Malwarebytes bloquea sitios web recurrentemente

Buenos días,

Vengo a solicitaros ayuda, ya que tras probar una y otra vez por mi cuenta intentando seguir los hilos pinchados para detectar y eliminar cualquier infección en mi pc, no he conseguido frenar que malwarebytes siga indicando que bloquea ip’s que intentan realizar conexión con mi PC.

Hace casi dos semanas formateé mi unidad principal y reinstalé S.O , office y programas, todos ellos bajados de sitios oficiales y originales/claves compradas.

A las pocas horas de poner a punto mi PC y terminar de ajustarlo, malwarebytes empezó a notificarme que estaba bloqueando sitios web que estaban intentando realizar una conexión entrante con una IP y puerto en concreto y como archivo de referencia pone los del sistema: a veces el svchost.exe a veces pone System y ya, otras spoolsv.exe y no sé si alguno más, pero predomina el primero.

image979×616 67.4 KB

Estos son algunos de los reportes, aquí los más recientes:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del evento de protección: 2/10/23
Hora del evento de protección: 11:44
Archivo de registro: 450ba6be-6108-11ee-8d9b-2cfda1e1ef5b.json

-Información del software-
Versión: 4.6.3.282
Versión de los componentes: 1.0.2158
Versión del paquete de actualización: 1.0.75883
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 19045.3516)
CPU: x64
Sistema de archivos: NTFS
Usuario: System

-Detalles del sitio web bloqueado-
Sitio web malicioso: 1
, System, Bloqueado, -1, -1, 0.0.0, , 

-Datos de sitio web-
Categoría: En peligro
Dominio: 
Dirección IP: 141.98.11.19
Puerto: 5426
Tipo: Entrante
Archivo: System



(end)

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del evento de protección: 2/10/23
Hora del evento de protección: 11:15
Archivo de registro: 45a6992a-6104-11ee-a164-2cfda1e1ef5b.json

-Información del software-
Versión: 4.6.3.282
Versión de los componentes: 1.0.2158
Versión del paquete de actualización: 1.0.75883
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 19045.3516)
CPU: x64
Sistema de archivos: NTFS
Usuario: System

-Detalles del sitio web bloqueado-
Sitio web malicioso: 1
, C:\Windows\System32\svchost.exe, Bloqueado, -1, -1, 0.0.0, , 

-Datos de sitio web-
Categoría: En peligro
Dominio: 
Dirección IP: 185.156.73.206
Puerto: 5040
Tipo: Entrante
Archivo: C:\Windows\System32\svchost.exe



(end)

No sé si podríais ayudarme a dar con el problema y conseguir que esto cese.

Muchas gracias de antemano y estoy a vuestra disposición y cualquier info que necesitéis facilitarla lo antes posible.

Hola, buenas @Zendor bienvenido al foro. Al ser nuevo te recomiendo que te leas las políticas de este. No porque hayas hecho nada mal, sino para saber más acerca del funcionamiento de este.

¿Sigues necesitando ayuda acerca del problema qué comentaste inicialmente en este tema?

Si es así, dímelo y atenderé tu caso.

Salu2.

Buenos días,

Sí, sigo necesitando ayuda con esto, siguen saltando bloqueos a ip constantemente.

Muchas gracias.

Hola, buenas @Zendor perdona que haya tardado en responder.

Ok.

[color=#2271b3] EN BUSCA / ELIMINACIÓN DE MALWARE [/color]

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, USB, etc).

0) Descarga Eset Online Scaner Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y realizas un Análisis Personalizado tal y como se indica en su manual. Me traes su reporte.

1) Descarga Kasperky Virus Removal Tool Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y lo realizas tal y como se indica en su manual. En este caso no da reporte alguno, cuando finalice, presionas en la pestaña Report tal y como se indica en su manual y haces una captura de pantalla y la subes.

¿Como subir imágenes al Foro?

2) Descarga, instala y ejecuta ZHP Cleaner siguiendo su manual, lo descargas, instalas y ejecutas. Cuando termine, elimina todo lo que encuentre.

