Xml.sunnycoast.xyz/redirect

Hola a todos!

Tengo un problema con un virus que me redirecciona a otras cada vez que doy clic en chrome. http://xml.sunnycoast.xyz/redirect?feed=150055&auth=I3IPwh&subid=98002&query=&url=http%3A%2F%2Fasiri.pe%3A82%2Frazon-social&rnd=651

Vi que hubo un tema similar que se resolvió, pero que sugerían que el procedimiento que habían hecho era específico para ese caso.

Muchas gracias de antemano por la ayuda!

De nada @pgutierrrezro

¿Te sucede con otros navegadores?

¿Cuándo detectaste que apareció dicho problema/incidente?

¿Instalaste algún programa O descargaste algún archivo o algo y de repente te surgió dicha problemática?

¿Instalaste últimamente algún programa :pirate_flag:?

¿Tu sistema operativo es legal?

Salu2.

Hola, muchas gracias por la pronta respuesta:

  • Sí tb me pasa con el IE
  • Será desde el último mes (es una PC compartida en casa)
  • Vi que se instalaron algunos programas, ya los he eliminado, pero el problema persiste. Archivos me imagino que tb se deben haber descargado
  • Los programas al parecer eran free softwares
  • El SO es legal.

Tks

Hola, seguí estos pasos (ver abajo) que vi en otro post en el foro y me ha funcionado (muchas gracias, muy claros los pasos!) . Voy a publicar ahora los reportes. Puedo mantener los tools que instalé o recomiendan borrarlos?

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga, instala y/o actualiza a las siguientes herramientas:

3.- Ejecutas respetando el orden los pasos con todos los programas cerrados incluido los navegadores

CCleaner

Usando su opción Limpiador de acuerdo su Manual:

  • Para borrar Cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
  • Cuando lo instales destilda las casillas para no permitir la instalación de Ccleaner Browser/Avast Browser o similar…
  • NO necesitamos este reporte

AdwCleaner

Lo ejecutas.

  • Pulsa en el botón Escanear y espera a que se realice el proceso. Luego pulsa sobre el botón Limpiar.
  • Espera a que se complete. Si te pidiera reiniciar el sistema Aceptas.
  • Guarda el reporte que le aparecerá para copiarlo y pegarlo en tu próxima respuesta.
  • El informe también puede encontrarse en “C:\AdwCleaner\AdwCleaner.txt”

ZHPCleaner

  • Siguiendo su manual, lo instalas y ejecutas. Cuando termine, elimina todo lo que encuentre.

Malwarebytes Versión 4

  • Lo ejecutas siguiendo los pasos de su Manual.
  • Realizas un Análisis Personalizado
  • Revisa especialmente como salvar el reporte.

4.- Luego de finalizar todo lo anterior y reiniciar vuelve a desactiva temporalmente tu antivirus y cualquier programa de seguridad.

5.- Descarga Farbar Recovery Scan Tool. en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de su equipo. >> Como saber si mi Windows es de 32 o 64 bits.?

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan/Analizar y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio, debes adjuntar ambos

Guía: Como Ejecutar FRST

Addition.txt (39,4 KB) AdwCleaner[C00].txt (4,2 KB) FRST.txt (47,2 KB) malwarebytes.txt (6,2 KB) ZHPCleaner (R).txt (5,4 KB) ZHPCleaner (S).txt (6,2 KB)

Hola, buenas @pgutierrrezro de nada.

OK. :+1:

Todo depende de como esté el estado de la infección/problema actual. DE TODAS FORMAS SI YO TE ESTO AYUDANDO ES POR ALGO, NO PORQUE DESPUÉS HAGAS LO QUE QUIERAS. SI HACES LO QUE QUIERES, ENTONCES NO PIDAS AYUDA. Y SI LA QUIERES CÍÑETE EXACTAMENTE A LO QUE YO TE DIGA, POR FAVOR.

Respecto el AdwCleaner >> este ha estado ejecutado correctamente y ha hecho lo que tenía que hacer.

