Inicios de sesion sospechosos

Hola, he tenido ciertas alertas de seguridad de facebook y google por inicios sospechosos de inicio de sesion exitosos que realizaron cambios de contraseña, ante los cuales las cuentas se bloquearon hasta confirmar mi identidad y cambio de contraseña. Estos inciios de sesion ocurrieron el sabado 13 y domingo 14 de agosto de 2022. hoy y ayer.

Segun google el inicio de sesion sospechoso tendria origen en algun software malicioso en mi computador. Quiero solicitar ayuda para eliminar lo de mi notebook lo mas antes posible antes de perder mis cuentas de años Muchas gracias.

ayudaaa. por lomenos una guia u_U

Hola buenas @MARCELO_BRAVO

Primero de todo te recuerdo especialmente este punto de las políticas:

5.2 Recuerden que: NO somos una empresa que le cobra por los servicios, NO somos un servicio técnico, NO atendemos las 24hrs, somos humanos, tenemos también nuestros trabajos, responsabilidades, problemas y familias que atender; somos voluntarios. En conclusión, sólo somos una COMUNIDAD (FORO) DE AYUDANTES VOLUNTARIOS que intentarán ayudarle sin fines de lucro, sin pedirle nada a cambio más que se respeten estas normas y políticas. Sobre todo respeto y camaradería a quienes voluntariamente dedican su tiempo en intentar ayudar a otros.

De todas formas te recomiendo que te leas las políticas de este. No porque hayas hecho nada mal, sino para saber más acerca del funcionamiento de este.

En segundo lugar, te recuerdo que teníamos este tema pendiente hace de mucho tiempo: Ayuda eliminar troyano

Y tú en este nuevo tema comentas lo siguiente:

¿Es la misma máquina la de este tema y la de aquel tema antiguo?

Me comentas acerca de esto y también me actualizas el estado del otro tema. En función de todo eso, vemos como seguimos.

Salu2.

Es un pc distinto. Es un notebook hp antoguo refaccionado.

Caracteristicas

8gb ram

Procesador intel core tm i3 3110M

Sistema 64 bits windows 10.

El otro dia estaba intentando crackear un software de recuperacion de archivos borrados permanentemente y entre todos los intentos fallidos de ejecutables parece que algunos eran malware. Eran raros porque eran de unos videos en arabe. Luego de esto me aparecieron inicios de sesion con su respectivo bloqueo en facebook, gmail instagram. Cada uno me hizo cambiar la contraseña. Ante esto active windows defender y realize un analisis de amenazas ante el cual se identificaron 3 amenazas 2 graves y di la orden de eliminar. Tras esto no he visto actividad extraña pero quiero descartar cualquier peligro ya que en este notebook manejo la totalidad de mis cuentas.

Se agradece lo que se pueda hacer.

1 me gusta

Malo, malo… Nunca debes de hacer cosas de estas. Sino después pasa lo que pasa…

:-1: :-1: :-1: :-1:

OK.

OK.

:one: EN BUSCA / ELIMINACIÓN DE MALWARE

(Mantén conectados todos tus dispositivos externos que tengas como: USBs, discos duros externos, etc).

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden, los pasos con todos los programas cerrados, incluidos los navegadores.

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas y discos duros externos si también tienes.

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

0) Descarga Ccleaner Aquí te dejo su manual: Manual de CCleaner , para que sepas como usarlo y configurarlo correctamente.

Lo instalas y lo ejecutas. En la pestaña Limpieza personalizada dejas la configuración predeterminada. Haces clic en Analizar y esperas a que termine. Seguidamente, haz clic en Ejecutar Limpiador. Clic en la pestaña Registro > clic en Buscar Problemas esperas que termine. Finalmente, clic en Reparar Seleccionadas y realizas una Copia de Seguridad del registro de Windows.

1) Descarga, instala, actualiza y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente.

  • Realizas un Análisis Personalizado, marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:

1. Analizar objetos en memoria

2. Analizar configuracion de inicio y registro

3. Analizar dentro de los archivos

  • Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
  • Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

2) Descarga Adwcleaner en el escritorio.

  • Desactiva tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
  • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
  • Pulsar en el botón Analizar Ahora, y espera a que se termine el análisis. Inmediatamente, pulsa sobre el botón Iniciar Reparación.
  • Espera a que termine y sigue las instrucciones que te aparezcan. Si te pidiera Reiniciar, pues reinicias el ordenador pulsando en Aceptar.
  • Si no encuentra nada, pulsa en Omitir Reparación.
  • El log lo encontrarás en la pestaña Informes, volviendo a abrir el programa, si es necesario o en la siguiente ubicación: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
  • Para más información aquí te dejo su manual: Manual de Adwcleaner.
  • Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

3) Utiliza nuevamente CCleaner tal como te dije en el punto 0.