[color=#2271b3] RESTABLECER NAVEGADORES[/color]

Restablece todos los navegadores que tengas tal y como se indica en esta guía:

OJO, REALIZA SOLO LA PARTE QUE EMPIEZA EN: PUP/Adware en: Internet Explorer y hacia abajo todos los posts que siguen (PUP/Adware en: Mozilla Firefox, PUP/Adware en: Google Chrome) y si tienes algún navegador como Opera o Safari que no salen en la guía, pues haz procedimientos similares y extrapolas de los navegadores que sí que aparecen.

Guía de cómo eliminar Adwares/PUPs

[color=#2271b3] PRÓXIMA RESPUESTA[/color]

Pegas los reportes de Eset Online Scaner, Kasperky Virus Removal Tool (captura), ZHP Cleaner y comentas como va el PC.

NOTA IMPORTANTE

[color=#ff0000]Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:[/color]

• No realices pasos/acciones que NOSOTROS no te hayamos indicado.
• No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
• No instales NADA (programas/software/complementos/extensiones del navegador…).
• No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
• No realices por tu cuenta otros procedimientos.
• Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

Muy Importante Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

report703×272 3.73 KB

Salu2.

Buenas,

Aquí dejo los reportes que me has indicado.

Reporte Eset Online Scaner:

03/11/2023 15:36:57
Archivos analizados: 1332055
Archivos detectados: 1
Archivos desinfectados: 1
Tiempo total de análisis 01:39:26
Estado del análisis: Finalizado
C:\Users\Cristian\AppData\Local\Packages\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\LocalState\Files\S0\4\Attachments\agreement for user ID  631017952[86].docx	DOC/Phishing.Agent.TA Troyano	desinfectado por eliminación

Captura Escaneo Kasperky Virus Removal Tool:

Reporte ZHP Cleaner

~ ZHPCleaner v2023.11.3.50 by Nicolas Coolman (2023/11/03)
~ Run by Cristian (Administrator)  (03/11/2023 18:29:41)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Type : Reparar
~ Report : C:\Users\Cristian\Desktop\ZHPCleaner (R).txt
~ Quarantine : C:\Users\Cristian\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ System Restore Point : OK
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Pro, 64-bit  (Build 19045)


---\\  Alternate Data Stream (ADS). (8)
MOVIDO carpeta ADS: C:\Users\Cristian\Desktop\iExplore.exe:MBAM.Zone.Identifier  =>.SUP.FileADS
MOVIDO carpeta ADS: C:\Users\Cristian\Downloads\ccsetup607.exe:MBAM.Zone.Identifier  =>.SUP.FileADS
MOVIDO carpeta ADS: C:\Users\Cristian\Downloads\esetonlinescanner.exe:MBAM.Zone.Identifier  =>.SUP.FileADS
MOVIDO carpeta ADS: C:\Users\Cristian\Downloads\KVRT.exe:MBAM.Zone.Identifier  =>.SUP.FileADS
MOVIDO carpeta ADS: C:\Users\Cristian\Downloads\mf_timer.exe:MBAM.Zone.Identifier  =>.SUP.FileADS
MOVIDO carpeta ADS: C:\Users\Cristian\Downloads\vlc-3.0.19-win64.exe:MBAM.Zone.Identifier  =>.SUP.FileADS
MOVIDO carpeta ADS: C:\Users\Cristian\Downloads\VoxengoMarvelGEQ_115_Win32_64_VST_VST3_AAX_setup.exe:MBAM.Zone.Identifier  =>.SUP.FileADS
MOVIDO carpeta ADS: C:\Users\Cristian\Downloads\ZHPCleaner.exe:MBAM.Zone.Identifier  =>.SUP.FileADS


---\\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Navegadores de Internet (0)


---\\  Hosts carpeta (1)
~ El archivo hosts es legítimo (21)