Respecto el Malwarebytes >> este ha estado ejecutado correctamente y ha hecho lo que tenía que hacer. De todas formas veo que tienes:

HackTool.KMSpico

Y más concretamente en esta línea:

HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\SCHEDULE\TASKCACHE\TREE\AutoPico Daily Restart,

Así que estoy seguro de que tu sistema es :pirate_flag: como barba negra y no legal como me habías dicho. :-1: O alemnos el sistema no está activado legalmente, quizás la imagen del sistema operativo lo sea pero la activación no, así que :-1:

Básicamente los KEYGENS, CRACKS y etc… Nunca descargues cosas de estas en tu máquina principal o de uso diario, ya que después te traes sorpresas y pasa lo que pasa…

Nunca jamás de los jamases descargues software o sistemas operativos de tipo comercial/de pago pirateado/crackeado para ahorrar dinero. Pues la gran mayoría de este software de pago crackeado y de forma gratuita trae como regalo fabulosos y maravillosos malwares.

Respecto el ZHPCleaner >> este ha estado ejecutado correctamente y ha hecho lo que tenía que hacer.

Respecto FRST >> MAL MUY MAL pues:

2.6 Por la seguridad de nuestros usuarios, esta restringida la utilización de herramientas potentes en la detección y eliminación de Malwares como pueden ser HijackThis, OTL, DDS, FARBAR y ComboFix, al igual que el uso de Scripts personalizados y/o Batch, como así cualquier otra herramienta/programa que no se encuentre disponible desde nuestro sitio principal www.infospyware.com y/o en Guías o Tutoriales del foro, solo podrán ser recomendados por los integrantes de nuestro Staff especializado.

Y tú has utilizado FARBAR (FRST) >> Políticas Foro.

Bien, ahora harás EXACTAMENTE y SOLO solamente solo lo que yo te indique en mi siguiente mensaje.

Salu2.

:one: EN BUSCA / ELIMINACIÓN DE MALWARE

(Mantén conectados todos tus dispositivos externos que tengas como: USBs, discos duros externos, etc).

Por favor, descarga todo el software de los enlaces que pongo/de sus respectivos manuales.

Ahora ejecutarás una serie de herramientas respetando el orden los pasos con todos los programas cerrados incluidos los navegadores.

Conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas y discos duros externos si también tienes.

Realiza los pasos que te pongo a continuación, sin cambiar el orden y síguelos al pie de la letra:

0) Descarga Ccleaner Aquí te dejo su manual: Manual de CCleaner , para que sepas como usarlo y configurarlo correctamente.

Lo instalas y lo ejecutas. En la pestaña Limpieza personalizada dejas la configuración predeterminada. Haces clic en Analizar y esperas a que termine. Seguidamente haz clic en Ejecutar Limpiador. Clic en la pestaña Registro > clic en Buscar Problemas esperas que termine. Finalmente clic en Reparar Seleccionadas y realizas una Copia de Seguridad del registro de Windows.

1) Descarga, instala, actualiza y ejecuta Malwarebytes’ Anti-Malware. Aquí te dejo su manual: Manual de Malwarebytes, para que sepas como usarlo y configurarlo correctamente.

  • Realizas un Análisis Personalizado, marcando Todas las casillas de la Derecha y de la Izquierda, actualizando si te lo pide. Es decir: conectas todos tus dispositivos externos (todos los discos duros externos que tengas, así como todas las USB que tengas, incluida la que me has dicho anteriormente y marcas todas las unidades de disco disponibles y las siguientes casillas:

1. Analizar objetos en memoria

2. Analizar configuracion de inicio y registro

3. Analizar dentro de los archivos

  • Pulsar en “Eliminar Seleccionados” para enviar las infecciones a la cuarentena y Reinicias el ordenador.
  • Para acceder posteriormente al informe del análisis te diriges a: Informes >> Registro de análisis >> pulsas en Exportar >> Copiar al Portapapeles y pones el informe en tu próxima respuesta.

