Malware publicitario de VPNs

Muy buenas.

Hace unos días empecé a probar distintos complementos para Chrome de VPNs buscando un servidor español gratuíto de los cuales finalmente no me quedé con ninguno y los desinstalé al momento. El problema es que desde entonces a veces cuando abro una pestaña nueva me aparece una página publicitaria no solicitada de una empresa de VPN que intenta venderme su producto antipublicitario, anti rastreo y demás. Esto no es más que un malware publicitario que me han colado a través de esos plugins, que son gratuítos a cambio de meter malware.

Probé a desinstalar Chrome con Revo Uninstaller y borrar el perfil del usuario y entonces reinstalar Chrome pero me volvió a aparecer, no es tan sencillo. Debe estar afectando al sistema.

Se me ocurre usar AdwCleaner pero por si esto no fuera suficiente y asegurarme , ¿alguien me puede orientar en cómo puedo proceder y qué herramientas malware tengo que usar?. Puede que sea un troyano y que me afecte más de lo que parece.

Gracias.

1 me gusta

Buenas compañero @digitoforo voy a intentar ayudarte, pero para ello necesito que me respondas a unas pregunras:

  1. ¿Te has descargado algún programa últimamente de alguna página no fiable?

  2. ¿La has realizado algún chequeo a tu ordenador con algún programa de seguridad? Si es así mándame dicho informe para que pueda revisarlo.

  3. Realizame una captura de pantalla de la ventana que dices que te sale para que pueda verla.

Quedo a la espera de su respusta!

Para poder enviarme los Informes que se le soliciten en este foro con respecto a los diferentes programas siga estos pasos: Aquí le dejo los Códigos para que me pueda enviar el Informe que se le solicite en este mismo foro como se refleja en el: Ejemplo:

[code]

[/code].

Ejemplo:

Me mandas dichos Informes y una Captura de Pantalla cuando finalicen dichos Procesos de Análisis.

Quedo a la espera de su respuesta!

Hola @Chicloi. En contestación a tus preguntas:

“1.¿Te has descargado algún programa últimamente de alguna página no fiable?”

.Que yo recuerde no instalé nada no fiable salvo las siguientes excepciones: recuerdo haberme bajado Wireshark para windows, que como exigía instalar WinPcap para funcionar y este he leído que sí tiene algún tipo de malware publicitario, no lo instalé y el Wireshark era versión portable, aunque sí lo ejecuté una vez.

Como te dije anteriormente instalé complementos gratuítos para Goolge Chrome de software de VPN, que estos ya no me parecen fiables porque algunos son gratuítos a cambio de instalarte software de publicidad / rastreo.

“2.¿La has realizado algún chequeo a tu ordenador con algún programa de seguridad? Si es así mándame dicho informe para que pueda revisarlo”.

Estuve a punto de lanzarme impulsivamente a escanear con algún programa de seguridad como AdwCleaner o ESET Online Scanner, pero como los escaneos con el ESET tardan muchas horas en mi equipo e iba a preguntar por aquí de todas maneras, he preferido primero pedir consejo de qué pasos tengo que dar idealmente o qué herramientas de seguridad usar y emplear el tiempo únicamente el necesario.

3.“Realizame una captura de pantalla de la ventana que dices que te sale para que pueda verla”.

Desafortunadamente, no puedo realizar la captura porque este anuncio sólo sale de forma aleatoria (sólo salió en Chrome porque era el que estaba funcionando durante la infección pero también tengo firefox), no tengo forma de forzar que aparezca para hacérsela.

Espero tus indicaciones impacientemente.

1 me gusta

Tengo un problema con tu mensaje en el foro: hay muchas palabras que no puedo leer, están en blanco, sólo las puedo ver si las selecciono con el puntero del ratón o las copio y pego en un fichero de texto. No sé si esto te pasa a tí y pasa porque le has dado un formato raro o tiene que ver con mi navegador o incluso con el posible malware. Aquí te dejo una captura para que veas:

Si puedes solucionar el tema del formato del texto en tus mensajes y si no tienes que ver con ello, darme alguna idea de porqué puede ser.

1 me gusta

Debe de acceder desde el ordenador que está teniendo el problema y acceder desde el navegador del Google Chrome y ahí es cuando saldrá todo correctamente. Desde el móvil NO sale bien dicho formato. Hazlo como le he indicado y podrá leerlo todo correctamente. El formato está correctamente.

Realice todos los pasos que le he indicado, siguiendo su manual, y me envía dichos informes y una Captura de Pantalla que generen dichos programas cuando terminen por completo todo el proceso de Análisis tal y como se indica en dicho manual.