---\\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Explorador ( Archivos, Carpetas ) (7)
MOVIDO carpeta: C:\Users\Cristian\AppData\Local\Google\Chrome\User Data\Default\History    =>.SUP.BrowserHistoric
MOVIDO carpeta^: C:\Users\Cristian\AppData\Local\Microsoft\Edge\User Data\Default\History    =>.SUP.BrowserHistoric
MOVIDO carpeta: C:\Users\Cristian\AppData\Local\Google\Chrome\User Data\Default\Preferences    =>Préférences Chromium
MOVIDO carpeta: C:\Users\Cristian\AppData\Local\Microsoft\Edge\User Data\Default\Preferences    =>Préférences Chromium
MOVIDO archivo: C:\Users\Cristian\AppData\Local\Google\Chrome\User Data\Default\Cache\Cache_Data  =>.SUP.BrowserCache
MOVIDO archivo^: C:\Users\Cristian\AppData\Local\Microsoft\Edge\User Data\Default\Cache\Cache_Data  =>.SUP.BrowserCache
MOVIDO archivo: C:\Users\Cristian\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Discord Inc  =>.SUP.Discord


---\\  Registro ( Claves, Valores, Datos) (6)
BORRADOS dados: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{13d3f14b-afe9-4195-a358-9d648c2d8a44}\\DhcpNameServer [Bad : 212.142.173.65 77.26.11.233]  =>Hijacker.Browser
BORRADOS dados: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\\DhcpNameServer [Bad : 212.142.173.65 77.26.11.233]  =>Hijacker.Browser
BORRADOS clave*: HKEY_USERS\S-1-5-21-198276856-1786763480-3422722415-1001\SOFTWARE\Discord []  =>.SUP.Discord
BORRADOS clave*: HKEY_USERS\S-1-5-21-198276856-1786763480-3422722415-1001\SOFTWARE\Classes\Discord [URL:Discord Protocol]  =>.SUP.Discord
BORRADOS clave**: HKCU\Software\Discord []  =>.SUP.Discord
BORRADOS clave*: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Discord [Discord Inc.]  =>.SUP.Discord


---\\  Resumen de elementos en su estación de trabajo (6)
https://nicolascoolman.eu/2018/01/04/ads-alternate-data-stream/  =>.SUP.FileADS
https://nicolascoolman.eu/2023/07/18/les-caches-et-historiques-de-navigateurs/  =>.SUP.BrowserHistoric
https://nicolascoolman.eu/forum/Topic/repaquetage-et-infection/  =>Préférences Chromium
https://nicolascoolman.eu/2023/07/18/les-caches-et-historiques-de-navigateurs/  =>.SUP.BrowserCache
https://nicolascoolman.eu/forum/Topic/Discord-logiciel-potentiellement-superflu-lps/  =>.SUP.Discord
https://nicolascoolman.eu/2017/11/10/hijacker-browser-3/  =>Hijacker.Browser


---\\ Limpieza adicional. (5)
~ Clave de registro Tracing borrados (5)
~ Quitar los antiguos informes de ZHPCleaner. (0)


---\\ Resultado de la reparación.
~ Reparación llevada a cabo con éxito
~ Google Chrome OK
~ Microsoft Edge OK
~ Microsoft Internet Explorer OK
~ El sistema ha sido reiniciado.


---\\ STATISTIQUES
~ Items escaneado : 1114
~ Items encontrado : 0
~ artículos cancelados : 0
~ Ahorro de espacio (bytes) : 0
~ Items opciones : 10/18


---\\ OPCIONES NO ACTIVAS
~ Análisis temporal de archivos
~ Análisis temporal de carpetas
~ Análisis de CLSID de carpetas vacías
~ Vaciar otro análisis de carpetas
~ Análisis de carpetas locales vacías
~ Análisis de carpetas locales vacías
~ Análisis de archivos de instalación obsoleto
~ Iniciar navegadores con extensiones eliminadas





~ End of clean in 00h00mn29s

---\\  Reporte (2)
ZHPCleaner-[S]-03112023-18_24_04.txt
ZHPCleaner-[R]-03112023-18_30_10.txt

Siguen apareciendo más alertas y no consigo encontrar un patrón del motivo de ellas. Dejo una captura del historial de estos últimos días.

image936×668 46.3 KB

Hola, buenas @Zendor perdona que haya tardado en responder. Pues estos días no he tenido tiempo para el foro. Pero no por ello me he olvidado de tu caso

Sigamos pues…

Eset Online Scaner >> Ok.

Kasperky Virus Removal Tool >> Ok.

ZHP Cleaner >> Ok.

