Posible Spoofing / malware

Buenos días,

Hace poco estuve haciendo unas descargas un tanto peligrosas, y ahora debo tener algo en el ordenador ya que me han sucedido una cosas extrañas. Primero Instagram me decidió seguir a cientos de personas, más tarde me llegaron avisos de wallapop de que mi cuenta estaba siendo iniciada sesión desde otros terminales y por último gmail decidió hacer spoofing y enviar cientos de correos desde mi cuenta a modo de Spam.

Diría que es una vulneración de contraseñas, pero no creo porque son contraseñas complejas, y la de gmail es única y muy segura (caracteres totalmente aleatorios).

He pasado el windows defender en examen completo pero no ha encontrado nada.

Por último comentar que había descargado Easeus y modificado el archivo hosts, y no sé si esto ha llegado a influir, esto es lo añadido:

image

Alguna idea de lo que puede ser? O simplemente una serie de categóricas desdichas?

Atentamente, Francisco

2 Me gusta

Hola buenas @javivi985

Pues básicamente malware, por lo que dices me hago una pequeña idea de lo que tienes y creo que es un buen zoológico de malware variado, básicamente.

Yes, sí, lo es. Da igual en que sean contraseñas muy complejas o que estas sean muy sencillas. Da totalmente igual, pues cuando se ha comprometido una máquina y esta ha estado o está actualmente infectada con malware, pueden perfectamente capturar todas las pulsaciones de teclado y muchísimas otras cosas más que ni te imaginas…

Dicho esto, si no tienes activado un 2FA o MFA o similares medidas de seguridad en todas tus cuentas online de las plataformas que utilices… todas tus contraseñas habrán sido comprometidas y podrán acceder a estas solo poniendo la contraseña y ya está. Con las medidas que comento sería más difícil que pudieran acceder a todas estas cuentas, ya que estas estarían defendidas con un 2FA o MFA o similares medidas de seguridad. A no ser que se diera el siguiente, caso:

Que guardases los Backup Codes para restablecer los 2FA o MFA de las correspondientes cuentas en la misma máquina infectada y vulnerada, si se diera este caso, podrían perfectamente evadir o “bypasear” muy fácilmente estas medidas de seguridad. Con lo cual los Backup Codes de 2FA o MFA o similares, siempre deben de estar en un dispositivo externo desconectado de cualquier máquina y de la red, lógicamente. Y solo utilizarlos en caso de no disponer de los mecanismos necesarios para poder autenticar la cuenta con 2FA* o MFA o similares.

Por mecanismos, me refiero: SMS en el móvil que te envía el código, TOTP CODE que se genera en tu móvil (aplicativo) o en una KEY de Hardware de MFA o 2FA, TOTP CODE que se genera directamente KEY de Hardware de MFA o 2FA (2fa, mfa nativo por hardware), código enviado por email (mala implementación de 2FA o MFA, pero que aún hoy en día se usa bastante)…

Es decir, que perdieses tu móvil, llave de HardWare, perdida de acceso a ‘X’ email… y entonces no pudieses autenticar la cuenta… para eso sirven los Backup Codes… como mecanismo para restablecer el 2FA o MFA o similares de turno. Si no es este el caso, no los uses nunca.

Para concluir, por lo que cuentas deduzco o que bien se ha dado el caso de arriba que comento, poco probable, creo ya que no solo tendrían que tener tus contraseñas… que seguro que las tienen… sino el control de todos tus 2FA o MFA que tengas, en caso de que los hayas activado. O el otro caso más probable y que creo que es el que se ha dado… que es que no tienes 2FA o MFA o similares activados en tus cuentas, o al menos en la gran mayoría de cuentas no debes de tenerlo.

Dicho todo esto…

:one: EN BUSCA / ELIMINACIÓN DE MALWARE

(Mantén conectados todos tus dispositivos externos que tengas como: USBs, discos duros externos, etc).

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden, los pasos con todos los programas cerrados, incluidos los navegadores.

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas y discos duros externos si también tienes.

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

0) Descarga Ccleaner Aquí te dejo su manual: Manual de CCleaner , para que sepas como usarlo y configurarlo correctamente.

Lo instalas y lo ejecutas. En la pestaña Limpieza personalizada dejas la configuración predeterminada. Haces clic en Analizar y esperas a que termine. Seguidamente, haz clic en Ejecutar Limpiador. Clic en la pestaña Registro > clic en Buscar Problemas esperas que termine. Finalmente, clic en Reparar Seleccionadas y realizas una Copia de Seguridad del registro de Windows.

1) Descarga, instala, actualiza y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente.

