Malware publicitario de VPNs

RESUMIENDO:

REALICE LOS PROCEDIMIENTOS QUE LE HE INDICADO SIGUIENDO LAS INDICACIONES DADAS Y SU MANUAL PERO SALTESE EL PASO DEL PROGRAMA CCLEANER ES DECIR, NO REALICE DICHO PASO HASTA QUE LE MODIFIQUE LOS PASOS A SEGUIR PARA QUE NO SE BORRE LA CONFIGURACIÓN QUE USTED TIENE CON RESPECTO A LO QUE ME HA COMENTADO ANTERIORMENTE.

Quedo a la espera de su respuesta!

Si se fija en las indicaciones que le he indicado en este foro con las indicaciones a seguir pone lo siguiente:

Aquí le dejo su manual: Junkware Removal Tool para que sepas como utilizarlo y configurarlo correctamente:

Pues bien siga dichos pasos.

RESUMIENDO:

REALICE LOS PROCEDIMIENTOS QUE LE HE INDICADO SIGUIENDO LAS INDICACIONES DADAS Y SU MANUAL PERO SALTESE EL PASO DEL PROGRAMA CCLEANER ES DECIR, NO REALICE DICHO PASO HASTA QUE LE MODIFIQUE LOS PASOS A SEGUIR PARA QUE NO SE BORRE LA CONFIGURACIÓN QUE USTED TIENE CON RESPECTO A LO QUE ME HA COMENTADO ANTERIORMENTE.

Quedo a la espera de su respuesta!

La herramienta ADWCleaner me detectaba el software de HP como PUP pero no lo eliminé ni puse en cuarentena ya que me puede ser esencial, no me parece que sea un malware y advertía sólo que los PUPs pueden ralentizar el sistema y luego borró un par de entradas de registro como indica el siguiente informe:

# -------------------------------
# Malwarebytes AdwCleaner 8.3.1.0
# -------------------------------
# Build:    11-18-2021
# Database: 2022-03-15.3 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    04-09-2022
# Duration: 00:00:05
# OS:       Windows 7 Ultimate
# Cleaned:  2
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKCU\Software\Sunisoft
Deleted       HKU\S-1-5-21-3873794253-4015080421-1287920044-1001\Software\Sunisoft

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1409 octets] - [11/04/2021 09:40:55]
AdwCleaner[S01].txt - [1470 octets] - [17/05/2021 10:44:30]
AdwCleaner[S02].txt - [1531 octets] - [03/09/2021 13:14:39]
AdwCleaner[S03].txt - [1784 octets] - [09/04/2022 19:20:40]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C03].txt ##########

Y JRT borra unos archivos temporales de internet, como indica el siguiente informe:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Malwarebytes
Version: 8.1.4 (07.09.2017)
Operating System: Windows 7 Ultimate x64 
Ran by digito (Administrator) on 09/04/2022 at 19:33:04,04
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




File System: 8 

Successfully deleted: C:\Users\digito\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DZQYFGOY (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\digito\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ION0V0KK (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\digito\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VCD79V4C (Temporary Internet Files Folder) 
Successfully deleted: C:\Users\digito\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VIRTIFU6 (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\DZQYFGOY (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\ION0V0KK (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VCD79V4C (Temporary Internet Files Folder) 
Successfully deleted: C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\VIRTIFU6 (Temporary Internet Files Folder) 



Registry: 0 





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on 09/04/2022 at 19:35:12,42
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Creo que ninguna de estas herramientas ha accedido a los perfiles de usuario de los navegadores ya que no observé ninguna actividad en el LED de la unidad externa en el momento del análisis y en los informes tampoco veo nada que indique que se haya mirado nada en la unidad externa. Tal vez estas herramientas no acceden y sí otra como ZHPCleaner que ejecuté hace tiempo creo recordar que sí y me quedé con esa impresión. Ya me contarás, el malware que creo que tengo afecta al navegador.

Espero más instrucciones!.

1 me gusta

No se preocupe que el resto de programas de desinfección que le hemos pasado en el proceso de análisis si que han analizado tanto los Discos Duros Internos como los Discos Duros Externos, por eso no se preocupe.