2) Descarga Eset Online Scaner Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y realizas un Análisis Personalizado tal y como se indica en su manual. Me traes su reporte.

3) Descarga Kasperky Virus Removal Tool Manual de Uso y realizas un análisis del PC, lee detalladamente las instrucciones y lo realizas tal y como se indica en su manual. En este caso no da reporte alguno, cuando finalice, presionas en la pestaña Report tal y como se indica en su manual y haces una captura de pantalla y la subes.

¿Como subir imágenes al Foro?

4) Con UsbFix y con su manual: Manual de UsbFix , para que sepas como usarlo y configurarlo correctamente. Recuerda conectar todos tus dispositivos extraíbles (USBs, discos duros, Micro SD, etc).

Con todas las unidades conectadas, lo ejecutas como Administrador, y vacunas los dispositivos, siguiendo los pasos del Manual. Me confirmas si has podido vacunarlos con éxito y si aparecen alguna de las dos carpetas que nombro más abajo.

Nota: UsbFix creará una carpeta oculta llamada “$RECYCLE.BIN” o bien “autorun.inf” en cada partición y cada unidad USB que se encuentre conectado al momento de ejecutar este. No elimines estas carpetas de ningún lugar en el que se hayan creado, ya que estas ayudará a prevenir y proteger tus dispositivos extraíbles y particiones de futuras infecciones.

5) Utiliza nuevamente CCleaner tal como te dije en el punto 0.

Pegas los reportes de: Malwarebytes, Eset y Kasperky y comentas como va el problema inicial planteado por el cual abriste este tema. También responde a las preguntas que te haya realizado a lo largo de este Post, siempre que te haya hecho alguna, si no, no

NOTA IMPORTANTE

Por Favor, mientras estemos desinfectando tu maquina o terminando de hacerlo:

  • No realices pasos/acciones que NOSOTROS no te hayamos indicado.
  • No descargues NADA de Internet y/o conectes dispositivos externos a tu equipo.
  • No instales NADA (programas/software/complementos/extensiones del navegador…).
  • No ejecutes otros programas de seguridad (Antivirus, Antimalware, ANTINADA…).
  • No realices por tu cuenta otros procedimientos.
  • Usa tu equipo EXCLUSIVAMENTE para desinfectarlo siguiendo nuestras indicaciones.

:warning: Muy Importante :warning: Coloca los diferentes reportes que te he pedido como se muestra en la siguiente imagen:

Salu2.

Hola, sorry, como vi otro usuario con el mismo problema, partí por seguir esos pasos, pero ahora me ceñiré a lo que me indiques. Respecto al SO, me indicaron que el producto fue adquirido en una cadena conocida y por eso asumo que es legal, puede que falte activar (estamos buscando el disco igual).

Ahora sigo los pasos de tu último mensaje y comento.

Gracias

Malwarebytes

-Detalles del registro- Fecha del análisis: 3/4/21 Hora del análisis: 11:04 Archivo de registro: 5067b584-9496-11eb-8fee-f82819658012.json

-Información del software- Versión: 4.3.0.98 Versión de los componentes: 1.0.1236 Versión del paquete de actualización: 1.0.39064 Licencia: Prueba

-Información del sistema- SO: Windows 8.1 CPU: x64 Sistema de archivos: NTFS Usuario: TIENDA\User

-Resumen del análisis- Tipo de análisis: Análisis personalizado Análisis iniciado por:: Manual Resultado: Completado Objetos analizados: 644451 Amenazas detectadas: 0 Amenazas en cuarentena: 0 Tiempo transcurrido: 3 hr, 50 min, 42 seg

-Opciones de análisis- Memoria: Activado Inicio: Activado Sistema de archivos: Activado Archivo: Activado Rootkits: Activado Heurística: Activado PUP: Detectar PUM: Detectar

-Detalles del análisis- Proceso: 0 (No hay elementos maliciosos detectados)

Módulo: 0 (No hay elementos maliciosos detectados)