  • Realizas un Análisis Personalizado, marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:

1. Analizar objetos en memoria

2. Analizar configuracion de inicio y registro

3. Analizar dentro de los archivos

  • Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
  • Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

2) Descarga Adwcleaner en el escritorio.

  • Desactiva tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.
  • Ejecuta Adwcleaner.exe (Si usas Windows Vista/7/8 u 10 presiona clic derecho y selecciona “Ejecutar como Administrador.”)
  • Pulsar en el botón Analizar Ahora, y espera a que se termine el análisis. Inmediatamente, pulsa sobre el botón Iniciar Reparación.
  • Espera a que termine y sigue las instrucciones que te aparezcan. Si te pidiera Reiniciar, pues reinicias el ordenador pulsando en Aceptar.
  • Si no encuentra nada, pulsa en Omitir Reparación.
  • El log lo encontrarás en la pestaña Informes, volviendo a abrir el programa, si es necesario o en la siguiente ubicación: C:\AdwCleaner\Logs\AdwCleaner[C0].txt.
  • Para más información aquí te dejo su manual: Manual de Adwcleaner.
  • Activa de nuevo tu antivirus y cualquier programa de seguridad que tengas activado.

3) Utiliza nuevamente CCleaner tal como te dije en el punto 0.

Pegas los reportes de Malwarebytes y AdwCleaner y comentas como va el problema inicial planteado por el cual abriste este tema. También responde a las preguntas que te haya realizado a lo largo de este Post, siempre que te haya hecho alguna, si no, no

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

1 me gusta

Gracias por la respuesta,

Primero decir que ayer mi Windows Defender encontró este backdoor que decidí eliminar:

image

Los resultados obtenidos de Malwarebytes’ Anti-Malware:

Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 13/1/23
Hora del análisis: 10:44
Archivo de registro: 96fba054-9337-11ed-8a3a-00d861d38f00.json

-Información del software-
Versión: 4.5.20.230
Versión de los componentes: 1.0.1868
Versión del paquete de actualización: 1.0.64571
Licencia: Prueba

-Información del sistema-
SO: Windows 11 (Build 22621.963)
CPU: x64
Sistema de archivos: NTFS
Usuario: DESKTOP-KVOG6ED\Francisco

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 851212
Amenazas detectadas: 5
Amenazas en cuarentena: 5
Tiempo transcurrido: 23 min, 33 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 5
HackTool.FilePatch, C:\PROGRAM FILES\EASEUS\EASEUS DATA RECOVERY WIZARD\(64-BIT) EDRW PATCHER V1.1.EXE, En cuarentena, 7000, 281135, 1.0.64571, , ame, , 087406E501B283F538D66C98B7EA1991, 04491956A8B8993E031D632304FF57667BC4C77885DA153E75454FF2E25DBC1D
PUP.Optional.BundleInstaller, D:\DOWNLOADS\DTLITEINSTALLER.EXE, En cuarentena, 491, 1078096, 1.0.64571, , ame, , 40AF8BED09BFF955BA625B60A7065528, AD8D1D25FBB5A3F2E531CB30BA543756FC09D70978D48C728A866FAD4A27E007
Malware.AI.4218007464, D:\DOWNLOADS\JAILBREAK-MASTER.ZIP, En cuarentena, 1000000, -76959832, 1.0.64571, AE8E209A5751E044FB69AFA8, dds, 02121604, B28DB8208018F46166CD34E2B603E5B1, AD4B7DB6BE59E3F5A4D17087F0A48B567CF9AF49C0309E486A084C6C0A630DFC
Adware.DownloadAssistant, D:\DOWNLOADS\PROGRAM-TO-FILE-CISC_700483317.ZIP, En cuarentena, 502, 797782, 1.0.64571, 5D3EB5A627037D0A208DBB15, dds, 02121604, B6568F81E203CC1232BD527950BAF507, 0843143FCD05F06E253B813F84786F4C9C8115F56037494EED22D5DC2AD97309
PUP.Optional.BundleInstaller, D:\DOWNLOADS\UTORRENT.EXE, En cuarentena, 491, 790622, 1.0.64571, , ame, , 254729CB211E7578791308F284E5861E, 27454473D0FC5076618C8378E135D1E88DCD73044535C06343FE14FA549D6D8A

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Resultados de Adwcleaner:


# -------------------------------
# Malwarebytes AdwCleaner 8.4.0.0
# -------------------------------
# Build:    08-30-2022
# Database: 2022-10-10.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    01-13-2023
# Duration: 00:00:00
# OS:       Windows 11 (Build 22621.963)
# Cleaned:  3
# Failed:   0


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\Program Files (x86)\Genesis
Deleted       C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Genesis

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKLM\Software\Wow6432Node\genesis

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [1577 octets] - [13/01/2023 11:13:44]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Un saludo.

