Múltiples sincronizaciones automáticas desde muchos países

Primero que todo, no se si se trata concretamente de un virus o un ataque, por lo que no se si es la sección adecuada para mi tema.

Mi “problema” es el siguiente, hoy 16/11/ ingrese a un correo electrónico algo viejo (porque ya no uso mucho) y me tope con un mensaje diciendo que parece ser que alguien uso mi cuenta por lo que me pidió cambiar la contraseña, al poder ingresar, en la bandeja de correo vi que tenía muchas alertas de Microsoft informandome de actividad inusual en mi cuenta, por lo que al verificar la actividad de la cuenta y me encuentro con esto…

(No encontré otra manera de subir la imagen, me salta siempre un error al intentar subir una imagen desde mi computadora)

Quisiera saber que son esas sincronizaciones automáticas, si pueden ser producto del robo de mi cuenta.

Una aclaración es que todas estas aparecen con “protocolo: IMAP”.

Hola

Que tipo de correo usas ? Hotmail, Gmail, otro … ?

Gracias por esa aclaración! :slight_smile:

Uso Hotmail.

Saludos.

Hola

Solo con cambiar la contraseña de Tu correo y usar la doble identificación (por ejemplo Mail + SMS a Tu telefono) podrás tener control sobre tu cuenta.

De paso, vamos a revisar Tu PC …

Realiza los siguientes pasos, sin cambiar el orden:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descargá a Tu escritorio las siguientes herramientas:

3.- Seguí paso a paso las acciones …

Malwarebytes

Instalalo y actualizalo. Realiza un Análisis Completo. Pulsa en “Eliminar Seleccionados” para enviarlo a la cuarentena. Reinicias el sistema. En el apartado del manual “Historial” >> Registros de Aplicación >> Scan Log/Registro de Análisis encontrarás el informe del MBAM, que debes copiar y pegar en tu próxima respuesta.

AdwCleaner

Ejecutalo. (Clic derecho y selecciona Ejecutar como Administrador). Pulsa en el botón Escanear y espera a que se realice el proceso. Luego pulsa sobre el botón Limpiar. Espera a que se complete. Si te pidiera reiniciar el sistema Aceptas. Guardas el reporte que te aparecerá para copiarlo y pegarlo en tu próxima respuesta. El informe también se puede encontrar en “C:\AdwCleaner\AdwCleaner.txt”

ZHPCleaner

Siguiendo Su manual, lo instalas y ejecutas. Cuando termine, eliminas todo lo que encuentre.

CCleaner

Instalalo y ejecutalo. En la pestaña limpiador dejas como esta configurada predeterminadamente, haces clic en analizar esperas que termine > clic en ejecutar limpiador. Clic en la pestaña Registro > clic en buscar problemas esperas que termine > clic en Reparar Seleccionadas y haces una copia de seguridad.

NOTA IMPORTANTE:

En Tu próxima respuesta debes pegar los reportes de Malwarebytes, AdwCleaner y ZHPCleaner.

Envuelve cada uno de los informes con una etiqueta escrita CODE_Inicial al inicio del informe y otra como este CODE_Final al final del mismo.

Nos comentas como sigue el problema original por el que abriste el tema.

Saludos

Primero que todo, mil disculpas por la tardanza, estoy ocupado en estos días pero ya realice los análisis:

Malwarebytes

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 23/11/18
Hora del análisis: 20:06
Archivo de registro: 57e21c10-ef74-11e8-8c9a-000000000000.json

-Información del software-
Versión: 3.6.1.2711
Versión de los componentes: 1.0.482
Versión del paquete de actualización: 1.0.7997
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 17134.407)
CPU: x64
Sistema de archivos: NTFS
Usuario: LAPTOP-ASUS\Denis Zapata

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 269160
Amenazas detectadas: 0
Amenazas en cuarentena: 0
Tiempo transcurrido: 2 min, 30 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 0
(No hay elementos maliciosos detectados)

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

AdwCleaner

# -------------------------------
# Malwarebytes AdwCleaner 7.2.4.0
# -------------------------------
# Build:    09-25-2018
# Database: 2018-11-19.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    11-23-2018
# Duration: 00:00:01
# OS:       Windows 10 Home Single Language
# Cleaned:  4
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\Users\Denis Zapata\AppData\Roaming\IObit\Advanced SystemCare

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

Deleted       C:\Windows\System32\Tasks\Driver Booster Scheduler

***** [ Registry ] *****

Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5D236ACC-D9FC-4502-BEA0-63A5E7723CF3} 
Deleted       HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Driver Booster Scheduler

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1633 octets] - [23/11/2018 20:15:26]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

En cuanto a este analisis de AdwCleaner quisiera preguntar por que fue detectado un archivo que parece ser de Driver Booster. ¿Ese programa es malicioso?