En cuanto al programa que me comenta, el ZHPCleaner no es necesario pasárselo en estos momentos ya que para eso se le están realizando otros procesos adicionales.

Le estoy realizando las indicaciones para que le pueda pasar el Ccleaner correctamente pero también le comento que si alguna extensión de su navegar está infectada con algún tipo de infección ésta puede ser la causa del problema que presente su ordenador ya que si usted no desea limpiar las extensiones con el Ccleaner y sigue teniendo la infección en alguna de sus extensiones en su navegador entonces no se eliminará dicha infección de sus diferentes navegadores.

Quedo a la espera de su respuesta!

Si el CCleaner sirve para eliminar infecciones claro que estoy de acuerdo en limpiar las extensiones. Concretamente en Chrome, que es donde instalé la extensión de VPN y donde se produjo la infección, no me importa incluso borrarlo, ya que tengo brave y firefox y Chrome ya no le doy uso. Pero ya te comenté que borré Chrome y el perfil del usuario y reinstalé para probar si se eliminaba el malware y volvió a aparecer la franja con publicidad en la parte inferior de la ventana. Está claro que con borrar no elimino el malware, vuelve a aparecer. Hasta ahora todo lo que fue desinfectado por las herramientas me parecen falsas alarmas.

Pensemos esto: lo que me preocupa de CCleaner es que me elimine la información de mis pestañas de Firefox únicamente. Tengo una copia de seguridad de los perfiles de usuario de Firefox en otra carpeta. Si se borra alguna información por CCleaner, siempre puedo hechar mano del backup. De hecho, puede que no necesite más que un archivo que se genera en Firefox para guardar la sesión (el listado de los enlaces de las pestañas) llamado sessionstore.jsonlz4. Este archivo no puede contener más malware que un enlace malicioso, ya que sólo es un listado de enlaces con metadatos. Puede que sea lo único que tenga que conservar. Podemos hacer la limpieza como quieras inicialmente y luego probar si se borró alguna información de la sesión y, si es así, sustituír sólo dicho archivo por el el backup y si aún así no se recupera toda la información, restaurar el perfil completo desde el backup y probar a hacer la limpieza de forma más selectiva.

1 me gusta

:three: Descargue, instale y Ejecute Ccleaner. Aquí le dejo la Url de descarga del Cclenaer: Ccleaner. para que sepa cómo descargarlo e instalarlo correctamente. Aquí te dejo su manual: Manual de CCleaner , para que sepas como usarlo y configurarlo correctamente.

MUY IMPORTANTE:

Nota Importante: En estas últimas versiones de CCleaner, junto al instalador del programa, viene añadida la opción de instalar el software Avast antivirus. Recomendamos DESTINLDAR esa opción para hacer una instalación limpia solo de CCleaner:

image

Tal como lo muestra la siguiente imagen, DESTILDAMOS la opción de Avast y presionamos el botón Instalar:

image

Lo instalas y lo ejecutas. En la pestaña Limpieza personalizada dejas la configuración predeterminada. Haces clic en Analizar y esperas a que termine. Seguidamente haz clic en Ejecutar Limpiador. Clic en la pestaña Registro > clic en Buscar Problemas esperas que termine. Finalmente clic en Reparar Seleccionadas y realizas una Copia de Seguridad del registro de Windows. (IMPORTANTE: En la opción de Registro pásele varias veces dicho procedimiento hasta que se refleje que: NO SE HAN ENCONTRADO PROBLEMAS ó TODOS LOS PROBLEMAS HAN SIDO RESUELTOS o un mensaje similar).

Me manda una Captura de Pantalla con los resultados que se hayan obtenido!

Quedo a la espera de su respuesta!

En este caso no he desactivado los antivirus ni ejecutado RKill. Le he pasado el procedimiento de reparación del registro varias veces hasta que no se encontraron más problemas. La captura final es esta:

y la captura de la ejecución del limpiador:

Nótese que no analiza los navegadores que uso, sólo analiza Internet Explorer.

1 me gusta

Hola chicloi.

¿Para qué día serán esas indicaciones que me dijiste ayer?. Para hacerme una idea, ya que viene la semana santa y en fin…

1 me gusta

:four: Descargue, instale y Ejecute: “Glary Utilities”. Aquí le dejo la Url de Descarga para que pueda descargarse el programa correctamente: Url de Descarga: Glary Utilities.