Hola buenas @javivi985

De nada.

Ok.

Ok. Ha eliminado lo que debía eliminar.

Ok. Ha eliminado un Adware en concreto.

Sigamos pues…

:one: EN BUSCA / ELIMINACIÓN DE MALWARE

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, USB, etc). Inicias el ordenador en Modo Normal.

0) Descarga Eset Online Scaner Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y realizas un Análisis Personalizado tal y como se indica en su manual. Me traes su reporte.

1) Descarga Kasperky Virus Removal Tool Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y lo realizas tal y como se indica en su manual. En este caso no da reporte alguno, cuando finalice, presionas en la pestaña Report tal y como se indica en su manual y haces una captura de pantalla y la subes.

¿Como subir imágenes al Foro?

:two: PRÓXIMA RESPUESTA

Pegas los reportes de Eset Online Scaner y Kasperky Virus Removal Tool (captura) y comentas como va el PC.

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

Reporte del eset:


15/01/2023 1:47:56
Archivos analizados: 723439
Archivos detectados: 4
Archivos desinfectados: 4
Tiempo total de análisis 02:16:07
Estado del análisis: Finalizado
C:\Users\Francisco\AppData\Roaming\uTorrent\updates\3.5.5_45449.exe	una variante de Win32/uTorrent.C aplicación potencialmente no deseada	desinfectado por eliminación

C:\Users\Francisco\AppData\Roaming\uTorrent\updates\3.5.5_45608.exe	una variante de Win32/uTorrent.C aplicación potencialmente no deseada	desinfectado por eliminación

C:\Users\Francisco\AppData\Roaming\uTorrent Web\utweb.exe	una variante de Win32/uTorrent.F aplicación potencialmente no deseada	desinfectado por eliminación

D:\Downloads\Detection.exe	una variante de Win64/SystemRequirementsLab.A aplicación potencialmente no deseada	desinfectado por eliminación

Reporte del Kasperky:

image En un principio no encontró nada.

Saludos

Hola buenas @javivi985

El primero sí que encontró.

El segundo no, pero han eliminado todo correctamente.

¿Cómo notas el ordenador respecto al estado inicial planteado en este tema?

Salu2.

Buenas @Marr0n,

El ordenador parece ir bien y de momento no veo síntomas de alguna infección.

Como comentario, con dejar el Windows Defender sería activado como medida paliativa?

Un saludo.

1 me gusta

Hola, buenas @javivi985 disculpa que haya tardado en responder. Pues estoy teniendo unos días muy ajetreados, con bastante poco tiempo.

Ok :+1:

Yo también veo la máquina bastante bien, realizaremos una última cosa para asegurar de que todo este OK.

Realizas un análisis con Dr Web CureIt siguiendo las instrucciones de su manual perfectamente explicadas. Eso sí, descarga Dr web Cure It desde: https://www.infospyware.com/Software/click.php?id=41

Traes el correspondiente log.

De esto nos encargaremos después.

Salu2.

Buenos días,

Este es el log:

-----------------------------------------------------------------------------
Start curing
-----------------------------------------------------------------------------

C:\WINDOWS\system32\drivers\etc\hosts - fatal error occured
C:\Users\Francisco\AppData\Roaming\.minecraft\libraries\org\apache\logging\log4j\log4j-core\2.8.1\log4j-core-2.8.1.jar - file not found

Total 2869643303764 bytes in 1503411 files scanned (2716189 objects)
Total 1503196 files (2715777 objects) are clean
Total 1 file (2 objects) are infected
Total 1 file are suspicious
Total 1 file are neutralized
Total 407 files (406 objects) are raised error condition
Scan time is 03:37:18.740

El archivo hosts del que había hablado al comienzo del foro, lo intentó eliminar pero no pudo.

Saludos

2 Me gusta

Hola buenas @javivi985

Ok, perfecto.

Ok.

Vamos a restablecerlo y después miraremos una cosita más.

:zero: Ahora debes de hacer una COPIA DE SEGURIDAD DEL REGISTRO, para ello:

  • Reinicias el ordenador en Modo Normal.

  • Descargas DelFix en tu escritorio.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

  • Marcas solamente la casilla de Create registry backup, el resto te aseguras de que no estén seleccionadas.

  • Presionas en Run.

Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.

Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.

