Que tal buen día, busco ayuda en este foro porque no encuentro respuestas a algunas dudas que tengo sobre actividad insual reciente en mi PC. De manera breve la situación es la siguiente: Ultimamente he recibido avisos de intentos de acceso a algunas de mis cuentas personales; Steam y dos de mis correos personales. Dichos accesos han sido variados y provienen uno de Rusia y otros dentro de mi propio país, México, pero en diferentes localizaciones. He utilizado Malwarebytes y en su momento encontró un Malware con extensión .ai , además todos los archivos de utorrent los detecteba como maliciosos. A pesar de haberlo corrido varias veces y posteriormente usar Kaspersky, los intentos de acceso a cuentas a continuado. Yo se que probablemente formatenado pueda solucionarse el problema, pero como tengo tres discos duros con bastante información no tengo manera de respaldarla y al mismo tiempo me queda la incertidumbre de si lo que respalde pueda tener rastros del problema. Sinceramente no se si sea un spyware, keylogger, etc. Solo busque info. general y creo que es lo que más se le parece, si alguien pudiera brindarme información o asesoría de que hacer, se lo agradecería bastante porque estoy muy perdido con el tema. De antemano agradezco mucho a quien se tome el tiempo de leer mi post!
Hola @CesarShoshi ¡¡Bienvenido a los foros de InfoSpyware!!
Aclaremos unas cosas Restablecer el equipo, reinstalar el sistema o formatear no va a resolver ninguno de los siguientes problemas:
- Cuentas de correo o de redes sociales que han sido hackeadas
- Inicios de sesión de servicios en linea o portales bancarios que ya pudieron haber sido robados y se esten tratando de acceder sin tu consentimiento
- Cuentas en otros sitios web con publicaciones a tu nombre y que no fueron hechas por tí
- Compras a tu nombre y cargos a tus tarjetas de crédito, debito o PayPal que tú no hayas autorizado
- Cualquier otra señal que indique que ya eres víctima de suplantación o robo de identidad
Solo he mencionado algunos, esto los tienes que resolver por tu cuenta contactando a las instituciones correspondientes, cambiar las contraseñas, usar verificación en dos pasos, cambiar las direcciones de contacto e incluso los numeros de teléfonos que esten asociados a los servicios afectados y si esto no funciona, dar de baja las cuentas afectadas y crear nuevas y debes de hacerlo lo mas pronto posible para evitar alguna perdida económica significativa.
El robo de información sensible, privilegiada o confidencial es algo que hacen los trojan stealers como Azoreult o Vidar y actualmente los stealers forman parte de ataques mas complejos como los provocados por ransomwares Debido a la gran cantidad de información y discos duros que tienes es muy difícil que te des cuenta si hay archivos cifrados rondando por tu sistema
Al parecer tienes Malwarebytes, realiza un análisis personalizado a tu equipo con el siguiendo estas instrucciones
Se recomienda usar esta opción cuando queramos buscar específicamente en algún lugar, disco o memoria usb de nuestro equipo.
Pulsaremos en cualquier parte en blanco del “Analizador”:
- Análisis Avanzado.
- Configurar el análisis.
- Dejaremos las opciones que están marcadas por defecto, y seleccionaremos TODAS las unidades de disco o usb que tenemos conectadas en nuestro equipo
- Por último clic en “Analizar”.
Inmediatamente veremos esta pantalla donde observaremos en el progreso de las distintas etapas que se irán produciendo consecutivamente, desde “Buscar Actualizaciones” hasta llegar al “Análisis del sistema de archivos”, y además podremos ir viendo los objetos infectados que se vayan encontrando.
Al terminar el proceso de análisis veremos esta pantalla con los resultados del mismo, en ella pulsaremos en Cuarentena, primero evidentemente podemos verificar que es lo que nos ha detectado el análisis, revisando por si hubiera algo que NO quisiéramos eliminar.
Si no selecciona ninguna amenaza para moverse a la cuarentena, se le solicitará que haga clic en “Ignorar una vez”, “Ignorar siempre” o “Cancelar”. Ignorar una vez provocará que la amenaza vuelva a aparecer durante la siguiente ejecución de análisis. Ignorar siempre provoca que la amenaza se agregue a Exclusiones. Una amenaza que se ha añadido a las Exclusiones ya no será reportada como una amenaza a menos que haya razones para creer que ha sido manipulado. Debe proporcionar una disposición para cada amenaza que se muestra en esta pantalla. Las amenazas que se han trasladado a la cuarentena no pueden dañar su computadora. Se neutralizan como parte del proceso de cuarentena.
Una vez llevado a cabo la desinfección veremos esta pantalla final.
Al hacer clic en el botón Ver informe, se muestra el informe de escaneado que acaba de completar.
