Malware bancario no hay rastro

Les cuento el caso de un familiar a ver como limpiar el ordenador.

Hace tiempo cada vez que entraba en la página web del banco, una vez logado le salía una ventana pequeña que ponía cargando seguridad de la cuenta. El caso es que le enviaba un pin al móvil y esa ventana se lo pedía. Pues bien, resulta que una vez que metió el pin (Error) lo que hizo fue una transferencia y a partir de ese momento cada vez que intenta entrar en la página de ese banco le sale un mensaje que dice algo así como que está de mantenimiento y le cierra el navegador. El caso ya está denunciado en la policía y llevado el caso al banco.

La duda es, hemos seguido el manual de como eliminar malware de aquí:

1.- Ejecutado el RKill. 2.- Sin reiniciar he instalado y ejecutado análisis del MalwareBytes.

El resultado ha sido que no ha encontrado nada.

¿Qué me recomendáis hacer? Lo cierto es que ahora mismo si entra de nuevo en la web, pero no me fio de lo que pueda haber.

Pues no, sigue sin entrar a la web del banco. Cuando pones la dirección salta una ventana que dice:

atención --------------------------- disponible sitio, esperamos que estamos realizando actualizaciones y mejoras a nuestro sistema.

Y cierra el navegador.

He vuelto a pasar el MalwareBytes y me ha detectado algo, reiniciando pero sigue sin entrar, por lo que parece que algo sigue fastidiando. Este es el log del Malwarebytes:

> Detalles del registro-
> Fecha del análisis: 28/2/21
> Hora del análisis: 12:02
> Archivo de registro: 639d8fb8-79b4-11eb-93ea-00248cc9cbdf.json
> 
> -Información del software-
> Versión: 4.3.0.98
> Versión de los componentes: 1.0.1173
> Versión del paquete de actualización: 1.0.37585
> Licencia: Premium
> 
> -Información del sistema-
> SO: Windows 10 (Build 19042.804)
> CPU: x86
> Sistema de archivos: NTFS
> Usuario: DESKTOP-584E6PI\W10
> 
> -Resumen del análisis-
> Tipo de análisis: Análisis personalizado
> Análisis iniciado por:: Manual
> Resultado: Completado
> Objetos analizados: 559510
> Amenazas detectadas: 6
> Amenazas en cuarentena: 0
> Tiempo transcurrido: 6 hr, 16 min, 41 seg
> 
> -Opciones de análisis-
> Memoria: Activado
> Inicio: Activado
> Sistema de archivos: Activado
> Archivo: Activado
> Rootkits: Activado
> Heurística: Activado
> PUP: Detectar
> PUM: Detectar
> 
> -Detalles del análisis-
> Proceso: 0
> (No hay elementos maliciosos detectados)
> 
> Módulo: 0
> (No hay elementos maliciosos detectados)
> 
> Clave del registro: 0
> (No hay elementos maliciosos detectados)
> 
> Valor del registro: 0
> (No hay elementos maliciosos detectados)
> 
> Datos del registro: 0
> (No hay elementos maliciosos detectados)
> 
> Secuencia de datos: 0
> (No hay elementos maliciosos detectados)
> 
> Carpeta: 0
> (No hay elementos maliciosos detectados)
> 
> Archivo: 6
> Generic.Malware/Suspicious, E:\USERS\W10\DOCUMENTS\IDPS.EXE, Sin acciones por parte del usuario, 0, 392686, 1.0.37585, , shuriken, , CCD2C2A615EF061BE8FCA1564B1519BD, D2A70D9E37FCEBBF110D873D7A110C5B902C37B24BB297C8D3A876BDEC074BA5
> PUP.Optional.BundleInstaller, E:\USERS\W10\DOCUMENTS\TORRENS\26051-699880-UTORRENT.EXE, Sin acciones por parte del usuario, 150, 790622, 1.0.37585, , ame, , 2AE9A7AD75509D509920E53444688040, EF2CF9A460373CB20EEDBC600DA0926F74EAFEE3185873B175B6E3B4FA075376
> Generic.Malware/Suspicious, E:\USERS\W10\DOCUMENTS\DATOS ORDENADOR\DREAMBOX\NOCAERROR\DREAMUP PATCHED\DIFFRENT METHOD\ENFORCER.EXE, Sin acciones por parte del usuario, 0, 392686, 1.0.37585, , shuriken, , 9CD45B9CB05D931C1EC8802740A969EC, EA000EC043DBB3D9797B1E684670ECAF7E9A968DF9C8B5E9EDB5B8F688F90126
> PUP.Optional.BundleInstaller, D:\FILEHISTORY\W10\DESKTOP-9V5D2EF\DATA\C\USERS\W10\DOCUMENTS\TORRENS\26051-699880-UTORRENT (2020_03_17 12_02_59 UTC).EXE, Sin acciones por parte del usuario, 150, 790622, 1.0.37585, , ame, , 2AE9A7AD75509D509920E53444688040, EF2CF9A460373CB20EEDBC600DA0926F74EAFEE3185873B175B6E3B4FA075376
> Generic.Malware/Suspicious, D:\FILEHISTORY\W10\DESKTOP-9V5D2EF\DATA\C\USERS\W10\DOCUMENTS\DATOS ORDENADOR\DREAMBOX\NOCAERROR\DREAMUP PATCHED\DIFFRENT METHOD\ENFORCER (2020_03_17 12_02_59 UTC).EXE, Sin acciones por parte del usuario, 0, 392686, 1.0.37585, , shuriken, , 9CD45B9CB05D931C1EC8802740A969EC, EA000EC043DBB3D9797B1E684670ECAF7E9A968DF9C8B5E9EDB5B8F688F90126
> Generic.Malware/Suspicious, D:\FILEHISTORY\W10\DESKTOP-9V5D2EF\DATA\C\USERS\W10\DOCUMENTS\\IDPS (2020_03_17 12_02_59 UTC).EXE, Sin acciones por parte del usuario, 0, 392686, 1.0.37585, , shuriken, , CCD2C2A615EF061BE8FCA1564B1519BD, D2A70D9E37FCEBBF110D873D7A110C5B902C37B24BB297C8D3A876BDEC074BA5
> 
> Sector físico: 0
> (No hay elementos maliciosos detectados)
> 
> WMI: 0
> (No hay elementos maliciosos detectados)
> 
> 
> (end)