Realizas lo siguiente:

Malwarebytes Support Tool

1. Descargas Malwarebytes Support Tool.
2. En la carpeta de Descargas, abres el fichero llamado: mb-support-xxxxxx.exe
3. En la ventana emergente de User Account Control (UAC) / Control de cuentas de usuario (UAC), haces clic en YES/Sí para continuar con la instalación.
4. Ejecuta la herramienta de soporte de MBST.
5. En el panel de navegación izquierdo de la herramienta de soporte de Malwarebytes, haces clic en Advanced/Avanzado.
6. En Advanced Options/Opciones avanzadas, haces clic solo en Gather Logs/Recopilar registros. Una barra de estado muestra que la herramienta está obteniendo registros de su máquina. Esperas a que finalice (puede que tarde un rato).
7. Se guardará un archivo en formato zip llamado: mbst-grab-results.zip en el escritorio.

[color=#2271b3] PRÓXIMA RESPUESTA[/color]

Traes el fichero llamado: mbst-grab-results.zip, para ello solo hace falta en que arrastres el fichero desde tu escritorio hacia el cuadro de redacción del mensaje del foro en cuando estés escribiendo tu respuesta. Eso es, haces un arrastrar y soltar del fichero encima del cuado de redacción del mensaje de tu siguiente respuesta en el foro.

NOTA IMPORTANTE

[color=#ff0000]Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:[/color]

• No realices pasos/acciones que NOSOTROS no te hayamos indicado.
• No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
• No instales NADA (programas/software/complementos/extensiones del navegador…).
• No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
• No realices por tu cuenta otros procedimientos.
• Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

Salu2.

Hola

No me deja adjuntar zips a la respuesta e intento cambiar la extensión para poder hacerlo y pesa demasiado, alguna vía alternativa segura para hacerte llegar esto?.

Muchas gracias por todo y a ver si damos con la tecla.

Hola buenas @Zendor

A ver ficheros con formato zip te debería dejar subirlos. El problema es si pesan demasiado.

¿Cuántos M.B. pesa el fichero zip y los txt cuantos MB pesan si los descomprimes?

Salu2.

Buenas,

El Zip pesa 10 megas, y los ficheros txt. si son los que se llaman igual que el zip, pesa 176kb, desconozco cuales necesitas hay varias carpetas y subcarpetas con más ficheros.

Hola buenas @Zendor

Prueba a subirlo a servicios tipo: googledrive, onedrive, mega o similares y me compartes en enlace con el zip subido allí.

Salu2.

Vale, lo he subido a Drive, mira a ver si lo puedes obtener, cualquier cosa me dices.

Hola, buenas @Zendor

Disculpa en que haya tardado en responder.

Pues actualmente llevo muchísimos casos en el foro y tengo mi vida… y mi tiempo es limitado. Bastante limitado y el foro… es solo uno de mis pequeños hobbies.

¿Sigues necesitando ayuda acerca del problema qué comentaste inicialmente en este tema?

Si es así, dímelo y atenderé tu caso en cuando buenamente pueda.

Salu2.

Sí, el problema persiste y cada vez me preocupa más al desconocer por qué ocurre esto y no encontrar ningún indicio que lo provoque.

Estas son los últimos bloqueos que ha realizado mientras el ordenador estaba en standby únicamente con el navegador y un juego abierto.

image861×541 43.9 KB

Hola buenas @Zendor

Primero de todo, disculpa en que haya tardado en responder. Pues han sucedido una serie de contratiempos que han hecho que no pudiese responder durante casi un mes aprox.

Pues:

• He estado enfermo varias semanas/días.
• He tenido problemas familiares/personales.
• Estas fechas festivas de navidad, uno tiene muchas cosas que hacer.
• Tengo también mucha carga laboral/trabajos.
• El foro tuvo una serie de problemas técnicos hace un par de semanas y también estuvo caído varios días, pero ya se ha arreglado casi todo.

¿Sigues necesitando ayuda acerca del problema qué comentaste inicialmente en este tema?

Si es así, dímelo y por mi parte a partir del 16 de Enero podré seguir atendiendo tu caso. Puede que antes, pero el 16 de Enero. Seguro.

Salu2.

Hola, buenas @Zendor

¿Sigues necesitando ayuda acerca del problema qué comentaste inicialmente en este tema?

Si es así, dímelo y atenderé tu caso en cuando buenamente pueda.

Salu2.