Quedo a la espera de su respuesta!

Acabo de escanear con Malwarebytes y se quedó atascado cerca del final, después de 8 horas de escaneo… Por ello NO he seguido con los siguientes pasos hasta que me digas qué te parece y si tengo que seguir con ESET, volver a pasar el malwarebytes o alguna otra solución. Tengo la siguiente captura:

El total de ficheros a analiza eran poco más de 1182000 y se quedó a unos 20000 de terminar. Esos 20000 ficheros no fueron analizados. Estuvo como un cuarto de hora sin avanzar y no creo que ningún archivo pueda tardar tanto en analizarse, se atascó por algo. También probé a pausarlo y reanudar pero no sirvió para seguir.

En cualquier caso, aquí te dejo el informe generado:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 12/2/22
Hora del análisis: 10:37
Archivo de registro: 540efd48-8be7-11ec-9f7f-001cc4c7c3b7.json

-Información del software-
Versión: 4.5.2.157
Versión de los componentes: 1.0.1562
Versión del paquete de actualización: 1.0.51011
Licencia: Prueba

-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x64
Sistema de archivos: NTFS
Usuario: digito-PC\digitouser

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Cancelado
Objetos analizados: 1162136
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 8 hr, 27 min, 36 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

En fin, te agradezco que me digas cómo procedo en este caso. Esos 20000 archivos quedaron sin analizar y del resto no se encontraron amenazas.

1 me gusta
  1. Descarga y ejecuta RKill, para evitar el bloqueo de posibles malwares que pueda haber en tu equipo. Una vez que esta haya sido ejecutada, es muy importante NO reiniciar el sistema hasta que te lo solicite yo o alguno de los programas de desinfección de los que estemos utilizando.

En primer lugar, debes de descargar y ejecutar RKILL y dejas que acabe por completo todo el Proceso de Análisis y seguidamente ejecutar el programa: Malwarebytes, siguiendo su manual que le he dejado en este foro, y dejar que analice por completo y me mandas ambos Informes cuando acaben ambos programas.

Quedo a la espera de su respuesta!

El problema de la desaparición de palabras o del formato del texto de tus posts no se solucionó usando Chrome, esta es una captura de tu mensaje visto en Chrome:

Nota también que por el final hay bastante publicidad que sólo me aparece en Chrome, que es donde instalé aquellas VPNs…no me aparece en Firefox. Cierto es que en Firefox tengo el complemento UBlock pero en Chrome tengo el de malwarebytes (que se me instaló con la instalación de la herramienta, me dijiste que no instalara complementos pero este es del propio malwarebytes) que se supone que filtra Ads y Trackers y no sé si es que tengo el malware en Chrome y no en Firefox o es que es por el Ublock. ¿Esta publicidad la pone forospyware en su página o estamos ante un claro caso de malware publicitario?.

Me dispongo entonces a pasarle el RKill y el Malwarebytes como me comentas y te digo.

Una cosa más: al reiniciar Chrome parece que el filtro de malwatrebytes detecta la publicidad( en el arranque anterior todavía se estaba instalando) pero aún así tengo un marco inferior molesto que no lleva publicidad pero cubre la pantalla, lo cual me hace pensar que se instaló dicho malware, no creo que sea por la página de forospyware. Aquí te dejo la captura:

Nuestro foro no tiene publicidad! Se lo reviso en breve para poder intentar darle una solución e indicarle los procedimientos a seguir.

Con respecto a esa extensión que usted comenta del Malwarebytes es correcto, se instala con el programa del Malwarebytes, déje instalada dicha extensión.

Acabo de ejecutar Rkill y no ha hecho ninguna acción. El informe es este:

Rkill 2.9.1 by Lawrence Abrams (Grinler)
http://www.bleepingcomputer.com/
Copyright 2008-2022 BleepingComputer.com
More Information about Rkill can be found at this link:
 http://www.bleepingcomputer.com/forums/topic308364.html

Program started at: 02/13/2022 09:31:25 AM in x64 mode.
Windows Version: Windows 7 Ultimate Service Pack 1

Checking for Windows services to stop:

 * No malware services found to stop.

Checking for processes to terminate:

 * No malware processes found to kill.

Checking Registry for malware related settings:

 * No issues found in the Registry.

Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

Performing miscellaneous checks:

 * Windows Defender Disabled

   [HKLM\SOFTWARE\Microsoft\Windows Defender]
   "DisableAntiSpyware" = dword:00000001

Searching for Missing Digital Signatures: 

 * No issues found.

Checking HOSTS File: 

 * No issues found.