No se si formatear porque no me fio nada…

Bingo! ESET Online ha detectado Win32/Spy.Grandoreiro.AX

En teoría lo ha eliminado. ¿Qué otra limpieza debería realizar para asegurarme?

Hola, buenas @alkro

Tu caso no tiene muy buena pinta UTILIZA LO MENOS POSIBLE TU ORDENADOR. Pues esta máquina aún está infectada.

Traes el reporte de ESET Online y si hay alguna novedad al respecto del problema inicial planteado, pues me lo dices.

Salu2.

Hola @Marr0n ,

ESte es el Reporte de ESET Online:

28/02/2021 21:42:32
Archivos analizados: 503782
Archivos detectados: 6
Archivos desinfectados: 6
Tiempo total de análisis 01:30:17
Estado del análisis: Finalizado


C:\OLTRUCBG\bjaRTEpHA.exe	una variante de Win32/Spy.Grandoreiro.AX Troyano	desinfectado por eliminación
C:\Users\W10\AppData\Roaming\uTorrent\updates\3.5.5_45704.exe	una variante de Win32/uTorrent.C aplicación potencialmente no deseada	desinfectado por eliminación
C:\Users\W10\AppData\Roaming\uTorrent\uTorrent.exe	una variante de Win32/uTorrent.C aplicación potencialmente no deseada	desinfectado por eliminación
D:\FileHistory\W10\DESKTOP-9V5D2EF\Data\C\Users\W10\Desktop\bing\setup-lightshot (2020_03_17 12_02_59 UTC).exe	una variante de Win32/Yandex.K aplicación potencialmente no deseada	desinfectado por eliminación
E:\Users\W10\AppData\Roaming\uTorrent\updates\3.5.5_45505.exe	una variante de Win32/uTorrent.C aplicación potencialmente no deseada	desinfectado por eliminación
E:\Users\W10\AppData\Roaming\uTorrent\uTorrent.exe	una variante de Win32/uTorrent.C aplicación potencialmente no deseada	desinfectado por eliminación

Ese Grandoreiro es el que la ha liado, pero bien. ¿Alguna herramienta mas tengo que pasar o directamente me recomendáis formatear? De momento solo lo enciendo para intentar limpiarlo.

Hola @alkro

Malwarebytes >> ha detectado infecciones y no has realizado ninguna acción para eliminarlas. Aparte, tienes infecciones en dispositivos externos.

ESET>> Las infecciones parece ser que han sido erradicadas correctamente en este caso. De todas formas indagaremos más.

Bueno, no solo ese sino que otros. Pero hay infecciones que las tienes por qué tú no has actuado bien o con sentido común en tu ordenador y después pasa lo que pasa… que tienes la máquina infectada.

Es un tema muy serio esto, mira lo que le paso a este usuario que abrió un tema en el foro: Robo cuenta de Google caixabank

Sí, ahora vamos a ello.

OK. Perfecto.

Vamos allá…

EN BUSCA / ELIMINACIÓN DE MALWARE

(Mantén conectados todos tus dispositivos externos que tengas como: USBs, discos duros externos, etc).

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas y discos duros externos si también tienes.

Inicia de nuevo el equipo desde el Modo Seguro – con funciones de Red, de Windows. Si no funcionasen los métodos que se explican en el anterior post, prueba estos otros. Más concretamente, primero el 3 (Seleccionando Red en lugar de Mínimo) y si no el 2 (también Red).

