Guía para desinfección y detección de malware

acerty

#510 Me parece que hay que hacerlo manualmente.

1
laZAr0

¿Qué hacemos con esto @AikonCWD, le pego fuego al PC?

He venido a este hilo para seguir el proceso después de que me pasase esto que comento en este hilo, por si pudiese estar relacionado:

https://www.mediavida.com/foro/off-topic/youtubegoogle-exigen-documentos-personales-667023/5#134
https://www.mediavida.com/foro/off-topic/youtubegoogle-exigen-documentos-personales-667023/5#138
https://www.mediavida.com/foro/off-topic/youtubegoogle-exigen-documentos-personales-667023/5#141

Me he encontrado con esto:

spoiler
2 respuestas
AikonCWD

#512 te acabo de leer y no entiendo nada xd

3 1 respuesta
laZAr0

#513 Pues que mi ip está en varias listas negras y no sé por qué, y me saltan mil captchas de cloudflare y hcaptcha al navegar por internet. Y cómo no tengo ni idea de redes y no he hecho ninguna cosa rara, lo único que he sacado en claro es que puede deberse a algún bichito que la esté liando en mi PC mandando spam o a saber qué mas.

Eso ha hecho que me acuerde de éste hilo. He seguido la guía de #1 (rkill, malwarebytes, adwcleaner y demás) y no he visto nada raro, salvo algún executable de algún crack de adobe o tonterías del estilo, hasta llegar al paso de pasar el escaner del Hitman y el GMER. Del hitman he pasado el log, y del GMER no porque crashea antes de terminar o justo al terminar (he dejado una captura mientras escaneaba).

Y te preguntaba (además de si ves algo raro) si mi problema (el de la IP) podría deberse a algún malware o alguna otra cosa que pudieras ver en las capturas. Y ya de paso si me conviene pegarle fuego al pc, es decir, formatear directamente la unidad del sistema y a otra cosa, (aunque me da 7 kilos de pereza tener que descargar y configurar todo otra vez) o me molesto en intentar solucionar algo.

Es que soy muy patán explicándome, perdona. :(

1 1 respuesta
AikonCWD

#514 Vale, ahora empiezo a entenderlo.

Tu IP pública está listada con baja reputación, y al parecer es todo el rango así que es culpa del ISP (al menos es responsabilidad del ISP arreglarlo). Como se trata de una conexión doméstica y no empresarial seguramente suden de tu cara si les pides que tramiten la limpieza del ISP. Dudo que sea nada de tu equipo.

Respecto al log del GMER.. tienes algún antivirus instalado?

1 respuesta
laZAr0

#515 No, no tenia antivirus instalado hasta ahora. He instalado las versiones free de malwarebytes y demás que he visto en #1.

el adwcleaner me encontró esto y le di a limpiar o cuarentena:

spoiler

El gmer nada más abrirse hace un scaner rápido y me sale esto:

Pero si después le doy al botón de scan como que encuentra 300 millones de cosas y se cierra.

También he dado una pasada con el Malwarebytes anti-rootkit, y salen dos archivos del webex que la herramienta que uso para las conferencias online que al parecer son "spyware pony". También le di a cleanup.

No sé si hay alguna herramienta para hacer algún examen más exhaustivo o completo y asegurarme de que no haya nada.

1 respuesta
wOlvERyN

#516

5 1 respuesta
B

#512 ¿Lo que te pasa es al buscar algo en google? Ya sea a través del buscador y/o la barra de búsqueda

1 respuesta
laZAr0

#518 me sale indistintamente si pongo la dirección directamente en la barra del navegador o si entro a través de una búsqueda de Google.

#517 como dicen en mi pueblo, "estamos apañados y con lás gafas torcidas". xD

1 respuesta
B

#519 Eso es un sistema de protección pero a mí me sale cuando uso vpn y sólo en Android. Como ya te han dicho, intenta limpiar tu ip hablando con la operadora.

Puedes probar estas extensiones mientras tanto: Privacy Badger, uMatrix

1 respuesta
laZAr0

#520 No entiendo muy bien qué es lo que tengo que pedirle a la operadora. Entiendo que si es mi IP la que tiene mala reputación, pidiéndole a Pepephone que la cambie por otra ya estaría, ¿pero si son todas las del rango entonces qué? Le tengo que decir a la operadora que "mejore" la reputación de sus IP? ¿Hay algún nombre específico para ese trámite o alguna petición específica? ¿O simplemente le digo "limpia mi IP"?

Es que como no entiendo cuál es el proceso de limpiar la IP no sé si voy a saber explicarme y mucho menos si me van a entender. Y por supuesto descarto que vayan a hacer nada que les suponga más trabajo que hacer unos cuantos de clicks o mover algunas barras, si es algo específico o tienen que hacer algún trámite o ponerse en contacto con alguien no lo van a hacer por un random como yo.

1 respuesta
AikonCWD

#521 yo tengo pepephone, que IP tienes ahora mismo?

