Mail.Ru

Buenas tardes! ¿Cómo están?

Estoy teniendo problemas al intentar eliminar el malware Mail.Ru. He intentado varias cosas que leí en los foros de esta hermosa comunidad.

• Bajé e instalé el MalwareBytes 4.04 (lo corrí y ejecuté las accione solicitadas)
• Bajé y corrí el Adware Cleaner 8 (apliqué todo,etc.)
• Corrí el CCleaner (limpiador y registro)
• Bajé y corrí el FRST También. (Pero con este solo hice el análisis, no me animé a más)

Cada vez que abro el Chrome y corro un análisis en el Malware Bytes vuelve a aparecer el malware. Intenté en un momento cerrar la sesión de google en chorme y ahí pareció desaparecer, pero cuando lo volví a conectar apareció de nuevo. ¿Me podrían guiar para arreglarlo? Muchas gracias!

PD: Adjunto los reportes del Malware, (Personalizado y ultimo) Adware Cleaner (Primero y ultimo) y FRST

Addition.txt (41,0 KB) AdwCleaner[C00].txt (2,9 KB) AdwCleaner[S29].txt (3,7 KB) Malware2.txt (3,0 KB) Malware bytes personalizado.txt (1,5 KB)

Hola @Guillef bienvenid@ al ForoSpyware

Falta el reporte de FRST.txt, adjuntalo para poder revisarlo.

Un saludo

Daniela! ¿Como estás?

Te subo los dos porque hice un nuevo scan.

Gracias!

FRST.txt (101,8 KB) Addition.txt (50,9 KB)

Hola

MUY Importante Realiza una copia de seguridad del registro :

• Para hacerlo descarga DelFix.exe( en tu escritorio).

• Doble clic para ejecutarlo.(Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona -Ejecutar como Administrador-).

• Atención, ahora marca/selecciona únicamente la casilla "Create registry backup", las demás NO.

• Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

A continuación con los demás programas cerrados ve a Inicio Ejecutar y escribe Notepad.exe.

• Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.

START
CREATERESTOREPOINT:
CLOSEPROCESSES:
HKLM\...\Run: [egui] => C:\Program Files\ESET\ESET Security\ecmds.exe [180736 2019-10-03] (ESET, spol. s r.o. -> ESET)
HKLM-x32\...\Run: [SDTray] => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDTray.exe [6788032 2018-04-20] (Safer-Networking Ltd. -> Safer-Networking Ltd.)
BootExecute: autocheck autochk * sdnclean64.exe
FF HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
Task: {26D99536-2074-4167-8E81-DDD919F25CDB} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Scan the system => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDScan.exe [7651984 2018-04-20] (Safer-Networking Ltd. -> Safer-Networking Ltd.)
Task: {6635A74D-A392-4702-B62C-EF1B166D9772} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Check for updates => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDUpdate.exe [6944304 2018-04-20] (Safer-Networking Ltd. -> Safer-Networking Ltd.)
Task: {7C72E093-CC06-4B4C-A5E5-AF6109DCEE3D} - System32\Tasks\EOSv3 Scheduler onTime => C:\Users\Guillermo\Downloads\esetonlinescanner_esn.exe [8162616 2019-12-05] (ESET, spol. s r.o. -> ESET spol. s r.o.)
Task: {A538358E-3BE8-4824-A191-0AE0684839F4} - System32\Tasks\Safer-Networking\Spybot - Search and Destroy\Refresh immunization => C:\Program Files (x86)\Spybot - Search & Destroy 2\SDImmunize.exe [7192192 2018-04-20] (Safer-Networking Ltd. -> Safer-Networking Ltd.)
Task: {A97DE738-AA14-4569-AC9F-207C3FE6C9BE} - System32\Tasks\AutoKMS => C:\WINDOWS\AutoKMS\AutoKMS.exe [5733888 2019-09-08] () [File not signed]
Task: {FDA33CF5-0F23-4D10-B701-622925007DBC} - System32\Tasks\EOSv3 Scheduler onLogOn => C:\Users\Guillermo\Downloads\esetonlinescanner_esn.exe [8162616 2019-12-05] (ESET, spol. s r.o. -> ESET spol. s r.o.)
CHR StartupUrls: Profile 1 -> "hxxps://www.google.com.ar/?gfe_rd=cr&ei=jUAOWJmjJpSDxgT8mYFg&gws_rd=ssl","hxxps://mail.ru/cnt/10445?gp=811570","hxxps://www.google.com/"
CHR Extension: (Tomatoes) - C:\Users\Guillermo\AppData\Local\Google\Chrome\User Data\Default\Extensions\jijbhneeenepenoolcdalnekggeialeo [2018-05-21]
CHR Extension: (Chrome Media Router) - C:\Users\Guillermo\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2019-11-14]
CHR Extension: (Sci-Hub) - C:\Users\Guillermo\Downloads\Sci-Hub\Sci-Hub [2019-03-01] [UpdateUrl:hxxps://sci-hub.se/update] <==== ATTENTION
CHR Extension: (Chrome Media Router) - C:\Users\Guillermo\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm [2019-12-04]
CHR HKU\S-1-5-21-1651002052-1764723500-360319929-1001\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [lmjegmlicamnimmfhcmpkclmigmmcbeh]
AlternateDataStreams: C:\Users\Guillermo\Documents\2018-02-01 17.50.30.jpg:com.dropbox.attributes [778]
AlternateDataStreams: C:\Users\Guillermo\Documents\2018-02-01 17.50.30.jpg:com.dropbox.attrs [58]
AlternateDataStreams: C:\Users\Guillermo\Documents\2018-02-01 17.50.30.jpg:com.dropbox.internal [284]

HOSTS:
REMOVEPROXY:
EMPTYTEMP:
CMD: netsh winsock reset
CMD: ipconfig /renew
CMD: ipconfig /flushdns
CMD: bitsadmin /reset /allusers
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
END

Guárdalo bajo el nombre de FIXLIST.TXT en el escritorio Esto es muy importante.