Una vez iniciado en este modo, empiezas haciendo todos los pasos que te pondré a continuación.

P.D.: Si el quipo no te arrancase en Modo seguro (cosa que puede pasar), me lo dices e intentaremos arreglar el sistema para que arranque en Modo Seguro. Pues hay malwares que ya se encargaran de que no puedas iniciar en Modo Seguro.

Realizas lo siguiente:

1. Descarga y ejecuta RKill, más concretamente debes de descargar la que está renombrada bajo el nombre de iExplore.exe. Para evitar el bloqueo de posibles malwares que pueda haber en tu equipo. Una vez que esta haya sido ejecutada, es muy importante no reiniciar el sistema hasta que te lo solicite yo o alguno de los programas de desinfección de los que estemos utilizando.

Me explico, por ejemplo: has iniciado la máquina en Modo Seguro con funciones de Red, has ejecutado Rkill y seguidamente realizas un Análisis con Malwarebytes. Este te detecta infecciones y te pide reiniciar la máquina para poder finalizar exitosamente su desinfección. Seguidamente, yo te he indicado que ejecutes por ejemplo el ESET Online Scanner, pues bien como no hemos acabado de desinfectar la máquina y estamos realizando el proceso de desinfección, y has tenido que reiniciar, ya que te lo ha pedido Malwarebytes pues debes de ejecutar nuevamente Rkill y después acto seguido el ESET ONline.

¿Me entiendes?

Si por ejemplo, incluso con Rkill, Malwarebytes AntiMalware o la herramienta que sea que te he pedido que utilices, ves que se bloquea y que al cabo de un buen rato no responde. Pues pasas a la siguiente y me informas de ello. Y así con todas. ¿OK? ¿Se entiende?

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

0) Descarga Ccleaner Aquí te dejo su manual: Manual de CCleaner , para que sepas como usarlo y configurarlo correctamente.

Lo instalas y lo ejecutas. En la pestaña Limpieza personalizada dejas la configuración predeterminada. Haces clic en Analizar y esperas a que termine. Seguidamente haz clic en Ejecutar Limpiador. Clic en la pestaña Registro > clic en Buscar Problemas esperas que termine. Finalmente clic en Reparar Seleccionadas y realizas una Copia de Seguridad del registro de Windows.

1) Descarga IFS

• Desactiva tu antivirus Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
• Cierra todos los programas que tengas abiertos.
• Ejecuta IFS.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
• Pulsar en el botón Analizar, y espera a que se realice el proceso. Puede tardar varios minutos.
• Al terminar se abrirá un informe, lo adjuntas en tu próxima respuesta (puedes encontrarlo en C:\IFS.log).
• Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

2) Descarga, instala, actualiza y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente.

• Realizas un Análisis Personalizado, marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:

• Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
• Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

3) Descarga Adwcleaner en el escritorio.

• Desactiva tu antivirus Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
• Ejecuta Adwcleaner.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
• Pulsar en el botón Analizar Ahora, y espera a que se termine el análisis. Inmediatamente pulsa sobre el botón Iniciar Reparación.
• Espera a que termine y sigue las instrucciones que te aparezcan. Si te pidiera Reiniciar, pues reinicias el ordenador pulsando en Aceptar.
• Si no encuentra nada, pulsa en Omitir Reparación.
• El log lo encontrarás en la pestaña Informes, volviendo a abrir el programa, si es necesario o en la siguiente ubicación: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
• Para más información aquí te dejo su manual: Manual de Adwcleaner.
• Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

4) Descarga JunkwareRemoval Tool en el escritorio.

• Ejecuta JRT.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
• Presiona cualquier tecla para continuar y espera pacientemente a que termine su proceso.
• Al finalizar, se guardará el siguiente registro en el escritorio: JRT.txt.

5) Ejecuta un Full Análisis con UsbFix y adjuntas su log. Aquí te dejo su manual: Manual de UsbFix , para que sepas como usarlo y configurarlo correctamente. Recuerda conectar todos tus dispositivos extraíbles (USBs, discos duros, Micro SD, etc).

• En caso de detectar amenazas, selecciona todo los elementos detectados y presiona “Limpiar todo”
• Si te pide reiniciar el sistema, Aceptas.
• Una vez que se reinicie el equipo, se abrirá el reporte de USBFix indicando lo detectado y lo eliminado. Pon el reporte en tu próxima respuesta (en caso de que no se abra, el reporte se guarda con el nombre de UsbFix_Report.txt en el Escritorio).

Una vez terminado el análisis, con todas las unidades conectadas, vuelve a ejecutar USBFix como Administrador, y vacunas los mismos, siguiendo los pasos del Manual.