Seleccionas todo lo que encuente Malwarebytes y mandas TODO LO ENCONTRADO a cuarentena. No vayas a omitir nada de nada
Te voy a pedir que te armes de paciencia y mantengas tu equipo conectado a la corriente; tienes demasiada información y el análisis va a tomar mucho tiempo. Por favor deja que el análisis se complete y no vayas a cancelarlo
Cuando respondas, traes el reporte de Malwarebytes
Saludos
Muchas gracias por la respuesta!
Quiero aclarar unas cosas, hasta el momento nadie a hackeado o entrado a ninguna de mis cuentas, ni suplantado mi identidad, ni nada por el estilo. Lo único que ha pasado es que han intentado acceder a dos de mis cuentas: Una de steam y otra de correo electronico, pero han fracasado en el intento porque he logrado cambiar las contraseñas. Para este punto no he encendido el ordenador por lo mismo de que no se como funciona todo esta situación y no quiero que sigan intentado acceder hasta obtener algún acceso.
Hare dicho escaner y en cuanto tenga la información de Malwarebytes, subire el analisis.
Muchas gracias de nuevo!
Hola buenas, he tardado un poco porque estos días he estado algo ocupado, pero por fin pude realizar el analisis de todos los discos. Aquí esta el reporte
Malwarebytes
www.malwarebytes.com
-Detalles del registro-
Fecha del análisis: 16/5/23
Hora del análisis: 15:20
Archivo de registro: 7b176928-f42f-11ed-a90b-fc3497a1684b.json
-Información del software-
Versión: 4.5.24.248
Versión de los componentes: 1.0.1952
Versión del paquete de actualización: 1.0.69572
Licencia: Gratis
-Información del sistema-
SO: Windows 11 (Build 22621.1702)
CPU: x64
Sistema de archivos: NTFS
Usuario: DESKTOP-TIUTI6U\cesar
-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 840530
Amenazas detectadas: 10
Amenazas en cuarentena: 10
Tiempo transcurrido: 3 hr, 14 min, 27 seg
-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Activado
Heurística: Activado
PUP: Detectar
PUM: Detectar
-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)
Módulo: 0
(No hay elementos maliciosos detectados)
Clave del registro: 1
PUP.Optional.BundleInstaller, HKU\S-1-5-21-3869748055-322026896-2261229577-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\UNINSTALL\uTorrent, En cuarentena, 114, 1147950, , , , , ,
Valor del registro: 0
(No hay elementos maliciosos detectados)
Datos del registro: 0
(No hay elementos maliciosos detectados)
Secuencia de datos: 0
(No hay elementos maliciosos detectados)
Carpeta: 0
(No hay elementos maliciosos detectados)
Archivo: 9
PUP.Optional.BundleInstaller, C:\USERS\CESAR\APPDATA\ROAMING\Microsoft\Internet Explorer\Quick Launch\µTorrent.lnk, En cuarentena, 114, 1147950, , , , , C1ACCD462E87972B1615589D499E5C00, 102C19DB8861841A941BDA58ED0755AD2725F91D4066AB2E311FBCD67691DB4F
PUP.Optional.BundleInstaller, C:\USERS\CESAR\APPDATA\ROAMING\Microsoft\Windows\Start Menu\µTorrent.lnk, En cuarentena, 114, 1147950, , , , , 6FAF98673D54858835F7186EB4AD27B1, 8FDE3F5CC7E63560477E64DEDB5E6AA88C5B87AF51140C9BECA4B6F69AE2C709
PUP.Optional.BundleInstaller, C:\USERS\CESAR\ONEDRIVE\ESCRITORIO\µTorrent.lnk, En cuarentena, 114, 1147950, , , , , 2F6E331889BF4E081DF5DF7A4CF7E267, C94E0A6874A5D6707EA28E58B22C6B72A04F4EE1DD30C07B8E83EFDEF0F19B11
PUP.Optional.BundleInstaller, C:\USERS\CESAR\APPDATA\ROAMING\UTORRENT\UTORRENT.EXE, En cuarentena, 114, 1147950, 1.0.69572, , ame, , 2EE36BD3F813D76D3E33BFA7EE623F08, DC67CE9CD82C8CC705AB09B7C8A08F2EF87E0C07D0D109F0EED583EBAE23D0C6
PUP.Optional.BundleInstaller, C:\USERS\CESAR\APPDATA\ROAMING\UTORRENT\UPDATES\3.6.0_46672.EXE, En cuarentena, 114, 1121241, 1.0.69572, , ame, , AFB8DA816160569CD3B775CCA5F51C04, EA0AEE60237ADCB585B9346D2C5CDFE786DEFB9451114550E493C74A5AC659A3
PUP.Optional.BundleInstaller, C:\USERS\CESAR\APPDATA\ROAMING\UTORRENT\UPDATES\3.6.0_46590.EXE, En cuarentena, 114, 1116198, 1.0.69572, , ame, , 06F659E92A757AEC084403EC483E3D55, 98053C48D68FDCBFCE8905C70305F2AD69CC2775691106D321A52E09BC64F983
PUP.Optional.BundleInstaller, C:\USERS\CESAR\APPDATA\ROAMING\UTORRENT\UPDATES\3.6.0_46802.EXE, En cuarentena, 114, 1147950, 1.0.69572, , ame, , 5EE686EFDF016823B1C96CD871AA66B1, B8607028C5CC453A91A899F6B045D8C7BF93C9969F884A1270F5596768CBA5DB