ZHPCleaner

~ ZHPCleaner v2018.11.19.196 by Nicolas Coolman (2018/11/19)
~ Run by Denis Zapata (Administrator)  (23/11/2018 20:32:23)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : Version OK
~ Certificate ZHPCleaner: Legal
~ Type : Reparar
~ Report : C:\Users\Denis Zapata\Desktop\ZHPCleaner.txt
~ Quarantine : C:\Users\Denis Zapata\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Home Single Language, 64-bit  (Build 17134)


---\\  Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Navegadores de Internet (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Hosts carpeta (1)
~ El archivo hosts es legítimo (21)


---\\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Explorador ( Archivos, Carpetas ) (0)
~ No malintencionados o innecesarios artículos encontrados.


---\\  Registro ( Claves, Valores, Datos) (3)
BORRADOS dados: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{29e03b8b-c101-462b-836d-67a03b150f6b}\\DhcpNameServer [Bad : 169.254.177.95]  =>Hijacker.Browser
BORRADOS dados: HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{7c5b61d4-7dcf-4d11-b7ca-3428ad9b6241}\\DhcpNameServer [Bad : 190.55.60.129 200.115.192.28 190.55.60.130]  =>Hijacker.Browser
BORRADOS valor: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run\\DAEMON Tools Lite Automount [0x030000004D66C893EC42D401]  =>Heuristic.Suspect


---\\  Resumen de elementos en su estación de trabajo (2)
https://nicolascoolman.eu/2017/11/10/hijacker-browser-3/  =>Hijacker.Browser
https://nicolascoolman.eu/2017/01/28/heuristic-suspect/  =>Heuristic.Suspect


---\\ Limpieza adicional. (10)
~ Clave de registro Tracing borrados (10)
~ Quitar los antiguos informes de ZHPCleaner. (0)


---\\ Resultado de la reparación.
~ Reparación llevada a cabo con éxito
~ falta este navegador! (Mozilla Firefox)
~ falta este navegador! (Opera Software)


---\\ STATISTIQUES
~ Items escaneado : 437
~ Items encontrado : 0
~ artículos cancelados : 0
~ Items opciones : 0/7
~ Ahorro de espacio (bytes) : 0


~ End of clean in 00h00mn33s

---\\  Reporte (2)
ZHPCleaner-[S]-23112018-20_27_43.txt
ZHPCleaner-[R]-23112018-20_32_56.txt

Me pregunto si instale los servidores 169.254.177.95 y 190.55.60.129.200.115.192.28 190.55.60.130 a los cuales respondi que no. ¿Son virus? De ser así ¿Como pudieron haber ingresado ya que nunca descargo nada que no sea de fuentes seguras.

En cuanto a como se encuentra mi “problema” puedo decir que “bien” por el hecho de que parece ser que de vez en cuando siguen los intentos de estas sincronizaciones automáticas, pero ahora son incorrectas, creo por el hecho de que a todas las cuentas que tenia les cambie la contraseña sumado a la verificación en 2 pasos, pero de igual modo, podrían darme alguna respuesta en concreto a que se deben estas sincronizaciones, si es que llegaran a ser malas?

Saludos.

Hola

Estoy analizando el caso …

Descargá la herramienta Delfix a Tu escritorio.

Ejecutala, Tildá la casilla Remove disinfection tools y presioná Run

Al terminar Se abrirá un reporte llamado DelFix.txt, verifica que se hayan eliminado las herramientas usadas para desinfectar el Pc.

Nos comentas como sigue …

# DelFix v1.013 - Logfile created 23/11/2018 at 20:56:51
# Updated 17/04/2016 by Xplode
# Username : Denis Zapata - LAPTOP-ASUS
# Operating System : Windows 10 Home  (64 bits)

~ Removing disinfection tools ...

Deleted : C:\AdwCleaner
Deleted : C:\Users\Denis Zapata\Desktop\ZHPCleaner.txt
Deleted : C:\Users\Denis Zapata\Downloads\adwcleaner_7.2.4.0.exe
Deleted : C:\Users\Denis Zapata\Downloads\ZHPCleaner.exe

########## - EOF - ##########

Hola

Realiza las siguientes acciones:

Análisis del PC con Eset Online Scaner : Manual de Uso

Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso

NOTAS IMPORTANTES:

  1. En Tu próxima respuesta, debes pegar ambos reportes.

  2. Debes copiar y pegar los reportes solicitados con todo su contenido. Usaras varios mensajes si recibes un mensaje de error indicando que es muy largo (mas de 50.000 caracteres aprox.).

  3. Envuelve cada uno de los informes con una etiqueta escrita CODE_Inicial al inicio del informe y otra como este CODE_Final al final del mismo.