Nota: UsbFix creará una carpeta oculta llamada “$RECYCLE.BIN” “autorun.inf” en cada partición y cada unidad USB que se encuentre conectado al momento de ejecutar este. No elimines estas carpetas de ningún lugar en el que se hayan creado, ya que estas ayudará a prevenir y proteger tus dispositivos extraíbles y particiones de futuras infecciones.

6) Utiliza nuevamente CCleaner tal como te dije en el punto 0.

Pegas los reportes de IFS, Malwarebytes, AdwCleaner, JRT y UsbFix y comentas como va el problema inicial planteado por el cual abriste este tema. También responde a las preguntas que te haya realizado a lo largo de este Post.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

• No realices pasos/acciones que NOSOTROS no te hayamos indicado.
• No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
• No instales NADA (programas/software/complementos/extensiones del navegador…).
• No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
• No realices por tu cuenta otros procedimientos.
• Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

Muy Importante Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report703×272 3.73 KB

Salu2.

Ejecuté CCleaner. Ejecute IFS, adjunto log:

[B]~~~~~~~~~~~| Inicio: [/B]

*IFS (InfoSpyware First Steps) v 1.3
*www.InfoSpyware.com | www.ForoSpyware.com
*Iniciado: 06/03/2021 a las 12h.14m.28s

[B]~~~~~~~~~~~|  Información del Sistema:[/B]

OS: Microsoft Windows 10 Pro x86 
Idioma: Spanish (Spain, International Sort) (|es-ES)
Permisos de Administrador / ON
Windows se Inició en   Modo Seguro con Funciones de Red
Drive: C:\Windows (Install: \Device\HarddiskVolume1)

[B]~~~~~~~~~~~| Arquitectura Fisica:[/B]

CPU: System manufacturer
CPU Modelo: System Product Name
Procesador: Intel(R) Core(TM)2 Duo CPU     E7500  @ 2.93GHz (x64-BasedPC)
Memoria RAM: 3 Gb. En Uso: 39 %
Video: Intel(R) G33/G31 Express Chipset Family (Microsoft Corporation - WDDM 1.0)
Chip: Intel(R) GMA 3100 Capacidad video:256 MB (Internal)

[B]~~~~~~~~~~~| Unidades[/B]

C: [FIXED|NTFS|] - [465.7 Gb][412.5 Gb][53.2 Gb]
D: [FIXED|NTFS|COPIA] - [149.0 Gb][84.1 Gb][64.1 Gb]
E: [FIXED|NTFS|] - [465.3 Gb][407.9 Gb][57.4 Gb]
F: [REMOVABLE||] - [0 Gb][0 Gb][0 Gb]
G: [REMOVABLE||] - [0 Gb][0 Gb][0 Gb]
H: [REMOVABLE||] - [0 Gb][0 Gb][0 Gb]
I: [REMOVABLE||] - [0 Gb][0 Gb][0 Gb]
[COLOR=#FF0000][B]C:\ Fragmentación total 30.11% - Desfragmentar unidad [/B][/COLOR]
D:\ Fragmentación total 0.00% - Correcto
[COLOR=#FF0000][B]E:\ Fragmentación total 10.25% - Desfragmentar unidad [/B][/COLOR]

[B]~~~~~~~~~~~| Seguridad del SO[/B]

SafeBoot: Inicio en Modo seguro Correcto
Security Center: Correcto (Servicio Activo)
Windows Update: [COLOR=#FF0000][B]El servicio no está activo[/B][/COLOR] 
AV: Windows Defender *[COLOR=#FF0000][B]Protección Residente [OFF][/B][/COLOR] / Actualizado*
AV: Malwarebytes *[COLOR=#FF0000][B]Protección Residente [OFF][/B][/COLOR] / Actualizado*
FW: Windows Firewall *Habilitado*

[B]~~~~~~~~~~~|  Update Check[/B]

Internet Explorer Versión Instalada 11
Mozilla FireFox Versión Instalada 86.0.0
Google Chrome Versión Instalada 88.0.4324.190

[B]~~~~~~~~~~~| Process List[/B] 

MsMpEng.exe (Windows Defender)
MBAMTray.exe (Malwarebytes Anti-Malware)
MBAMservice.exe (Malwarebytes Anti-Malware)

[B]~~~~~~~~~~~| Install Check[/B] 


CCleaner [5.77]

[B]~~~~~~~~~~~| Registry Check[/B]

HKLM\Run: [SecurityHealth] %windir%\system32\SecurityHealthSystray.exe
HKLM\Run: [Wondershare Helper Compact.exe] C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
HKLM\Run: [Opera Browser Assistant] C:\Users\W10\AppData\Local\Programs\Opera\assistant\browser_assistant.exe
HKLM\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
HKLM\Run: [Intel Driver & Support Assistant] C:\Program Files\Intel\Driver and Support Assistant\DSATray.exe
HKCU\Run: [OneDrive] "C:\Users\W10\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
HKCU\Run: [BingWallpaperApp] C:\Users\W10\AppData\Local\Microsoft\BingWallpaperApp\BingWallpaperApp.exe
HKCU\Run: [CCleaner Smart Cleaning] "C:\Program Files\CCleaner\CCleaner.exe" /MONITOR
Winlogon: Shell = explorer.exe
Winlogon: Userinit = explorer.exe