PUP.Optional.BundleInstaller, C:\USERS\CESAR\APPDATA\ROAMING\UTORRENT\UPDATES\3.6.0_46738.EXE, En cuarentena, 114, 1131981, 1.0.69572, , ame, , FD42379761A5DDA477083EBFB172286B, 9A27F17D859D7F60A26030C7A0EF3698FFA0FF5FF4230963E52AB79A6A4DACDF
PUP.Optional.BundleInstaller, C:\USERS\CESAR\APPDATA\ROAMING\UTORRENT\UPDATES\UTORRENT.EXE, En cuarentena, 114, 1147950, 1.0.69572, , ame, , 2EE36BD3F813D76D3E33BFA7EE623F08, DC67CE9CD82C8CC705AB09B7C8A08F2EF87E0C07D0D109F0EED583EBAE23D0C6
Sector físico: 0
(No hay elementos maliciosos detectados)
WMI: 0
(No hay elementos maliciosos detectados)
(end)
Veo que Malwarebytes machaco a uTorrent. Al parecer tendrás que cambiar de cliente torrent o seguiremos en las mismas
Como parte del procedimiento básico de desinfección necesitamos analizar tu equipo con Eset Online Scanner.
Descárgalo desde aquí : ESET Online Scanner | InfoSpyware Guárdalo en el escritorio y luego lo ejecutas como administrador
Sigue las instrucciones del siguiente manual
Para configurarlo y realizar un análisis personalizado a todo tu equipo
Al igual que con Malwarebytes, el análisis puede tomar mucho tiempo, así que Por favor, déjalo trabajar hasta que se complete y no vayas a cancelarlo Mandas todo lo encontrado a cuarentena. No vayas a restaurar nada de lo detectado ni tampoco trates de desinstalar el programa hasta que te lo digamos
Cuando respondas debes traer el reporte de Eset Online Scanner
Saludos
Hola otro gusto poder saludar de nuevo @JCTecn1cal, ya hice la analisis indicado en ESET online, a continuación dejo el reporte:
20/05/2023 22:05:34 p. m.
Archivos explorados: 663460
Archivos detectados: 12
Archivos desinfectados: 12
Tiempo total de exploración 01:58:46
Estado de la exploración: Finalizado
C:\Users\cesar\AppData\Local\Packages\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\LocalState\Files\S0\340\Attachments\PDFNew[345].pdf PDF/Phishing.A.Gen troyano desinfectado por eliminación
C:\Users\cesar\AppData\Local\Packages\microsoft.windowscommunicationsapps_8wekyb3d8bbwe\LocalState\Files\S0\340\Attachments\Recibo-ID#364535[347].docx DOC/Phishing.Agent.QB troyano desinfectado por eliminación
C:\Users\cesar\Downloads\Phasmophobia v0.8.0.8\Phasmophobia Fix Online v9.rar Win64/HackTool.Crack.AB aplicación potencialmente no segura eliminado
C:\Users\cesar\Downloads\Phasmophobia v0.8.0.8\Phasmophobia v0.8.0.8.rar Win64/HackTool.Crack.AB aplicación potencialmente no segura eliminado
E:\$Recycle.Bin\S-1-5-21-3010029824-961807896-657568824-1001\$R3QJC1T.x64\Adobe.Acrobat.Pro.DC.2022.001.20169.x64\Adobe BlocHost Verificator.cmd BAT/Qhost.NOV troyano desinfectado por eliminación
E:\$Recycle.Bin\S-1-5-21-3010029824-961807896-657568824-1001\$R3VZ70U\Adobe Acrobat Pro DC\Adobe Acrobat Pro DC\Setup.exe una variante de Win64/Kryptik.DSV troyano desinfectado por eliminación
E:\$Recycle.Bin\S-1-5-21-3010029824-961807896-657568824-1001\$RAY8S12.x64\Adobe.Acrobat.Pro.DC.2022.001.20169.x64\Adobe BlocHost Verificator.cmd BAT/Qhost.NOV troyano desinfectado por eliminación
E:\$Recycle.Bin\S-1-5-21-3010029824-961807896-657568824-1001\$RAE6K7W.zip BAT/Qhost.NOV troyano contenía archivos infectados
E:\BASURA\CheatEngine72.exe Win32/GameTool.IC aplicación potencialmente no segura,una variante de Win32/HackTool.CheatEngine.AF aplicación potencialmente no segura,una variante de Win64/HackTool.CheatEngine.A aplicación potencialmente no segura desinfectado por eliminación
E:\Games\Kingdom\Kingdom.Come.Deliverance.A.Womans.Lot.Update.v1.9.2-CODEX\Update\Setup.exe una variante de Win32/HackTool.Crack.ES aplicación potencialmente no segura desinfectado por eliminación
E:\Games\Kingdom\Kingdom.Come.Deliverance.A.Womans.Lot.Update.v1.9.3-CODEX\Update\Setup.exe una variante de Win32/HackTool.Crack.ES aplicación potencialmente no segura desinfectado por eliminación
E:\Games\Kingdom\Kingdom.Come.Deliverance.A.Womans.Lot.Update.v1.9.5-CODEX\Update\Setup.exe una variante de Win32/HackTool.Crack.ES aplicación potencialmente no segura desinfectado por eliminación
Hola alguien sabe que tengo que hacer? Ya con el analisis queda? Muchas gracias a quien responda!