:warning: El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

Finalmente (OJO, en MODO NORMAL):

  1. Ejecutas nuevamente FRST.exe (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador).

  2. Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.

  3. Cunado finalicé, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.

  4. Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.

:warning: Muy Importante :warning: Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

Salu2.

1 me gusta

No me doy cuenta de que fichero es FRST.exe

Hola buenas @javivi985

Perdona no te he puesto el enlace de descarga del FRST.

:one: Desactivas tu antivirus :arrow_forward: Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad que tengas activado.

LO DESCARGAS EN TU ESCRITORIO MUY IMPORTANTE (y no en otro sitio).

Descargas Farbar Recovery Scan Tool MUY IMPORTANTE >> seleccionas la versión adecuada para la arquitectura correspondiente de tu Ordenador (32 o 64bits). :arrow_forward: ¿Cómo saber si mi Windows es de 32 o 64 bits.?

:warning: Una vez descargado FRST, desconectas tu equipo de completamente de Internet (apagas el router) >> Super Importante. Acto seguido, cierras también cualquier otro programa que tengas abierto.

:zero: Ahora debes de hacer una COPIA DE SEGURIDAD DEL REGISTRO, para ello:

  • Reinicias el ordenador en Modo Normal.

  • Descargas DelFix en tu escritorio.

  • Doble clic para ejecutarlo. (Si usas Windows Vista/7/8 o 10 presiona clic derecho y selecciona - Ejecutar como Administrador)

  • Marcas solamente la casilla de Create registry backup, el resto te aseguras de que no estén seleccionadas.

  • Presionas en Run.

Se abrirá el informe (DelFix.txt), puedes cerrarlo. Pero lo guardas por si en el futuro te lo pido/hace falta.

Seguidamente, CIERRAS TODOS LOS PROGRAMAS, vas a Inicio >> Ejecutar y escribes Notepad.exe

  • Ahora debes copiar y pegar los códigos/líneas que están en el interior del recuadro de más abajo, dentro del Notepad.
START
CREATERESTOREPOINT:
CLOSEPROCESSES:

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END

Lo guardas con el nombre de FIXLIST.TXT en tu escritorio (MUY IMPORTANTE). Pues en caso contrario no funcionará el SCRIPT, ambos ficheros (FRST.exe y FIXLIST.TXT ) y deben de estar en la ubicación del ESCRITORIO.

:warning: El anterior Script de reparación es personalizado para la máquina en concreto para la cual se fabricó y está hecho específicamente por un miembro del Staff. Si se tiene un problema parecido, por favor abra su propio tema para recibir ayuda personalizada y específica. Utilizar Scripts de otros Sistemas puede causar daños graves en su ordenador.

Finalmente (OJO, en MODO NORMAL):

:two: Farbar Recovery Scan Tool

  1. Ejecutas el FRST.exe (Si utilizas Windows Vista/7/8 o 10, presionas click derecho y seleccionas Ejecutar como Administrador).

  2. Aparecerá una ventana con un mensaje de Disclaimer/Responsabilidad, presionas sobre Si o Yes.

  3. Presionas sobre Fix/Corregir y esperas a que finalice el proceso. No hagas nada con el PC mientras este realizando dichas reparaciones, incluso si parece ser que se ha quedado colgado. No lo toques y esperas.

  4. Cunado finalicé, en el ESCRITORIO se creará el fichero FIXLOG.TXT lo traes en tu próxima respuesta.

  5. Reinicias el ordenador en Modo Normal compruebas durante un rato el funcionamiento de este y comentas como sigue el problema inicialmente planteado.

:warning: Muy Importante :warning: Coloca el reporte que te he pedido como se muestra en la siguiente imagen:

Salu2.

2 Me gusta

Buenas @Marr0n

Este es mi log:

Resultados de la corrección de Farbar Recovery Scan Tool (x64) Versión: 26-01-2023
Ejecutado por Francisco (26-01-2023 17:28:22) Run:1
Ejecutado desde C:\Users\Francisco\Desktop
Perfiles cargados: Francisco
Modo de Inicio: Normal
==============================================

fixlist contenido:
*****************
START
CREATERESTOREPOINT:
CLOSEPROCESSES:

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
*****************

El punto de restauración fue creado correctamente.
Procesos cerrados correctamente.

========= ipconfig /flushdns =========


Configuraci¢n IP de Windows

Se vaci¢ correctamente la cach‚ de resoluci¢n de DNS.

========= Final de CMD: =========


========= ipconfig /renew =========


Configuraci¢n IP de Windows

No se puede realizar ninguna operaci¢n en Conexi¢n de red Bluetooth mientras los medios
est‚n desconectados.