[HKCR\.\.open\command] -> Navegador Preferido es Internet Explorer
StarPage:hxxp://go.microsoft.com/fwlink/p/?LinkId=255141
StarPage:hxxp://go.microsoft.com/fwlink/?LinkId=54896

[B]~~~~~~~~~~~| PUPs Check[/B]

HKLM\Software\Partner


[B]~~~~~~~~~~~| Listado 7 Días (Predeterminado)[/B]

[28/02/2021 19:28] - C:\Windows\PFRO.log
[06/03/2021 11:55] - C:\Windows\pss
[05/03/2021 21:12] - C:\Config.Msi
[06/03/2021 12:14] - C:\FSTool
[06/03/2021 12:14] - C:\IFS.log

[B]~~~~~~~~~~~| C:\Windows\Tasks:[/B]

[06/03/2021 12:04] - C:\Windows\Tasks\CCleaner Update.job
[06/03/2021 11:56] - C:\Windows\Tasks\CreateExplorerShellUnelevatedTask.job

[B]~~~~~~~~~~~| End Report[/B]
*Finalizado 12:18:05
*Se limpiaron los archivos temporales
*[1599815] C:\Users\W10\Desktop\Limpieza\IFS.exe
*Herramienta de Análisis e investigación 

Log del MalwareBytes:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 6/3/21
Hora del análisis: 12:21
Archivo de registro: 2afda99a-7e6e-11eb-b6d9-00248cc9cbdf.json

-Información del software-
Versión: 4.3.0.98
Versión de los componentes: 1.0.1173
Versión del paquete de actualización: 1.0.37837
Licencia: Premium

-Información del sistema-
SO: Windows 10 (Build 19042.804)
CPU: x86
Sistema de archivos: NTFS
Usuario: DESKTOP-584E6PI\W10

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 509997
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 2 hr, 39 min, 38 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Sigo con el AdwCleaner

AdwCleaner

# -------------------------------
# Malwarebytes AdwCleaner 8.1.0.0
# -------------------------------
# Build:    02-15-2021
# Database: 2021-03-03.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    03-06-2021
# Duration: 00:00:00
# OS:       Windows 10 Pro
# Cleaned:  1
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKLM\Software\Classes\TypeLib\{DF2BBE39-40A8-433B-A279-073F48DA94B6}

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1405 octets] - [28/07/2020 11:13:15]
AdwCleaner[S01].txt - [1466 octets] - [04/08/2020 12:16:25]
AdwCleaner[S02].txt - [1590 octets] - [06/03/2021 15:25:00]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C02].txt ##########

JunkwareRemoval

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.4 (07.09.2017)
Operating System: Windows 10 Pro x86 
Ran by W10 (Limited) on 06/03/2021 at 15:27:31,61
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 0 




Registry: 0 





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 06/03/2021 at 15:28:37,83
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

USBFix

# ----------------------------------------------------
# UsbFix Antivirus Premium
# ----------------------------------------------------
# Versión : 11.032
# Base de datos :  
# Contacto : https://www.usb-antivirus.com/es/contacto
# ----------------------------------------------------
# Tipo de escaneo : Full
# Usuario : W10 (Administrador)
# Dispositivo : DESKTOP-584E6PI
# Comenzó : 06/03/2021 15:33:18
# ----------------------------------------------------

------------ | Discos analizados |

C:\	NTFS	(412GB/466GB)	[Fixed] 
D:\	NTFS	(85GB/149GB)	[Fixed] 
E:\	NTFS	(408GB/465GB)	[Fixed] 