Entonces, tuviste la precaución de resolver los problemas con tus cuentas online y no hay signos de suplantación o robo de identidad ¿Tu equipo esta funcionando correctamente o has notado comportamientos extraños en el?
He revisado tu reporte de Eset y parece haber detectado una especie de troyano posiblemente relacionado a un ransomware
Así que tendremos que realizar análisis completos con otras herramientas y cuando digo completos es que debes mantener conectados los discos duros externos o pendrives USB que hayas llegado a usar en el equipo
Para empezar deshabilita tu antivirus y toda clase de protección residente para que no interfieran con las herramientas ni en los procedimientos de desinfección
Descargue y ejecute la utilidad Rkill by Grinler (renombrada bajo el nombre de “iExplore.exe”) para evitar el bloqueo de los malwares. Una vez que esta fue ejecutada, es importante no reiniciar el sistema hasta que se le solicite.
Seguimos con Kaspersky Virus Removal Tool
Sigue las instrucciones y nos traes el reporte y si es posible algunas capturas de los objetos detectados por Kaspersky
Ahora vamos con DrWeb CureIt
Lo descargas, actualmente el enlace de descarga nos directamente a su pagina:
- Haces clic en el Botón Descargar gratis > en el cuadro que Dice Para Su ordenador personal
- Marcas las casillas y haces clic en el botón Descargar
- Aparecera un formulario como este
- Los 3 datos son obligatorios, no es necesario que tu nombre y apellidos sean los reales, lo que realmente importa es que la dirección de correo sea valida ya que ahí van a enviar el enlace para que puedas descargarlo.
- Marcas las dos casillas y haces clic en el botón Enviar y esperas a que te notifique que el enlace fue enviado a la dirección de correo que pusiste
- Ahora te toca comprobar tu email y ver si has recibido el mensaje de DrWeb, asegurate de revisar la carpeta de spam de tu correo para ver si el mensaje ha llegado, lo abres y sigues las instrucciones.
Sigue el manual que te puesto para realizar un análisis completo con DrWeb CureIt a tu equipo Debes seleccionar todas las casillas Configurar su reporte en mínimo A continuación pulsamos en “Haga clic para seleccionar archivos y carpetas”
Veremos la siguiente imagen:
Seleccionamos todas las unidades que tengamos, incluidas las extraibles y pulsamos en OK
Volveremos a la imagen anterior y pulsamos en Comenzar Escaneo
Una vez finalizado, si encuentra Amenazas, veremos una imagen similar a esta:
Pulsamos en Neutralizar
Una vez finalizada la desinfección, reiniciamos el pc.
Recuerda que es un análisis completo, por ende es muy exhaustivo y puede tomar bastante tiempo, así que ármate de paciencia y evita que el equipo se suspenda durante el análisis
Nos traes el reporte de DrWeb CureIt:
Buscaremos el Informe para pegarlo en el Foro:
De forma predeterminada, una vez que Dr. Web CureIt! finaliza de escanear el sistema operativo, crea un reporte que puede encontrar en la siguiente ruta:
Disco C\Nombre de Usuario\Dr Web\ Curelt.log
Nos comentas como va todo o cualquier problema que hayas tenido ya sea para descargar o al ejecutar DrWeb.
Cuando respondas, nos traes los reportes o capturas de Kaspersky Virus Removal Tool (KVRT) y el de DrWeb CureIt
Saludos