Adaptador de Ethernet Ethernet:

   Sufijo DNS espec¡fico para la conexi¢n. . : home
   Direcci¢n IPv6 . . . . . . . . . . : fd94:b19:cede:d200:7a83:e8f8:b235:5196
   Direcci¢n IPv6 temporal. . . . . . : fd94:b19:cede:d200:bd07:453b:6364:5bad
   V¡nculo: direcci¢n IPv6 local. . . : fe80::69eb:71b5:c5f0:e6cd%15
   Direcci¢n IPv4. . . . . . . . . . . . . . : 192.168.1.109
   M scara de subred . . . . . . . . . . . . : 255.255.255.0
   Puerta de enlace predeterminada . . . . . : fe80::1%15
                                       192.168.1.1

Adaptador de Ethernet VMware Network Adapter VMnet1:

   Sufijo DNS espec¡fico para la conexi¢n. . : 
   V¡nculo: direcci¢n IPv6 local. . . : fe80::2f94:328b:d683:af21%19
   Direcci¢n IPv4. . . . . . . . . . . . . . : 192.168.37.1
   M scara de subred . . . . . . . . . . . . : 255.255.255.0
   Puerta de enlace predeterminada . . . . . : 

Adaptador de Ethernet VMware Network Adapter VMnet8:

   Sufijo DNS espec¡fico para la conexi¢n. . : 
   V¡nculo: direcci¢n IPv6 local. . . : fe80::cab4:1a74:6ba7:95cb%12
   Direcci¢n IPv4. . . . . . . . . . . . . . : 192.168.85.1
   M scara de subred . . . . . . . . . . . . : 255.255.255.0
   Puerta de enlace predeterminada . . . . . : 

Adaptador de Ethernet Conexi¢n de red Bluetooth:

   Estado de los medios. . . . . . . . . . . : medios desconectados
   Sufijo DNS espec¡fico para la conexi¢n. . : 

========= Final de CMD: =========


========= bitsadmin /reset /allusers =========


BITSADMIN version 3.0
BITS administration utility.
(C) Copyright Microsoft Corp.

{97A1752A-397B-4A8C-9B3F-849B31265D99} canceled.
1 out of 1 jobs canceled.

========= Final de CMD: =========


========= netsh winsock reset =========


El cat logo Winsock se restableci¢ correctamente.
Debe reiniciar el equipo para completar el restablecimiento.


========= Final de CMD: =========


========= netsh advfirewall reset =========

Aceptar


========= Final de CMD: =========


========= netsh advfirewall set allprofiles state ON =========

Aceptar


========= Final de CMD: =========


========= netsh int ipv4 reset =========

Reenv¡o de compartimiento se restableci¢ correctamente.
Compartimiento se restableci¢ correctamente.
Protocolo de control se restableci¢ correctamente.
Solicitud de secuencia eco se restableci¢ correctamente.
Global se restableci¢ correctamente.
Interfaz se restableci¢ correctamente.
Direcci¢n de difusi¢n por proximidad (a se restableci¢ correctamente.
Direcciones de multidifusi¢n se restableci¢ correctamente.
Direcci¢n de unidifusi¢n se restableci¢ correctamente.
Vecino se restableci¢ correctamente.
Ruta de acceso se restableci¢ correctamente.
Posible se restableci¢ correctamente.
Directiva de prefijo se restableci¢ correctamente.
Vecino de proxy se restableci¢ correctamente.
Ruta se restableci¢ correctamente.
Prefijo de sitio se restableci¢ correctamente.
Subinterfaz se restableci¢ correctamente.
Patr¢n de reactivaci¢n se restableci¢ correctamente.
Resolver vecino se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Error al restablecer .
Acceso denegado.

 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Reinicie el equipo para completar esta acci¢n.


========= Final de CMD: =========


========= netsh int ipv6 reset =========

Reenv¡o de compartimiento se restableci¢ correctamente.
Compartimiento se restableci¢ correctamente.
Protocolo de control se restableci¢ correctamente.
Solicitud de secuencia eco se restableci¢ correctamente.
Global se restableci¢ correctamente.
Interfaz se restableci¢ correctamente.
Direcci¢n de difusi¢n por proximidad (a se restableci¢ correctamente.
Direcciones de multidifusi¢n se restableci¢ correctamente.
Direcci¢n de unidifusi¢n se restableci¢ correctamente.
Vecino se restableci¢ correctamente.
Ruta de acceso se restableci¢ correctamente.
Posible se restableci¢ correctamente.
Directiva de prefijo se restableci¢ correctamente.
Vecino de proxy se restableci¢ correctamente.
Ruta se restableci¢ correctamente.
Prefijo de sitio se restableci¢ correctamente.
Subinterfaz se restableci¢ correctamente.
Patr¢n de reactivaci¢n se restableci¢ correctamente.
Resolver vecino se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Error al restablecer .
Acceso denegado.