------------ | Elemento(s) infectado(s) |

~ Ningún elemento detectado ~

------------ | Run |

F2 - HKLM\..\Winlogon : [Shell] explorer.exe
F2 - HKLM\..\Winlogon : [Userinit] C:\Windows\system32\userinit.exe,
04 - HKCU\..\Run : [OneDrive] "C:\Users\W10\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
04 - HKCU\..\Run : [BingWallpaperApp] C:\Users\W10\AppData\Local\Microsoft\BingWallpaperApp\BingWallpaperApp.exe
04 - HKCU\..\Run : [CCleaner Smart Cleaning] "C:\Program Files\CCleaner\CCleaner.exe" /MONITOR
04 - HKLM\..\Run : [SecurityHealth] %windir%\system32\SecurityHealthSystray.exe
04 - HKLM\..\Run : [Wondershare Helper Compact.exe] C:\Program Files\Common Files\Wondershare\Wondershare Helper Compact\WSHelper.exe
04 - HKLM\..\Run : [Opera Browser Assistant] C:\Users\W10\AppData\Local\Programs\Opera\assistant\browser_assistant.exe
04 - HKLM\..\Run : [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
04 - HKLM\..\Run : [Intel Driver & Support Assistant] C:\Program Files\Intel\Driver and Support Assistant\DSATray.exe
04 - HKU\S-1-5-19\..\Run : [OneDriveSetup] C:\Windows\System32\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-20\..\Run : [OneDriveSetup] C:\Windows\System32\OneDriveSetup.exe /thfirstsetup
04 - HKU\S-1-5-21-3351838970-2756748423-2291318431-1001\..\Run : [OneDrive] "C:\Users\W10\AppData\Local\Microsoft\OneDrive\OneDrive.exe" /background
04 - HKU\S-1-5-21-3351838970-2756748423-2291318431-1001\..\Run : [BingWallpaperApp] C:\Users\W10\AppData\Local\Microsoft\BingWallpaperApp\BingWallpaperApp.exe
04 - HKU\S-1-5-21-3351838970-2756748423-2291318431-1001\..\Run : [CCleaner Smart Cleaning] "C:\Program Files\CCleaner\CCleaner.exe" /MONITOR

------------ | Tasks |

Task - Adobe Acrobat Update Task --> C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe
Task - CreateExplorerShellUnelevatedTask --> C:\Windows\explorer.exe /NOUACCHECK
Task - GoogleUpdateTaskMachineCore --> C:\Program Files\Google\Update\GoogleUpdate.exe /c
Task - GoogleUpdateTaskMachineUA --> C:\Program Files\Google\Update\GoogleUpdate.exe /ua /installsource scheduler
Task - MicrosoftEdgeUpdateTaskMachineCore --> C:\Program Files\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /c
Task - MicrosoftEdgeUpdateTaskMachineUA --> C:\Program Files\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /ua /installsource scheduler
Task - OneDrive Standalone Update Task-S-1-5-21-3351838970-2756748423-2291318431-1001 --> %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe
Task - Opera scheduled assistant Autoupdate 1609265587 --> C:\Users\W10\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate --component-name=assistant --component-path="C:\Users\W10\AppData\Local\Programs\Opera\assistant" $(Arg0)
Task - Opera scheduled Autoupdate 1609265560 --> C:\Users\W10\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0)

------------ | C:\ %SystemDrive% - Disco fijo (NTFS) |

[06/03/2021 - 15:18:23 | ASH | 8 Ko] - DumpStack.log.tmp
[07/12/2019 - 07:10:12 | A | 0 Ko] - config.sys
[06/03/2021 - 15:18:23 | ASH | 1254264 Ko] - hiberfil.sys
[06/03/2021 - 15:18:23 | ASH | 1638400 Ko] - pagefile.sys
[06/03/2021 - 15:18:23 | ASH | 16384 Ko] - swapfile.sys
[06/03/2021 - 11:54:16 | SHD] - Config.Msi
[02/07/2020 - 19:58:52 | SHD] - $Recycle.Bin
[07/12/2019 - 07:10:12 | A | 0 Ko] - autoexec.bat
[07/12/2019 - 07:12:07 | D] - PerfLogs
[02/07/2020 - 18:59:40 | SHD] - Recovery
[02/07/2020 - 19:00:26 | SHD] - Documents and Settings
[02/07/2020 - 19:00:26 | SHD] - Archivos de programa
[02/07/2020 - 19:24:24 | RD] - Users
[03/07/2020 - 13:12:04 | HD] - OneDriveTemp
[13/02/2021 - 00:14:04 | HD] - $WinREAgent
[28/02/2021 - 19:28:14 | HD] - ProgramData
[06/03/2021 - 12:09:13 | D] - Windows
[06/03/2021 - 12:18:09 | D] - FSTool
[06/03/2021 - 15:25:27 | D] - AdwCleaner
[06/03/2021 - 15:31:48 | RD] - Program Files

