Llegados a este punto y visto lo visto, no creo que haya alguna infección crítica. Pero sigamos… pues…

0) Descarga, instala y ejecuta ZHP Cleaner siguiendo su manual, lo descargas, instalas y ejecutas. Cuando termine, elimina todo lo que encuentre.

:one: RESTABLECER NAVEGADORES

Restablece todos los navegadores que tengas tal y como se indica en esta guía:

OJO, REALIZA SOLO LA PARTE QUE EMPIEZA EN: PUP/Adware en: Internet Explorer y hacia abajo todos los posts que siguen (PUP/Adware en: Mozilla Firefox, PUP/Adware en: Google Chrome) y si tienes algún navegador como Opera o Safari que no salen en la guía, pues haz procedimientos similares y extrapolas de los navegadores que sí que aparecen.

Guía de cómo eliminar Adwares/PUPs

:two: PRÓXIMA RESPUESTA

Me traes el log de: ZHP Cleaner y respondes a las preguntas que te haya realizado (si no hay, pues no) y comentas como va el PC.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

Buenas tardes :'D muchas gracias por la ayuda!

Este es el reporte de Zhp Cleaner:

~ ZHPCleaner v2024.5.17.16 by Nicolas Coolman (2024/05/17)
~ Run by Monan (Administrator)  (18/05/2024 12:20:33)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Reparar
~ Report : C:\Users\Monan\Desktop\ZHPCleaner (R).txt
~ Quarantine : C:\Users\Monan\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point : OK
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Home, 64-bit  (Build 19045)


---\\  Alternate Data Stream (ADS). (2)
MOVIDO carpeta ADS: C:\Users\Monan\Downloads\MinecraftInstaller.exe:MBAM.Zone.Identifier  =>.SUP.FileADS
MOVIDO carpeta ADS: C:\Users\Monan\Documents\Deceive.exe:MBAM.Zone.Identifier  =>.SUP.FileADS


---\\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Navegadores de Internet (0)


---\\  Hosts carpeta (1)
~ El archivo hosts es legítimo (23)


---\\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Explorador ( Archivos, Carpetas ) (10)
MOVIDO carpeta: C:\Users\Monan\AppData\Local\Google\Chrome\User Data\Default\History    =>.SUP.BrowserHistoric
MOVIDO carpeta^: C:\Users\Monan\AppData\Local\Microsoft\Edge\User Data\Default\History    =>.SUP.BrowserHistoric
MOVIDO carpeta: C:\Users\Monan\AppData\Local\Google\Chrome\User Data\Default\Preferences    =>Préférences Chromium
MOVIDO carpeta: C:\Users\Monan\AppData\Local\Microsoft\Edge\User Data\Default\Preferences    =>Préférences Chromium
MOVIDO carpeta: C:\Users\Monan\Downloads\xaero-map-spigot-1.0.0.jar    =>PUP.Optional.Dealio
MOVIDO archivo: C:\Users\Monan\AppData\Local\Google\Chrome\User Data\Default\Cache\Cache_Data  =>.SUP.BrowserCache
MOVIDO archivo^: C:\Users\Monan\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data  =>.SUP.BrowserCache
MOVIDO archivo: C:\Users\Monan\AppData\Local\Mozilla\Firefox\Profiles\31d1ectj.default\Cache2  =>.SUP.BrowserCache
MOVIDO archivo: C:\Users\Monan\AppData\Local\Mozilla\Firefox\Profiles\1jwbrvos.dev-edition-default\Cache2  =>.SUP.BrowserCache
MOVIDO archivo: C:\Users\Monan\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Discord Inc  =>.SUP.Discord