 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
 se restableci¢ correctamente.
Reinicie el equipo para completar esta acci¢n.


========= Final de CMD: =========


========= RemoveProxy: =========

"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente
"HKU\S-1-5-21-2426156119-205474209-198917404-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => eliminado correctamente
"HKU\S-1-5-21-2426156119-205474209-198917404-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => eliminado correctamente


========= Final de RemoveProxy: =========

C:\Windows\System32\Drivers\etc\hosts => movido correctamente
Hosts restaurado correctamente.

=========== EmptyTemp: ==========

FlushDNS => completado
BITS transfer queue => 0 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 11700156 B
Java, Discord, Steam htmlcache, WinHttpAutoProxySvc/winhttp *.cache => 1212405587 B
Windows/system/drivers => 17971236 B
Edge => 161306 B
Chrome => 53105122 B
Firefox => 18786881 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Default => 0 B
ProgramData => 0 B
Public => 0 B
systemprofile => 0 B
systemprofile32 => 0 B
LocalService => 8282 B
NetworkService => 46248 B
Francisco => 570726553 B

RecycleBin => 1336563 B
EmptyTemp: => 1.8 GB datos temporales eliminados.

================================


El sistema necesita reiniciarse.

==== Final de Fixlog 17:29:03 ====

En el estado de mi ordenador no veo nada raro. Cierto es que me siguen llegando avisos de cuentas de internet diciendo que se me ha vulnerado la cuenta, por ejemplo, en mi cuenta de twitch.tv metieron un bot de spamming.

Un saludo

1 me gusta

Hola buenas,

Algún otro colaborador que pueda terminar mi caso?

Gracias.

1 me gusta

Hola,

Te menciono @Chicloi porque he visto que contestas en otros temas y eres mod, a ver si hay alguna forma de que alguien me acabe de cerrar el caso para poder limpiar todo lo descargado.

Saludos

1 me gusta

Buenas @javivi985 soy @Chicloi con permiso de mi compañero @Marr0n voy a intervenir brevemente, con las indicaciones que le ha indicado mi compañero @Marr0n son claramente más que correctas para poder eliminar la dicha infección de su ordenador, voy a intentar ayudarle a poder solucionarle su tema pero hay pocas opciones pero voy a intentar solucionar su tema.

Ahora, realice usted los siguientes pasos:

IMPORTANTE:

:one: PASALE CADA PROGRAMA POR SEPARADO Y HASTA QUE NO ACABE EL PRIMER PROGRAMA DE ANALIZAR POR COMPLETO, SIGUIENDO LAS INDICACIONES DADAS, NO LE PASE EL SIGUIENTE Y ASÍ CON EL RESTO DE PROGRAMAS.

:two: DURANTE TODO EL PROCESO DE DESINFECCIÓN DE SU ORDENADOR, QUE NO SE APAGUE LA PANTALLA, ES DECIR, QUE SU PANTALLA NO SE PONGA EN **ESTADO DE SUSPENSION YA QUE PUEDE INTERRUMPIRSE EL PROCESO DE DESINFECCIÓN DE SU ORDENADOR Y NO ELIMINAR LAS AMENAZAS E INFECCIONES QUE ENCUENTRE.

:three: SI LOS PROGRAMAS QUE SE LE INDIQUEN EN ESTE FORO QUE SE LE PASEN A SU ORDENADOR YA LOS TUVIERA INSTALADOS, NO HACE FALTA **QUE LOS INSTALE DE NUEVO, SIMPLEMENTE **EJECUTE EL PROGRAMA QUE SE LE INDIQUE EN ESTE FORO Y SIGA LAS INDICACINES Y EL MANUAL QUE SE LE DEJA JUNTO AL PROGRAMA.

:four: SI ALGUNO DE LOS PROGRAMA DE LOS QUE SE LE INDIQUE EN ESTE FORO, UNA VEZ FINALIZADO EL PROCESO DE ANALISIS, LE INDICA QUE DEBE REINICIAR! PUES REINICIE, PERO SÓLO SI SE LO INDICA DICHO PROGRAMA.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

:five: Descargue, Instale y ejecute el siguiente programa: MalwareBytes Anti-Rootkit Beta. A continuación, le dejo la Url de Descarga del programa: MalwareBytes Anti-Rootkit Beta, para que sepas cómo descargarlo e instalarlo correctamente y su Manual del: MalwareBytes Anti-Rootkit Beta, para que sepas cómo utilizarlo y configurarlo correctamente:

:five: . :one:. Url de Descarga del: MalwareBytes Anti-Rootkit Beta:, para que sepas cómo descargarlo e instalarlo correctamente: MalwareBytes Anti-Rootkit Beta.