------------ | D:\ - Disco fijo (NTFS) |

[24/09/2018 - 00:29:25 | A | 74 Ko] - 20180920_Astra-HotBird.sdx
[11/02/2020 - 18:59:31 | A | 2 Ko] - basepass.kdbx
[23/01/2017 - 22:48:34 | SH | 2 Ko] - AlbumArtSmall.jpg
[23/01/2017 - 22:48:34 | SH | 2 Ko] - AlbumArt_{6111466A-4884-476D-B88F-5E823F3FCF6C}_Small.jpg
[23/01/2017 - 22:48:34 | SH | 9 Ko] - AlbumArt_{6111466A-4884-476D-B88F-5E823F3FCF6C}_Large.jpg
[23/01/2017 - 22:48:34 | SH | 9 Ko] - Folder.jpg
[23/01/2017 - 22:48:35 | SH | 0 Ko] - desktop.ini
[02/07/2020 - 19:06:21 | SHD] - $RECYCLE.BIN
[02/07/2020 - 19:57:23 | RASH | 8 Ko] - BOOTSECT.BAK
[23/04/2014 - 18:46:30 | SHD] - RECYCLER
[22/06/2014 - 17:02:16 | D] - Users
[25/03/2016 - 11:24:34 | D] - 007
[27/08/2017 - 10:19:43 | RSH | 305 Ko] - JMYGF
[27/08/2019 - 18:47:32 | D] - Picons
[07/12/2019 - 07:07:12 | ASH | 0 Ko] - BOOTNXT
[17/03/2020 - 13:02:53 | D] - FileHistory
[26/05/2020 - 20:32:58 | D] - Program Files
[04/06/2020 - 08:45:02 | SHD] - MapData
[05/06/2020 - 11:34:02 | RD] - WindowsApps
[03/07/2020 - 13:05:53 | D] - Windows_Office
[11/02/2021 - 12:24:54 | RASH | 404 Ko] - bootmgr
[13/02/2021 - 00:12:45 | SHD] - Boot

------------ | E:\ - Disco fijo (NTFS) |

[13/06/2020 - 01:24:23 | ASH | 8 Ko] - DumpStack.log.tmp
[19/03/2019 - 03:43:45 | A | 0 Ko] - config.sys
[13/06/2020 - 01:24:23 | ASH | 262144 Ko] - swapfile.sys
[02/07/2020 - 18:36:31 | ASH | 2286948 Ko] - pagefile.sys
[02/07/2020 - 18:42:15 | ASH | 3135668 Ko] - hiberfil.sys
[05/06/2020 - 01:05:38 | AH | 0 Ko] - $WINRE_BACKUP_PARTITION.MARKER
[02/07/2020 - 19:06:21 | SHD] - $Recycle.Bin
[19/03/2019 - 03:43:45 | A | 0 Ko] - autoexec.bat
[05/06/2020 - 11:27:26 | RASH | 8 Ko] - BOOTSECT.BAK
[02/07/2020 - 17:57:53 | HD] - $Windows.~WS
[02/07/2020 - 17:57:58 | D] - $WINDOWS.~BT
[07/12/2019 - 07:07:12 | ASH | 0 Ko] - BOOTNXT
[07/12/2019 - 07:12:07 | D] - PerfLogs
[07/02/2020 - 11:40:55 | SHD] - Documents and Settings
[07/02/2020 - 11:40:56 | SHD] - Archivos de programa
[04/06/2020 - 22:49:49 | HD] - $WinREAgent
[05/06/2020 - 09:58:24 | RD] - Users
[05/06/2020 - 11:29:47 | RD] - Program Files
[05/06/2020 - 11:41:33 | SHD] - Recovery
[05/06/2020 - 11:47:25 | HD] - ProgramData
[12/06/2020 - 16:37:02 | RASH | 404 Ko] - bootmgr
[13/06/2020 - 01:22:49 | D] - Windows
[13/06/2020 - 01:25:18 | SHD] - Boot
[02/07/2020 - 18:23:30 | D] - ESD

Elemento(s) infectado(s) : 0
Elementos analizados : 66148 en 00h 00m 38s

# UsbFix-Report-01.txt [7018B]

------------ | E.O.F  |

He pasado de nuevo CCleaner y reiniciado. Ahora mismo no noto nada raro. En principio dejo activado el MalwareBytes y ¿qué antivirus me recomendáis? Entiendo que de vez en cuando realizar este mismo chequeo tampoco vendrá mal…

Hola @alkro

Respecto IFS tienes un poco de fragmentación en la unidad C. Tienes malware de tipo Adware parece ser, pero muy poquito.

Respecto Malwarebytes >> está limpio.

Respecto AdwCleaner >> ha realizado una pequeña detección.

Respecto JRT >> está limpio.

Respecto UsbFix >> está limpio. ¿Has podido vacunar los dispositivos como te dije?

En general veo la máquina con muy poco rastro de malwares. De todas formas realizaremos unas pequeñas comprobaciones más para estar más seguros.

Después hablaremos de esto.

EN BUSCA / ELIMINACIÓN DE MALWARE

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, USB, etc).

0) Descarga Eset Online Scaner Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y realizas un Análisis Personalizado tal y como se indica en su manual. Me traes su reporte.

1) Descarga Kasperky Virus Removal Tool Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y lo realizas tal y como se indica en su manual. En este caso no da reporte alguno, cuando finalice, presionas en la pestaña Report tal y como se indica en su manual y haces una captura de pantalla y la subes.

¿Como subir imágenes al Foro?

2) Descarga, instala y ejecuta ZHP Cleaner siguiendo su manual, lo descargas, instalas y ejecutas. Cuando termine, elimina todo lo que encuentre.