1 respuesta
laZAr0

#522 de este rango: 170.253.0.0/18

1 respuesta
AikonCWD

#523 qué raro, yo estoy con pepephone y voy con 95.169.224.X

1 respuesta
laZAr0

#524 Pues esa es la que tengo

ip: 170.253.55.X
puerta: 170.253.48.X

¿La tuya es pública también o estás en CGNAT?

1 respuesta
AikonCWD

#525 Estoy en CGNAT, al menos yo no he pedido quitarlo

1 respuesta
laZAr0

#526 Por eso entonces es diferente seguramente. En https://www.whatismyip.com/ me dice que es ISP: Xtra Telecom S.A. que creo que es MASMOVIL, así que cuadra. Yo pedí que me diesen IP pública hace no mucho, quizas un par de meses, y no estoy seguro de si coincide el problema de los captcha con esa fecha pero seguro que sí ha sido después.

También es cierto que hace un par de semanas estuve instalando y desinstalando algunas extensiones de bloqueadores de anuncios y VPN y demás, pero después los volví a quitar todos, ¿puede que haya quedado algo de eso latente y que esté molestando? Ya te digo, es que de esto tengo muy poca idea, me supera básicamente.

En fin, muchas gracias por todo y no os molesto más, de todos modos es algo con lo que puedo vivir. En cualquier caso si veo que me molesta mucho en un futuro reinstalaré el sistema operativo por si hubiese quedado alguna mala configuración latente o algun malware tacapelotillas por confirmar que no sea efectivamente cosa de mi PC.

11 días después
ReFluXeD

Desde hace una hora aproximadamente cada vez que uso la barra de direcciones de chrome para hacer cualquier busqueda me redirige a bing a traves de "www.chamsearching.com" , no me apetece instalar software anti malware que me instale mil mierdas mas, a ver si puedo quitarlo por mi cuenta xd.

Tengo curiosidad por saber como coño se ha instalado, he encendido el PC a las 7 y no me he descargado nada, he echado un par de partidas al LoL, navegado por MV y visitado algún blog y poco mas :thinking: :thinking:

Edit: Creo que ya lo he quitado, por lo menos lo de las redirecciones, no se si quedará algo mas.

Sigo teniendo la duda de como se ha instalado xd

1 1 respuesta
AikonCWD

#528 suele venir como bloatware dentro de algunos instaladores, de esos que sin querer pulsamos "siguiente" y nos mete software no deseado.
También te lo pueden colar usando métodos de drive-by, visitando alguna web con un script malicioso, una web con algún iframe de publicidad maliciosa, etc...

En teoría solo con malwarebytes lo deberías poder sacar.

8 días después
B

¿Conocéis este programa? https://www.guardicore.com/infectionmonkey/

Quiero testear las vulnerabilidades de mi servidor y no sé cómo hacerlo. Desde 4 meses que lo tengo no he recibido ataques pero quiero asegurarme de que no me dejo nada por alto.

1 respuesta
AikonCWD

#530 No lo conozco, pero puedes pasarle un Zenmap y un GFI Languard. Pero a poco que lo tengas full updated y detrás de un firewall sin exponer puertos/servicios al exterior... deberías ir sobrado.

2 2 respuestas
B

#531 Probaré esas dos, gracias.

Tengo abiertos dos puertos solamente, 443 y 32400, para reverse proxy y Plex.

El firewall lo tengo por geolocalización, solamente permito conexiones de España.

Ev3rSmAn

#531 No meterías Nessus ahí como posible opción?

xTwisted

#1 está actualizado a día de hoy? Principalmente el tema de desinfección y limpieza

Glumyglu

¿Alguna alternativa al AntiMalwarebytes? ¿Es realmente necesario tene runo en activo?

Acabo de instalarlo en el ordenador y me crashea al iniciarse puteándome todo el PC, he tenido que desinstalarlo con el revo en modo seguro porque sino no había manera. En el anterior PC me iba perfectamente pero ahora no me apetece experimentar más con el programa xd

22 días después
pantocreitor

Venía buscando algo para hacer una buena limpieza y el regseeker me ha encantado.
Vengo del BleachBit pero por el rollo de configurarlo bien y tal, los limpiadores de la comunidad, etc... al final no tengo claro 100% si estoy borrando algo qu erealmente no quiero tocar.

2 meses después
B

Diría que es un falso positivo, ¿no? Tanto kaspersky como malwarebytes no detectan nada.

https://www.hybrid-analysis.com/sample/72e4df5d74a0941cdfa21467a9cf0002ff1aafe9ab8cba37eb7901ce0d7d091a/6107e3e6a77c447d0e09447d

1 respuesta
AikonCWD

#537 seguramente, pero si es un bat postea aquí su contenido y lo revisamos.

1 respuesta
B

#538 Bueno, claro, soy un poco idiota. El .bat llama a contenido de github por lo que obviamente el bat no es malicioso xD.

El archivo al que llama en cuestión es este (desconozco si se necesita de algo más):

https://pastebin.com/JNjxzqJq

1 respuesta
AikonCWD

#539 eso es un powershell, con una extensión bat no debería ejecutarse.
No voy a descargar esos links porque no tengo la VM disponible, pero esto huele mal xd.

De donde lo has sacado?

1 respuesta