:five: . :two:. Manual del: MalwareBytes Anti-Rootkit Beta, para que sepas cómo utilizarlo y configurarlo correctamente: Click aquí: Manual del MalwareBytes Anti-Rootkit Beta (IMPORTANTE: Elimine TODAS las amenazas e infecciones que encuentre y NO restaure NADA).

MUY IMPORTANTE:

:white_check_mark: Una vez finalizado el dicho programa, si encuentra amenazas, veremos una pantalla similar a esta:

:white_check_mark: Nos aseguraremos que todas las casillas están marcadas de los elementos detectados y que la casilla capturada3 esta tildada como en la imagen.

:white_check_mark: A continuación, para eliminar las amenazas, pulsamos el botón: capturada4

:white_check_mark: Una vez finalizada la desinfección, pulsamos el botón: capturada5 y reiniciamos el PC.

:five: . :three:. Siga su Manual del: MalwareBytes Anti-Rootkit Beta al pie de la letra y me manda una Captura de Pantalla con todas las amenazas e infecciones que se refleje que ´´haya eliminado´´ el dicho programa.

Quedo a la espera de su respuesta!

1 me gusta

Buenos días @Chicloi ,

El programa no encontró malware alguno:

Un saludo

1 me gusta

Ahora, realice usted los siguientes pasos:

IMPORTANTE:

IMPORTANTE:

:one: PASELE CADA PROGRAMA POR SEPARADO, ES DECIR, PASALE EL PRIMER PROGRAMA Y UNA VEZ QUE HAYA REALIZADO POR COMPLETO EL PROCESO DE ANALISIS Y SIGUIENDO SU MANUAL, PASELE EL SEGUNDO PROGRAMA Y ASÍ CON EL RESTO DE PROGRAMAS.

:two: RESPETE EL ORDEN DE LOS PROGRAMAS EN DICHO PROCESO DE ANALISIS.

:three: SI ALGÚN PROGRAMA LE PIDE REINICIAR, PROCEDES! PERO SOLO SI SE LO SOLICITA EL PROGRAMA.

Aclarado esto, realice usted lo siguiente:

:four: Descargue, Instale y ejecute el siguiente programa: TDSSKiller. A continuación, le dejo la Url de Descarga del programa TDSSKiller, para que pueda ejecutar e instalar el programa correctamente y su Manual del: TDSSKiller, para que sepas cómo utilizarlo y configurarlo correctamente:

:four: . :one:. Url del Descarga del: TDSSKiller, para que pueda ejecutar e instalar el programa correctamente: Cick aquí: TDSSKiller. (IMPORTANTE: Descárguelo en su: escritorio):

:four: . :two: Manual del: TdssKiller para que sepa usted cómo configurarlo y utilizarlo correctamente:

:four: . :three: Seleccione la herramienta con un clic izquierdo y ejecútela presionando el botón derecho sobre ella >>> elegir capturada8 tal y como se muestra en la pantalla:

image

:four: . :four: Se iniciará el Control de Cuentas de Usuario (UAC) , presione en capturada9 tal y como se muestra en la pantalla:

capturada10

  • Una pequeña ventana se abrirá iniciando la búsqueda de actualizaciones:

    image

:four: . :five: En la próxima pantalla verá el “Acuerdo de licencia de usuario final” , presione en capturada11:

image

:four: . :six: La siguiente pantalla será la de kaspersky Security Network Statement, presione en capturada12:

image

:four: . :seven: Se abrirá la ventana principal del programa:

  • Presione sobre capturada13:

image

:four: . :eight: deje marcadas (habilitte) en dicho programa todas estas casillas que se reflejan a continuación tal y como se refleja en la siguiente pantalla:

capturadaKVRT

  • Si te pide que debe de reiniciar dicho programa procedes!

    MUY IMPORTANTE:
    

:four: . :nine: Si el equipo está infectado:

  • Se mostrará una pantalla similar a esta:

image

  • Seleccione usted en todas las columnas que le aparezcan a usted la siguiente opción: capturada4

  • Presione capturada5 para que se aplique la acción.