Clave del registro: 0 (No hay elementos maliciosos detectados)

Valor del registro: 0 (No hay elementos maliciosos detectados)

Datos del registro: 0 (No hay elementos maliciosos detectados)

Secuencia de datos: 0 (No hay elementos maliciosos detectados)

Carpeta: 0 (No hay elementos maliciosos detectados)

Archivo: 0 (No hay elementos maliciosos detectados)

Sector físico: 0 (No hay elementos maliciosos detectados)

WMI: 0 (No hay elementos maliciosos detectados)

(end)

Eset

03/04/2021 21:37:07 Archivos analizados: 164101 Archivos detectados: 9 Archivos desinfectados: 9 Tiempo total de análisis 01:46:03 Estado del análisis: Finalizado

C:\AdwCleaner\Quarantine\v1\20210401.121155\20\Jetmedia\NativeDesktopMediaService 3.6.0\install\2CF5F20\NetworkDesktopMedia.msi#6A1E692435BDA5D1 una variante de Win32/Adware.Adposhel.CC aplicación eliminado C:\Users\User\AppData\Roaming\ZHP\Quarantine\ZHPCleaner\KMSpico\scripts\AddExceptionsWD.reg Win32/HackKMS.AZ aplicación potencialmente no segura desinfectado por eliminación C:\Users\User\AppData\Roaming\ZHP\Quarantine\ZHPCleaner\KMSpico\scripts\Install_Service.cmd Win32/HackKMS.AZ aplicación potencialmente no segura desinfectado por eliminación C:\Users\User\AppData\Roaming\ZHP\Quarantine\ZHPCleaner\KMSpico\scripts\Install_Task.cmd Win32/HackKMS.AZ aplicación potencialmente no segura desinfectado por eliminación C:\Users\User\AppData\Roaming\ZHP\Quarantine\ZHPCleaner\KMSpico\scripts\Silent.cmd Win32/HackKMS.AZ aplicación potencialmente no segura desinfectado por eliminación C:\Users\User\AppData\Roaming\ZHP\Quarantine\ZHPCleaner\SECOH-QAD.dll Win64/HackKMS.D aplicación potencialmente no segura desinfectado por eliminación C:\Users\User\AppData\Roaming\ZHP\Quarantine\ZHPCleaner\SECOH-QAD.exe Win64/HackKMS.C aplicación potencialmente no segura desinfectado por eliminación C:\Windows\Installer\401c6382.msi una variante de Win32/Adware.Adposhel.CC aplicación eliminado C:\Windows\Installer\446e8.msi una variante de Win32/Adware.Adposhel.CA aplicación eliminado

Kapersky1 Kapersky2

----------------------------------------------------

UsbFix Antivirus Premium

----------------------------------------------------

Versión : 11.032

Base de datos :

Contacto : Contáctanos

----------------------------------------------------

Tipo de escaneo : Full

Usuario : User (Administrador)

Dispositivo : TIENDA

Comenzó : 03/04/2021 22:58:14

----------------------------------------------------

------------ | Discos analizados |

C:\ NTFS (301GB/351GB) [Fixed] D:\ NTFS (578GB/580GB) [Fixed] E:\ FAT32 (2GB/4GB) [Removable]