Pegas los reportes de Malwarebytes y AdwCleaner y comentas como va el problema inicial planteado por el cual abriste este tema. También responde a las preguntas que te haya realizado a lo largo de este Post, siempre que te haya hecho alguna, si no, no

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 21/8/22
Hora del análisis: 23:19
Archivo de registro: 48380aa0-21c9-11ed-a439-38eaa7e09f04.json

-Información del software-
Versión: 4.5.13.208
Versión de los componentes: 1.0.1740
Versión del paquete de actualización: 1.0.58995
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 19043.1889)
CPU: x64
Sistema de archivos: NTFS
Usuario: DESKTOP-AV9I40U\Marcelo

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 1097395
Amenazas detectadas: 11
Amenazas en cuarentena: 11
Tiempo transcurrido: 4 hr, 3 min, 7 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 3
PUP.Optional.DriverPack, HKU\S-1-5-21-2285036987-3443997656-887751551-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS\ZONEMAP\DOMAINS\drp.su, En cuarentena, 639, 472299, 1.0.58995, , ame, , , 
PUP.Optional.DriverPack, HKU\S-1-5-21-2285036987-3443997656-887751551-1001\SOFTWARE\DRPSU, En cuarentena, 639, 472301, 1.0.58995, , ame, , , 
PUP.Optional.DriverPack, HKLM\SOFTWARE\WOW6432NODE\DRPSU, En cuarentena, 639, 472300, 1.0.58995, , ame, , , 

Valor del registro: 2
PUP.Optional.DriverPack, HKU\S-1-5-21-2285036987-3443997656-887751551-1001\SOFTWARE\DRPSU|CLIENTID, En cuarentena, 639, 472301, 1.0.58995, , ame, , , 
PUP.Optional.DriverPack, HKLM\SOFTWARE\WOW6432NODE\DRPSU|CLIENTID, En cuarentena, 639, 472300, 1.0.58995, , ame, , , 

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 2
PUP.Optional.DriverPack.BITSRST, C:\Users\Marcelo\AppData\Roaming\DriverPack Cloud, En cuarentena, 5581, 820472, 1.0.58995, , ame, , , 
PUP.Optional.DriverPack.BITSRST, C:\Users\Marcelo\AppData\Roaming\DRPSu, En cuarentena, 5581, 820473, 1.0.58995, , ame, , , 

Archivo: 4
RiskWare.Patcher, C:\PROGRAM FILES (X86)\WONDERSHARE\PDFELEMENT 7\PDFELEMENT_V7.X.X_PATCH_V3.5_BY_DFOX.EXE, En cuarentena, 7374, 834484, 1.0.58995, , ame, , E8BF473CCAB335D19C7D570F6F651F3A, 7C71EAB6ED15B1ACECE93719FE317B4A7339A8B925112FB4A80314D7A06555A0
Trojan.Clipper, C:\PROGRAMDATA\29389284505762200822.EXE, En cuarentena, 1707, 1077371, 1.0.58995, BBEF67A49E7C03CA31057212, dds, 01913544, 81E1C52782E14BFEEBF13B6A8928CAED, 15EEB0F7A48766A4E311A6B253FB2042FCCAD4591D973AD5BD482ED89C195355
Trojan.Clipper, C:\USERS\MARCELO\APPDATA\ROAMING\3F1XTKCH.EXE, En cuarentena, 1707, 1077371, 1.0.58995, BBEF67A49E7C03CA31057212, dds, 01913544, 81E1C52782E14BFEEBF13B6A8928CAED, 15EEB0F7A48766A4E311A6B253FB2042FCCAD4591D973AD5BD482ED89C195355
Malware.AI.4035432963, C:\USERS\MARCELO\APPDATA\ROAMING\2BOKD56E.EXE, En cuarentena, 1000000, -259534333, 1.0.58995, 3B5DDC99A38C8883F087D203, dds, 01913544, 3CA41D6CD84EE09DAC585263F67D21F9, EEC7D9883A0F3BD8A6B66AD0E5487BD5315A55F674A41BBB04DDD74FBEDB8464

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

# -------------------------------
# Malwarebytes AdwCleaner 8.3.2.0
# -------------------------------
# Build:    03-23-2022
# Database: 2022-03-15.3 (Local)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    08-22-2022
# Duration: 00:00:07
# OS:       Windows 10 Home Single Language
# Cleaned:  10
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\Program Files (x86)\Common Files\IObit\Advanced SystemCare
Deleted       C:\Program Files (x86)\IObit\Advanced SystemCare
Deleted       C:\ProgramData\IObit\Advanced SystemCare
Deleted       C:\Users\Marcelo\AppData\LocalLow\IObit\Advanced SystemCare
Deleted       C:\Users\Marcelo\AppData\Roaming\IObit\Advanced SystemCare
Deleted       C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\IObit\Advanced SystemCare