Nota Es importante que la herramienta FRST.exe (Farbar Recovery Scanner Tool) y FIXLIST.TXT se encuentren en la misma ubicación (escritorio) o si no, no trabajara.

Y ahora usa el 2º MÉTODO: de esta Faq de Windows 8(aplicable a Windows 10) ¿Cómo iniciar Windows 8/8.1 en Modo Seguro?, para trabajar desde ese modo de windows.

• Ejecuta FRST.exe.(Si usas Windows Vista/7/8 o 10, presiona clic derecho y seleccionas -Ejecutar como Administrador-).
• Presionar el botón FIX y aguardar a que termine.
• La Herramienta guardara el reporte de reparación en el escritorio (FIXLOG.TXT).

Pega el contenido de este fichero en tu próxima respuesta.

Reiniciar el equipo y comprobar su funcionamiento en relación al problema planteado y comentarlo.

Un saludo

Hola Daniela! Te adjunto el Log del FSRB y uno nuevo del Adware clearner Cada vez que habro el Chorme sigue detectandolo.

Fixlog.txt (13,4 KB) Malware 3.txt (3,1 KB)

Espero nuevas instrucciones. Gracias!

Hola @Guillef

El reporte de Malwarebytes dice que no se tomaron acciones por parte del usuario, no se envió a cuarentena.

Realiza otra exploración con Malwarebytes, asegúrate de que Google Chrome está cerrado, haz que elimine lo que ha encontrado, reinicia si te lo solicita.

Sigue los pasos a continuación en el orden exacto como se describe:

1. Abre tu Chrome.
2. Ve a Configuración > Personas > Sincronización y servicios de Google (o, de forma alternativa, ingresa lo siguiente en la barra de direcciones: chrome://settings/syncSetup)
3. En la página, haz clic en los datos de Sincronización de Chrome como primer paso (esto se abrirá en una nueva pestaña, deja esta página y la nueva pestaña.)
4. Luego haz clic en “Desactivar” como segundo paso.

Captura%20de%20pantalla%20(88)708×393 49.8 KB

5. Cuando hagas clic en “Desactivar” aparecerá la siguiente pantalla, haz clic en “Desactivar”.

Importante: No marques esta casilla, ya que esto también borrará tus datos de Chrome localmente (incluidos los marcadores, la configuración, las aplicaciones, etc.)

6. En la nueva pestaña que todavía está abierta, aquí es donde se encuentran los datos de Chrome en el servidor (como alternativa, ve a la siguiente URL: https://chrome.google.com/sync)
7. ¡¡¡REFRESCA esa página !! - Debido a que desde que cerró Chrome, si no actualiza, la sincronización no funcionará y obtendrá el error: “Esta página de configuración de Chrome ya no está disponible”
8. Inicia sesión con tus credenciales de Chrome allí.
9. Desplázate hacia abajo hasta la parte inferior de la página y haz clic en RESTABLECER SINCRONIZACIÓN.

10. Cierra tu navegador Chrome.
11. NO habilites la sincronización, ya que primero debes realizar otro escaneo con Malwarebytes para reparar Chrome.
12. Realiza una nueva exploración con Malwarebytes y deja que elimine lo que ha encontrado .
13. Reiniciar en caso de que solicite reiniciar.
14. Si tienes varios sistemas operativos, ejecuta Malwarebytes primero antes de volver a iniciar sesión en Chrome. Esto para asegurarse de que el malware también se elimine de la (s) otra (s) PC (s). Si no se limpia, volverá a sincronizar el malware de la PC “no limpiada” con el servidor y luego con la PC limpia.**

Verifica después de un próximo escaneo que la detección ya no ocurre. Si los resultados vuelven a estar limpios, puedes habilitar Sincronización de Chrome nuevamente.

Captura%20de%20pantalla%20(91)711×478 51.7 KB

Primero te pedirá tu nombre de usuario para iniciar sesión. Una vez hecho esto, debería habilitar automáticamente la sincronización nuevamente.

Comenta como sigue el problema.

Un saludo

Hola Daniela!

Muchas gracias por tu ayuda. Seguí los pasos y por el momento no ha vuelto a aparecer.

Voy a seguir scanneando los próximos días por las dudas (y a tener mas cuidado de ahora en más)

Saludos!

Hola

No hay de que, es un placer ayudarte

Pruébalo durante unos días, pero no olvides volver a comentar como sigue el problema.

Si todo sigue bien, te daré los pasos para eliminar los programas utilizados.

Un saludo

Hola Daniela!

Probé durante esta semana la PC normalmente y no tuve ninguna nueva alerta por parte del MalwareBytes.

Corrí el DelFix para eliminar los programas de limpieza.

Muchas gracias por todo nuevamente! Saludos!

Guille

Hola @Guillef

Gracias a ti por confiar en ForoSpyware. Ha sido un placer ayudarte

Nos alegramos que se te haya resuelto Damos el tema por solucionado.

Un saludo