RESTABLECER NAVEGADORES

Restablece todos los navegadores que tengas tal y como se indica en esta guía:

OJO, REALIZA SOLO LA PARTE QUE EMPIEZA EN: PUP/Adware en: Internet Explorer y hacia abajo todos los posts que siguen (PUP/Adware en: Mozilla Firefox, PUP/Adware en: Google Chrome) y si tienes algún navegador como Opera o Safari que no salen en la guía, pues haz procedimientos similares y extrapolas de los navegadores que sí que aparecen.

Guía de cómo eliminar Adwares/PUPs

PRÓXIMA RESPUESTA

Pegas los reportes de Eset Online Scaner, Kasperky Virus Removal Tool (captura), ZHP Cleaner y comentas como va el PC.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

• No realices pasos/acciones que NOSOTROS no te hayamos indicado.
• No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
• No instales NADA (programas/software/complementos/extensiones del navegador…).
• No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
• No realices por tu cuenta otros procedimientos.
• Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

Muy Importante Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report703×272 3.73 KB

Salu2.

ESET Online

06/03/2021 20:31:07
Archivos analizados: 459834
Archivos detectados: 0
Archivos desinfectados: 0
Tiempo total de análisis: 01:26:23
Estado del análisis: Finalizado

OK. Faltan el resto de logs y comentar como va la máquina así como contestar las preguntas que te hice en mi anterior post. Pero de momento tiene buena pinta.

Salu2.

Si. No tiene dispositivos USB, ni discos duros externos. Ahora mismo está terminando el Karspesky

OK. Perfecto. Pues sigues y cuando acabes me comentas con todo el resto que te he pedido.

Kaspersky

Karspesky477×822 50.4 KB

ZHPCleaner

ZHPCleaner v2021.3.5.284 by Nicolas Coolman (2021/03/05)
Run by W10 (Administrator)  (06/03/2021 22:19:58)
Web: https://www.nicolascoolman.com
Blog: https://nicolascoolman.eu/
Facebook : https://www.facebook.com/nicolascoolman1
State version : Version OK
Type : Scanner
Report : C:\Users\W10\Desktop\ZHPCleaner (S).txt
Quarantine : C:\Users\W10\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
System Restore Point : 
UAC : Activate
Boot Mode : Normal (Normal boot)
Windows 10 Pro, 32-bit  (Build 19042)


---\\  Alternate Data Stream (ADS). (0)
No malintencionados o innecesarios artículos encontrados.


---\\  Servicios (0)
No malintencionados o innecesarios artículos encontrados.


---\\  Navegadores de Internet (1)
ENCONTRADOS: [et00pxjs.default-release] - user_pref("extensions.webextensions.uuids", "{\"[email protected]\":\"b8e15477-f9dd-48cb-a907-[...]  =>SUP.Optional.MindSpark


---\\  Hosts carpeta (1)
El archivo hosts es legítimo (21)


---\\  Tareas automáticas programadas. (0)
No malintencionados o innecesarios artículos encontrados.


---\\  Explorador ( Archivos, Carpetas ) (2)
ENCONTRADOS carpeta: C:\Users\W10\AppData\Local\Google\Chrome\User Data\Default\Preferences    =>ChromiumPreference
ENCONTRADOS carpeta: C:\Users\W10\AppData\Local\Microsoft\Edge\User Data\Profile 1\Preferences    =>ChromiumPreference


---\\  Registro ( Claves, Valores, Datos) (0)
No malintencionados o innecesarios artículos encontrados.


---\\  Resumen de elementos en su estación de trabajo (2)
https://nicolascoolman.eu/2017/01/15/superfluous-mindspark/  =>SUP.Optional.MindSpark
https://nicolascoolman.eu/2020/10/01/preferences-navigateurs-chromium/  =>ChromiumPreference


---\\ Resultado de la reparación.
ninguna reparación hecha
Google Chrome OK
Mozilla Firefox OK
Internet Explorer OK
Opera Stable OK


---\\ STATISTIQUES
Items escaneado : 82684
Items encontrado : 3
artículos cancelados : 0
Ahorro de espacio (bytes) : 0
Items opciones : 9/17


---\\ OPCIONES NO ACTIVAS
Análisis temporal de archivos
Análisis temporal de carpetas
Análisis de CLSID de carpetas vacías
Vaciar otro análisis de carpetas
Análisis de carpetas locales vacías
Análisis de carpetas locales vacías
Análisis de archivos de instalación obsoleto
Iniciar navegadores con extensiones eliminadas





End of search in 00h14mn34s

---\\  Reporte (0)
ZHPCleaner-[S]-06032021-22_34_32.txt

Pon el log de ZHPCleaner correctamente, ya que verlo así es una tortura. Si no arrastras el fichero de texto directamente a tu mensaje y ya lo cargará como fichero de texto directamente.

Después comentas como va la máquina así como dime el que de las preguntas que te hice.

Salu2.