Aquí le dejo el manual de: “Glary Utilities” para que sepas cómo utilizarlo y configurarlo correctamente:

  1. Abrir el programa: “Glary Utilities” con Derechos de Administrador.

  2. Click donde pone la opción “Mantenimiento en 1-Click” y dejar “Todas las opciones Habilitadas” como se puede observar en esta imagen y clickea en la pestaña que pone Buscar problemas tal y como se refleja en la siguiente imagen:

  1. Empezará el proceso. Una vez finalizado dicho proceso click en la pestaña que pone: “Reparar Problemas”. Dejar que termine dicho proceso, empezará a solucionar los problemas encontrados.

Repetir nuevamente todo este procedimiento desde el principio hasta que en todos los recuadros ponga que "NO se han encontrado problemas."

Me mandas los Informes de todos los programas que se han pasado y una Captura de Pantalla

Quedo a la espera de su respuesta!

El programa no era portable y lo instalé en la unidad interna. Encontró problemas que no revisé pero reparé. La captura final de Glary Utilities:

1 me gusta

Ahora para proseguir realiza lo siguiente para asegurarnos que el sistema está bien:

:one: Selecciona el botón Inicio y ve a Configuración > Actualización y seguridad > Windows Update.

Máximice la pantalla y mándeme una Captura de Pantalla de todo lo que salga.

Quedo a la espera de su respuesta!

Lo que me aparece en Windows 7 es algo como esto:

No le tengo activado el buscar actualizaciones automáticamente, aunque también es cierto que hace tiempo que Microsoft no actualiza Windows 7 ni lo va a hacer. Yo le instalé hace un par de años las últimas manualmente.

1 me gusta

Click en donde pone: Buscar actualizaciones

Maximizas la pantalla y me manda una Captura de Pantalla con todo lo que le salga.

Quedo a la espera de su respuesta!

Me detecta actualizaciones para Windows Defender, el cual tengo desactivado para usar otros antivirus. En el Centro de Actividades me detecta el Eset Internet Security, que únicamente advierte que no está actualizado. Tal vez esta actualización “importante” de Windows Defender no me interesa al usar otro antivirus. Respecto a las otras, te pongo las capturas:

Las actualizaciones que denomina “importantes”:

Las que denomina “Opcionales”:

No actualicé nada hasta que me comentes. ¿Es conveniente desde el punto de vista de la seguridad que instale dichas actualizaciones?.

Es recomendable que instale SÓLO instale las actualizaciones IMPORTANTES. NO instale las actualizaciones OPCIONALES, sólo INSTALE las actualizaciones IMPORTANTES.

P.D: Si durante el Proceso de Instalación de las actualizaciones IMPORTANTES te pide que debe de reiniciar para poder instalarse correctamente las actualizaciones pues REINICIE! pero SÓLO si te lo solicita dicha actualización!

Una vez que haya finalizado el Proceso de Actualización por completo me manda una Captura de Pantalla con todo lo que salga.

Quedo a la espera de su respuesta!

Aquí la captura después de instalar las actualizaciones importantes:

¿Quedan muchos pasos?

1 me gusta

En respuesta a su pregunta, no, no quedan muchos pasos por realizar, estamos ya en los pasos finales

Acabo de revisar la Captura de Pantalla y se ha realizado correctamente, ahora clickea en la parte izquierda donde pone: Buscar actualizaciones y me una vez finalizado dicho proceso maximizas la pantalla y me manda una Captura de Pantalla con todo lo que se refleje.

Quedo a la espera de su respuesta!

La captura de la nueva búsqueda muestra que hay actualizaciones importantes a instalar otra vez:

Lo que voy a hacer es instalarlas y repetir el proceso por si vuelven a aparecer actualizaciones importantes como ahora. Cuando no aparezcan más actualizaciones importantes te pongo la captura. Supongo que eso es lo que me aconsejarás y nos lo ahorramos.

1 me gusta

La captura final:

1 me gusta

Acabo de ver la Captura de Pantalla y el Proceso de Actualización se ha realizado correctamente.

Le estoy realizando los siguientes pasos a seguir.