  4. Nos comentas como sigue el problema original por el que abriste el tema.

Saludos

Recien acaba de terminar el análisis de Eset Online Scanner, pero estoy en una duda, lo único que detecto fue lo siguiente:

C:\Games\The Sims 4\Game\Bin\RldOrigin.dll una variante de Win32/HackTool.Crack.DK aplicación potencialmente no segura desinfectado por eliminación

Pero por lo que veo es un archivo o parte del crack supongo del The Sims 4, un juego que tengo instalado, si limpio este “virus” sera que el juego deje de funcionar?

Exacto.

No lo elimines. Es un falso positivo.

Entonces solo clickeo en donde dice Terminar?

Porque me aparecen para remarcar 2 opciones:

Eliminar la base de datos de la aplicación al cerrar. Eliminar los archivos en cuarentena.

¿Las dejo sin seleccionar?

Solo marca la primera.

21:11:29 # product=EOS
# version=8
# flags=0
# ESETOnlineScanner_ESL.exe=2.0.22.0
# EOSSerial=2ef0a5041f327143bdbdafb88eee6bcd
# end=init
# utc_time=2018-11-24 00:11:28
# local_time=2018-11-23 21:11:28 (-0300, Hora estándar de Argentina)
# country="Argentina"
# osver=10.0.17134 NT 
21:13:03 Updating
21:13:03 Update Init
21:13:04 Update Download
21:15:00 esets_scanner_reload returned 0
21:15:00 g_uiModuleBuild: 39497
21:15:00 Update Finalize
21:15:00 Call m_esets_charon_send
21:15:00 Call m_esets_charon_destroy
21:15:01 Updated modules version: 39497
21:15:10 Call m_esets_charon_setup_create
21:15:10 Call m_esets_charon_create
21:15:11 m_esets_charon_create OK
21:15:11 Call m_esets_charon_start_send_thread
21:15:11 Call m_esets_charon_setup_set
21:15:11 m_esets_charon_setup_set OK
21:15:11 Scanner engine: 39497
19:39:01 # product=EOS
# version=8
# flags=0
# ESETOnlineScanner_ESL.exe=2.0.22.0
# EOSSerial=2ef0a5041f327143bdbdafb88eee6bcd
# engine=39497
# end=finished
# bannerClicked=0
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# sfx_checked=true
# utc_time=2018-11-25 22:39:00
# local_time=2018-11-25 19:39:00 (-0300, Hora estándar de Argentina)
# country="Argentina"
# lang=13322
# osver=10.0.17134 NT 
# compatibility_mode_1=''
# compatibility_mode=5893 16776573 100 94 83088 19609502 0 0
# scanned=458328
# found=1
# cleaned=1
# scan_time=9635
sh=0000000000000000000000000000000000000000 ft=- fh=0000000000000000 vn="una variante de Win32/HackTool.Crack.DK aplicación potencialmente no segura (desinfectado por eliminación)" ac=C fn="C:\Games\The Sims 4\Game\Bin\RldOrigin.dll"
19:39:04 Cleaning up
19:39:04 RecursiveRemoveDirectoryAndAllFiles: C:\Users\Denis Zapata\AppData\Local\ESET\ESETOnlineScanner\Modules\
19:39:04 RecursiveRemoveDirectoryAndAllFiles: C:\Users\Denis Zapata\AppData\Local\ESET\ESETOnlineScanner\OldModules\
19:39:04 DeleteEstsApi: C:\Users\Denis Zapata\AppData\Local\ESET\ESETOnlineScanner
19:39:05 DeleteApiStgFile: C:\Users\Denis Zapata\AppData\Local\ESET\ESETOnlineScanner
19:39:05 RecursiveRemoveDirectoryAndAllFiles: C:\Users\Denis Zapata\AppData\Local\ESET\ESETOnlineScanner\Char_Cache\
19:39:05 Call m_esets_charon_send
19:39:05 Call m_esets_charon_destroy

El reporte de Kasperky Virus Removal Tool no me deja abrirlo le doy click en Report me sale un archivo que dice Scan pero no me deja abrirlo o no entiendo bien si es desde ahí.

Hola

Y como va el problema que planteaste inicialmente ?

Reitero que no se si se trate de un problema en si, lo que me llama la atención es que sea de varias partes del mundo (si es que llegan a ser verdaderas esas localizaciones) y todas de distintas IP, tampoco se que sean esas sincronizaciones, o que pueda ocurrir si se llevaran a cabo, porque desde que cambie la contraseña y agregue la aplicación de autenticación todas las sincronizaciones son incorrectas.

Hola

Esto es algo muy raro. Dejame revisar el tema y te estaré avisando.

De acuerdo, cabe destacar que también me fije en mis otras cuentas de correo que tengo a ver si estas sincronizaciones también pasaban y no, en ninguna de ellas, solo en ese correo en concreto.

¿Habra alguna manera de “rastrear” esas IP?

Saludos.