------------ | Elemento(s) infectado(s) |

~ Ningún elemento detectado ~

------------ | Run |

F2 - HKLM…\Winlogon : [Shell] explorer.exe F2 - [x64] HKLM…\Winlogon : [Shell] explorer.exe F2 - HKLM…\Winlogon : [Userinit] userinit.exe, F2 - [x64] HKLM…\Winlogon : [Userinit] C:\Windows\system32\userinit.exe, 04 - HKCU…\Run : [Spotify] C:\Users\User\AppData\Roaming\Spotify\Spotify.exe --autostart --minimized 04 - HKCU…\Run : [CCleaner Smart Cleaning] “C:\Program Files\CCleaner\CCleaner64.exe” /MONITOR 04 - HKLM…\Run : [Adobe ARM] “C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe” 04 - HKLM…\Run : [LogMeIn Hamachi Ui] “C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe” --auto-start 04 - [x64] HKLM…\Run : [AvastUI.exe] “C:\Program Files\Avast Software\Avast\AvLaunch.exe” /gui 04 - HKU\S-1-5-21-823935969-691363989-943823943-1001…\Run : [Spotify] C:\Users\User\AppData\Roaming\Spotify\Spotify.exe --autostart --minimized 04 - HKU\S-1-5-21-823935969-691363989-943823943-1001…\Run : [CCleaner Smart Cleaning] “C:\Program Files\CCleaner\CCleaner64.exe” /MONITOR

------------ | Tasks |

Task - Avast Emergency Update → C:\Program Files\Avast Software\Avast\AvEmUpdate.exe Task - CCleaner Browser Heartbeat Task (Hourly) → C:\Program Files (x86)\CCleaner Browser\Application\CCleanerBrowser.exe --type=heartbeat --hourly Task - CCleaner Browser Heartbeat Task (Logon) → C:\Program Files (x86)\CCleaner Browser\Application\CCleanerBrowser.exe --type=heartbeat --logon Task - CCleaner Update → C:\Program Files\CCleaner\CCUpdate.exe Task - CCleanerSkipUAC → “C:\Program Files\CCleaner\CCleaner.exe” $(Arg0) Task - CCleanerUpdateTaskMachineCore → C:\Program Files (x86)\CCleaner Browser\Update\CCleanerBrowserUpdate.exe /c Task - CCleanerUpdateTaskMachineUA → C:\Program Files (x86)\CCleaner Browser\Update\CCleanerBrowserUpdate.exe /ua /installsource scheduler Task - EOSv3 Scheduler onLogOn → C:\Users\User\Desktop\esetonlinescanner.exe LOGON Task - EOSv3 Scheduler onTime → C:\Users\User\Desktop\esetonlinescanner.exe SCHED Task - GoogleUpdateTaskMachineCore → C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /c Task - GoogleUpdateTaskMachineUA → C:\Program Files (x86)\Google\Update\GoogleUpdate.exe /ua /installsource scheduler Task - Microsoft Office 15 Sync Maintenance for TIENDA-User TIENDA → C:\Program Files (x86)\Microsoft Office\Office15\MsoSync.exe Task - MicrosoftEdgeUpdateTaskMachineCore → C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /c Task - MicrosoftEdgeUpdateTaskMachineUA → C:\Program Files (x86)\Microsoft\EdgeUpdate\MicrosoftEdgeUpdate.exe /ua /installsource scheduler Task - OneDrive Standalone Update Task-S-1-5-21-823935969-691363989-943823943-1001 → %localappdata%\Microsoft\OneDrive\OneDriveStandaloneUpdater.exe Task - Opera scheduled Autoupdate 1550777610 → C:\Users\User\AppData\Local\Programs\Opera\launcher.exe --scheduledautoupdate $(Arg0) Task - Optimize Start Menu Cache Files-S-1-5-21-823935969-691363989-943823943-1001 Task - UsbFix Boot Scan → “C:\Program Files (x86)\UsbFix\UsbFix.exe” -scanonstart Task - UsbFix Monitor → “C:\Program Files (x86)\UsbFix\Modules\UsbFixMonitor.exe” Task - User_Feed_Synchronization-{5CEA4D06-E04A-4422-9D95-45456F199D46} → C:\Windows\system32\msfeedssync.exe sync