---\\  Registro ( Claves, Valores, Datos) (9)
BORRADOS dados: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{f29bb449-ffd6-4995-8d72-ece13fb13b8a}\\DhcpNameServer [Bad : 200.52.162.137 189.194.28.50 200.52.160.200]  =>Hijacker.Browser
BORRADOS dados: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\\DhcpNameServer [Bad : 200.52.162.137 189.194.28.50 200.52.160.200]  =>Hijacker.Browser
BORRADOS clave*: HKEY_USERS\S-1-5-21-2995243829-810754211-974234275-1001\SOFTWARE\Discord []  =>.SUP.Discord
BORRADOS clave*: HKEY_USERS\S-1-5-21-2995243829-810754211-974234275-1001\SOFTWARE\Classes\Discord [URL:Discord Protocol]  =>.SUP.Discord
BORRADOS clave**: HKCU\Software\Discord []  =>.SUP.Discord
BORRADOS clave*: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Discord [Discord Inc.]  =>.SUP.Discord
BORRADOS clave*: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0DA82AE53ED2C2A119F480B44091A8BD [C:\Program Files\ASUS\ARMOURY CRATE Service\UninstallToolPlugin\dll\ServiceUninstall.dll]  =>PUP.Optional.ToolPlugin
BORRADOS clave*: [X64] HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2} [ASUSTeK Computer Inc.]  =>Heuristic.Suspect
BORRADOS valor: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\Discord ["C:\Users\Monan\AppData\Local\Discord\Update.exe" ]  =>.SUP.Discord


---\\  Resumen de elementos en su estación de trabajo (9)
https://nicolascoolman.eu/2018/01/04/ads-alternate-data-stream/  =>.SUP.FileADS
https://nicolascoolman.eu/2023/07/18/les-caches-et-historiques-de-navigateurs/  =>.SUP.BrowserHistoric
https://nicolascoolman.eu/forum/Topic/repaquetage-et-infection/  =>Préférences Chromium
https://nicolascoolman.eu/forum/Topic/dealio-logiciel-potentiellement-indesirable-pup-lpi/  =>PUP.Optional.Dealio
https://nicolascoolman.eu/2023/07/18/les-caches-et-historiques-de-navigateurs/  =>.SUP.BrowserCache
https://nicolascoolman.eu/forum/Topic/Discord-logiciel-potentiellement-superflu-lps/  =>.SUP.Discord
https://nicolascoolman.eu/2017/11/10/hijacker-browser-3/  =>Hijacker.Browser
https://nicolascoolman.eu/forum/Topic/repaquetage-et-infection/  =>PUP.Optional.ToolPlugin
https://nicolascoolman.eu/2017/01/28/heuristic-suspect/  =>Heuristic.Suspect


---\\ Limpieza adicional. (7)
~ Clave de registro Tracing borrados (7)
~ Quitar los antiguos informes de ZHPCleaner. (0)


---\\ Resultado de la reparación.
~ Reparación llevada a cabo con éxito
~ Google Chrome OK
~ Microsoft Edge OK
~ Mozilla Firefox OK
~ Microsoft Internet Explorer OK
~ El sistema ha sido reiniciado.


---\\ STATISTIQUES
~ Items escaneado : 1444
~ Items encontrado : 0
~ artículos cancelados : 0
~ Ahorro de espacio (bytes) : 0
~ Items opciones : 10/18


---\\ OPCIONES NO ACTIVAS
~ Análisis temporal de archivos
~ Análisis temporal de carpetas
~ Análisis de CLSID de carpetas vacías
~ Vaciar otro análisis de carpetas
~ Análisis de carpetas locales vacías
~ Análisis de carpetas locales vacías
~ Análisis de archivos de instalación obsoleto
~ Iniciar navegadores con extensiones eliminadas





~ End of clean in 00h00mn50s

---\\  Reporte (2)
ZHPCleaner-[S]-18052024-12_17_14.txt
ZHPCleaner-[R]-18052024-12_21_23.txt

Debería de eliminarlos de la cuarentena? Disculpe las molestias y muchas gracias por todo de verdad!

1 me gusta

Hola buenas @Seniorbrayan

De nada.

Ok. Ha hecho lo que tenía que hacer. No hay nada crítico o muy destacable.

No, déjalos en la Cuarentena, si no vigilas y los restauras “volverán a la vida”. Si los eliminas, ojo no restaurar, pues también está bien. Pero déjalos en la Cuarentena mejor, después ya nos encargaremos de quitar todas las herramientas.

¿Cómo notas el ordenador?

Salu2.