Program finished at: 02/13/2022 09:32:03 AM
Execution time: 0 hours(s), 0 minute(s), and 38 seconds(s)

¿Tiene sentido que vuelva a ejecutar malwarebytes si no hay acciones?, ten en cuenta que el análisis dura 9 horas y no puedo hacer nada con el portátil mientras escanea. Al no haber cambios temo que dé el mismo resultado. El Rkill está actualizado de mayo de 2021 y veo la posibilidad de que no detecte malware nuevo como puede ser el de las VPNs instaladas últimamente, pero no lo sé.

No ejecute el Malwarebyte hasta que no le solucione lo del problema del formato de las letras que usted no puede leer para que usted pueda seguir con el manual del programa: Malwarebytes.

La duración del programa: Malwarebytes depende del tipo de procesador que usted tenga y de la capacidad de Ram que usted tenga. También depende de la capacidad del Disco Duro que tenga y de todos los archivos que tenga en total en su ordenador ya que todos esos factores mencionados anteriormente, hará que el programa: Malwarebytes se demore mucho más en el Proceso de Análisis. Tenga en cuenta que desinfectar un ordenador por completo lleva su tiempo y cada vez es más complicado ya que las infecciones son más sofisticadas y cada vez los programas de desinfección son más potentes y claro, todo ese proceso de desinfección pueden conllevar bastantes horas.

Con respecto a que si puede usar el ordenador mientras se estén pasando los programas de desinfección no es conveniente ya que todos los programas de desinfección consumen Memoria Ram y ello puede hacer que si usted usa el ordenador mientras se están analizando el proceso de desinfección puede ocurrir que el programa se cuelgue o tarden más horas en finalizar.

El programa: Rkill su finalidad es parar las infecciones que puedan estar activas en su ordenador para que los programas de desinfección puedan eliminarlas sin ningún inconveniente, esa es la función que tiene el Rkill, por lo tanto, el programa: Rkill está indicado para ello y realiza correctamente si finción

Sólo digo que si el RKill en este caso no hizo cambio alguno en memoria según el informe y es como si no lo hubiera ejecutado. El malwarebytes podrá repetir la historia y bloquearse otra vez. Si el motivo es malware, RKill no lo está detectando. Por eso tal vez deba hacerse algo antes de ejecutarlo otra vez, 9 horas…

El manual de malwarebytes se lee perfectamente, no está afectado y ya lo he leído para el primer escaneo que hice, podemos seguir si es por eso.

Gracias!

1 me gusta

No se preocupe, el programa: Rkill ha realizado correctamente su función ya que la finalidad que tiene es parar las infecciones que puedan estar activas en su ordenador para que los programas de seguridad puedan eliminar dicha infección en dicho Proceso de Análisis. No se preocupe, en este caso, el programa: Rkill realiza correctamente su función.

Con respecto al programa: Malwarebytes puede demorar bastante en dicho proceso de análisis ya que, como le he comentado anteriormente, depende de varios factores, del tipo de procesador que usted tenga, de la capacidad de la Memoria Ram que usted tenga, de la.capacidad del Disco Duro que tenga en su ordenador y de todo el contenido en total que usted tenga en su ordenador ya que todos esos factores influyen en que se pueda demorar más el programa: Mañwarebytes o no.

¿Eso quiere decir que RKill está cargado en memoria para evitar que se ejecute el malware mientras hago el escaneo?. Estoy viendo en el administrador de tareas (tengo el System Explorer) que no hay ningún proceso rkill.exe cargado en memoria, ¿cómo se llama o está oculto?

1 me gusta

¿Eso quiere decir que RKill está cargado en memoria para evitar que se ejecute el malware mientras hago el escaneo?.

En respuesta a su pregunta: Efectivamente es así como usted comenta, el programa: Rkill se carga en memoria para evitar que se ejecuten las infecciones que pueda tener usted activas en su ordenador para que el programa: Malwarebytes pueda eliminar las infecciones correctamente que usted pueda tener en su ordenador.

Si usted puede leer correctamente el manual del programa: Malwarebytes realice el procedimiento de nuevo, es decir, en primer lugar le pasa el programa: Rkill, dejas que termine dicho proceso de Análisis por Completo, NO reinicie el ordenador a no ser que yo se lo indique o el programa: Malwarebites se lo indique, seguidamente, pásele el programa: Malwarebytes, siguiendo su manual.

Una vez terminado dichos Procesos de Análisis por completo me manda los dos Informes que generen, tanto el del programa: Malwarebytes como el del programa: Rkill.

Quedo a la espera de su respuesta!