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKLM\Software\Wow6432Node\IOBIT\ASC
Deleted       HKLM\Software\Wow6432Node\IObit\Advanced SystemCare
Deleted       HKLM\Software\Wow6432Node\IObit\RealTimeProtector
Deleted       HKLM\Software\Wow6432Node\Trymedia Systems

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [2221 octets] - [22/08/2022 06:11:22]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Bueno. no he visto avisos de intromision en alguna cuenta desde el sabado ante pasado. no se si se detecto algo con los analisis. Gracias. asumiendo que se resolvio. Me indicarias si haba algo muy malo?

Hola buenas @MARCELO_BRAVO

Sí, si que se han detectado cosas.

De nada. No, aún no estamos. Un poco de paciencia, por favor. Pues básicamente: Adwares y Troyanos, entre otras cosas destacables.

Respecto AdwCleaner >> descárgalo y ejecútalo tal como te dije. Ya que te debería de salir: 2022-0X-XX.X (Cloud) en lugar de lo que te sale a ti que es: 2022-03-15.3 (Local)

Para ello asegúrate de utilizar la base de datos de la nube:

:one: EN BUSCA / ELIMINACIÓN DE MALWARE

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, USB, etc). Inicias el ordenador en Modo Normal.

0) Descarga Eset Online Scaner Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y realizas un Análisis Personalizado tal y como se indica en su manual. Me traes su reporte.

1) Descarga Kasperky Virus Removal Tool Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y lo realizas tal y como se indica en su manual. En este caso no da reporte alguno, cuando finalice, presionas en la pestaña Report tal y como se indica en su manual y haces una captura de pantalla y la subes.

¿Como subir imágenes al Foro?

:two: PRÓXIMA RESPUESTA

Pegas los reportes de Eset Online Scaner y Kasperky Virus Removal Tool (captura) y comentas como va el PC.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

Hola buenas @MARCELO_BRAVO

¿Pudiste realizar algún avance? ¿Tienes algún problema en algún procedimiento?

Me comentas.

Salu2.

Reporte Kasperky Virus Removal Tool

![image|668x452](upload://o3MbDnRa7E98kmQo12q03xdAyoP.png)

REPORTE Eset Online Scaner

01/09/2022 2:01:13
Archivos analizados: 988539
Archivos detectados: 5
Archivos desinfectados: 5
Tiempo total de análisis 07:57:51
Estado del análisis: Finalizado
C:\Program Files\DAEMON Tools Lite\inst\setuphlp.dll	una variante de Win32/Yandex.K aplicación potencialmente no deseada	eliminado

C:\Users\Marcelo\AppData\Local\Packages\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\LocalState\Files\S0\4\Attachments\Account-information-K6DFKKF44AZ01[288].htm	HTML/Phishing.PayPal.M Troyano	desinfectado por eliminación

C:\Users\Marcelo\AppData\Roaming\uTorrent Web\utweb.exe	una variante de Win32/uTorrent.F aplicación potencialmente no deseada	desinfectado por eliminación

C:\Users\Marcelo\Desktop\Programas\Detection.exe	una variante de Win64/SystemRequirementsLab.C aplicación potencialmente no deseada	desinfectado por eliminación

C:\Users\Marcelo\Downloads\Detection.exe	una variante de Win64/SystemRequirementsLab.A aplicación potencialmente no deseada	desinfectado por eliminación

ADWCLEANER

# -------------------------------
# Malwarebytes AdwCleaner 8.3.2.0
# -------------------------------
# Build:    03-23-2022
# Database: 2022-08-22.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    08-31-2022
# Duration: 00:00:10
# OS:       Windows 10 Home Single Language
# Cleaned:  0
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [2221 octets] - [22/08/2022 06:11:22]
AdwCleaner[C00].txt - [2227 octets] - [22/08/2022 06:11:41]
AdwCleaner[S01].txt - [1544 octets] - [31/08/2022 17:14:57]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C01].txt ##########

No he visto problemas de alertas de intrusos desde el primer limpieza. En la primera etapa del analisis de Kasperky Virus Removal Tool me mostro un troyano y despues aplique cure y pidio reiniciar. tras eso en el reporte no lo indico como amenaza detectada. Supongo que eso es todo. muchas gracias por tu ayuda