  • Para desinfectar correctamente el Sistema se le puede solicitar que reinicie el equipo, presione el botón capturada6

  • Me manda usted una Captura de Pantalla que refleje todas las infecciones y virus que haya eliminado el dicho programa

Quedo a la espera de su respuesta!

Buenas @Chicloi,

No ha encontrado nada.

image

Saludos

1 me gusta

Ahora, realice usted los siguientes pasos a seguir:

IMPORTANTE:

:one: SIGA USTED LAS INDICACIONES DADAS Y SU MANUAL QUE LE DEJO JUNTO AL PROGRAMA Y SIGA LOS PASOS SIN INVERTIR EL ORDEN Y EN EL ORDEN INDICADO.

:two: DURANTE TODO EL PROCESO DE DESINFECCIÓN DE SU ORDENADOR, QUE NO SE APAGUE LA PANTALLA, ES DECIR, QUE SU PANTALLA NO SE PONGA EN ESTADO DE SUSPENSION YA QUE PUEDE INTERRUMPIRSE EL PROCESO DE DESINFECCIÓN DE SU ORDENADOR Y NO ELIMINAR LAS AMENAZAS E INFECCIONES QUE ENCUENTRE.

:three: SI LOS PROGRAMAS QUE SE LE INDIQUEN EN ESTE FORO QUE SE LE PASEN A SU ORDENADOR YA LOS TUVIERA INSTALADOS, NO HACE FALTA QUE LOS INSTALE DE NUEVO, SIMPLEMENTE EJECUTE EL PROGRAMA QUE SE LE INDIQUE EN ESTE FORO Y SIGA LAS INDICACINES Y EL MANUAL QUE SE LE DEJA JUNTO AL PROGRAMA.

:four: SI ALGUNO DE LOS PROGRAMA DE LOS QUE SE LE INDIQUE EN ESTE FORO, UNA VEZ FINALIZADO EL PROCESO DE ANALISIS, LE INDICA QUE DEBE REINICIAR! PUES REINICIE, PERO SÓLO SI SE LO INDICA DICHO PROGRAMA.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

:zero: Descargue el programa de la siguiente Url: Le dejo “2 Url de Descarga” por si uno no le funciona el proceso de Instalación pueda probar con la segunda Url de Descarga:

Url descarga 1: Click aquí: RogueKiller x64 Bits

Url descarga 2: Click aquí: RogueKiller x82 Bits

Aquí le dejo su manual del: RogueKiller para que sepas cómo utilizarlo y configurarlo correctamente: Siga usted el siguiente tutorial que le dejo a continuación:

:one: Abra el programa: RogueKiller que ha descargado.

:two: Clikea en la pestaña que pone: Analizar., click en donde pone: Análisis Completo (Full Scan). Nota: Si NO le deja realizar un “Análisis Personalizado” realice un Análisis Análisis Completo (Full Scan) (Tal y cómo se muestra en la imagen):

:three: Automáticamente empezará el Proceso de Análisis en busca de Virus e Infecciones dejar que analice por completo y NO interrumpir el programa hasta que finalice en su totalidad. Finalizado el Proceso de Análisis por completo clickea en la pestaña que pone: Resultados: (Proceso tal y como se indica en la siguiente pantalla):

:four: Una vez finalizado el Proceso de Análisis por completo, si encuentra AMENAZAS e INFECCIONES saldrá una pantalla similar a esta, clicka en la pestaña que pone: Resultados para poder eliminar dichas INFECCIONES. (Tal y como se muestra en esta pantalla):

:five: Si le sale una pantalla similar a esta significa que el programa ha ELIMINADO con éxito TODAS las AMENAZAS e INFECCIONES de su ordenador. Clickea en la pestaña que pone: Resultados. (Tal y cómo se indica en esta página):

:six: Para ELIMINAR las AMENAZAS e INFECCIONES clickea en la pestaña que pone: Eliminación. (Tal y como se muestra en esta pantalla):

:seven: Le aparecerá una pantalla similar a esta, dejar TODAS las opciones marcadas que te salgan a ti. Para ELIMINAR todas las INFECCIONES clikea en la pestaña que pone: Finalizar. (Tal y cómo se muestra en la pantalla):

:eight: Para enviarme el Informe que ha generado el programa cuando haya finalizado por completo de Analizar siga estos pasos que se reflejan a continuación:

Para poder enviarme el Informe y/o Reporte correctamente que le solicito realice usted los siguientes pasos que le indico a continuación:

capturada7

Como se muestra en el siguiente EJEMPLO:

Preformateado

Quedo a la espera de su respuesta!

1 me gusta