------------ | C:\ %SystemDrive% - Disco fijo (NTFS) |

[21/02/2019 - 16:16:12 | A | 9 Ko] - WPI_Log_2019.02.21_16.13.51.txt [01/04/2021 - 11:02:39 | A | 0 Ko] - TKSPProtectLog.txt [03/04/2021 - 18:41:42 | ASH | 3278912 Ko] - hiberfil.sys [03/04/2021 - 18:41:43 | ASH | 3584000 Ko] - pagefile.sys [03/04/2021 - 18:41:43 | ASH | 262144 Ko] - swapfile.sys [11/05/2019 - 20:32:09 | SHD] - $Recycle.Bin [18/06/2013 - 07:18:29 | ASH | 0 Ko] - BOOTNXT [22/08/2013 - 09:45:52 | SHD] - Documents and Settings [22/08/2013 - 10:22:35 | D] - PerfLogs [29/09/2013 - 23:17:59 | RASH | 389 Ko] - bootmgr [21/02/2019 - 13:38:24 | SHD] - Archivos de programa [21/02/2019 - 14:46:54 | D] - DRIVERS [21/02/2019 - 16:02:47 | RHD] - MSOCache [21/02/2019 - 16:08:41 | D] - Intel [21/02/2019 - 17:08:52 | RD] - Users [02/05/2019 - 12:30:53 | D] - TEMP [01/04/2021 - 10:27:05 | HD] - $AV_ASW [01/04/2021 - 12:11:55 | D] - AdwCleaner [01/04/2021 - 12:12:00 | HD] - ProgramData [01/04/2021 - 12:35:42 | RD] - Program Files [01/04/2021 - 14:22:15 | D] - Instaladores [01/04/2021 - 14:22:56 | D] - FRST [03/04/2021 - 22:50:47 | D] - Windows [03/04/2021 - 22:56:17 | D] - KVRT2020_Data [03/04/2021 - 22:56:19 | RD] - Program Files (x86)

------------ | D:\ - Disco fijo (NTFS) |

[21/02/2019 - 13:44:57 | SHD] - $RECYCLE.BIN [21/02/2019 - 14:52:27 | D] - Driver WiFi [30/03/2019 - 17:13:05 | D] - BACKUP [25/04/2019 - 11:46:57 | D] - POWERNET [03/04/2021 - 10:50:00 | D] - Eliminar malware

------------ | E:\ - Disco extraíble (FAT32) |

Elemento(s) infectado(s) : 0 Elementos analizados : 66137 en 00h 00m 15s

UsbFix-Report-01.txt [5627B]

------------ | E.O.F |

Hola @MarrOn! Muchas gracias por la ayuda. Ahí dejé los reportes. Después de ejecutar UsbFix no vi que se me hayan creado las carpetas que indican (vi otras carpetas ocultas, pero no esas o no sé si hay otra forma de validar que se hayan creado).

Quedo atento!

Hola, buenas @pgutierrrezro

:+1: perfecto.

Pon los reportes correctamente para otra ocasión, pues leerlos así es una tortura. Hazlo como te indiqué en:

Ok ya me comentas en cuanto tengas más información acera de esto.

Respecto Malwarebytes >> perfecto está limpio.

De todas formas si te pongo instrucciones tan detalladas es por algo. Has activado la opción de Rootkits cuando yo no te lo indique. Pues puede hacer que el programa se cuelgue y no finalice el análisis o hacer que este tarde muchísimo. En tu caso has tenido suerte, ya que no ha tardado mucho.

Respecto ESET >> ha hecho lo que tenía que hacer. Básicamente todas las detecciones a excepción de los dos últimos elementos infectados pertenecen/corresponden a las Cuarentenas de ZHPCleaner o de AdwCleaner por lo que ya no eran peligrosos como tal. Solo los dos últimos detectados.

Respecto Kaspersky >> perfecto está limpio.

Respecto UsbFix >> solo te dije que hicieses la vacunación de los dispositivos y ya esta. ¿Por qué has hecho el Full Análisis si yo no te lo indique? Si te pongo instrucciones tan detalladas es por algo

De nada :+1:

Pues compruebas si hay un fichero llamado: lpt1.UsbFix dentro de autorun.inf o bien de $RECYCLE.BIN. Me lo confirmas. Si este esta, estan vacunadas.

Respondes a las preguntas que te haya hecho y Comentas como sigue el problema inicial planteado por el cual abriste/creaste este tema.

Salu2.