Malware? Virus? No se. Pasé por un URL que dio rojo

[tcwe]

Buenas noches!

Espero que todos bien por allá.

Les cuento que por querer distraerme y con la vista hecha caracol de cansada, metí la pata. Seguí un link y no me di cuenta que me iba a pasar por una página intermediaria. La página de origen estaba OK, y la de destino también. Pero la intermediaria... he ahí el problema. La intermediaria: "href . li/?" seguida por un URL safe. Cuando me di cuenta, ya era demasiado tarde.

 

Hoy dije, "Vamos! A ver en cuantos problemas me metí?" Puse el tal href punto li (Sólo eso, las 6 letras y el punto, sin el URL que iba despues) en:

 

• opentip kaspersky com - salió verde. Pero hasta ahí llegó lo bueno, porque fue la única que me dio verde.
• safeweb norton com - dio rojo: "This is a known dangerous web page. It is highly recommended that you do NOT visit this page." Community Rating: 1 "Will harm you or your computer" Comentario: "Drive by mobile download. Pages on this site show fake virus warnings and perform drive by downloa..."
• VirusTotal - dio rojo. Clean MX reportándolo como Phishing y alphaMountain como Suspicious

Corrí un full system scan con KIS y me salió limpio… pero como Kaspersky era el único que no identificaba la página como maliciosa, no sé...

Veo que borraron las referencias al GSI, entonces no sé que enviarles para que por favor me analicen y ayuden. O sea, tengo la herramienta guardada y la corrí y ahi tengo el resultado, pero como que el foro ya no la usa?

 

No sabiendo que info proporcionar, corrí el AdwCleaner, me dio esto:

# -------------------------------
# Malwarebytes AdwCleaner 8.2.0.0
# -------------------------------
# Build:    03-22-2021
# Database: 2021-03-22.1 (Local)
# Support:  https://www.malwarebytes.com/support />#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    04-09-2021
# Duration: 00:00:09
# OS:       Windows 10 Home Single Language
# Scanned:  31988
# Detected: 49

***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

No malicious registry entries found.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.CyberLinkLabelPrint   Folder   C:\Program Files (x86)\CYBERLINK\LABELPRINT
Preinstalled.CyberLinkLabelPrint   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\InstallShield_{C59C179C-668D-49A9-B6EA-0121CCFC1243}
Preinstalled.CyberLinkLabelPrint   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{C59C179C-668D-49A9-B6EA-0121CCFC1243}
Preinstalled.CyberLinkShellExtension   Registry   HKLM\Software\Classes\CLSID\{3E2A0A32-6E14-4BAD-AA87-BBB6A75EBFF2}
Preinstalled.HPAudioSwitch   Folder   C:\Program Files (x86)\HP\HPAUDIOSWITCH
Preinstalled.HPAudioSwitch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{755290EF-5781-4906-8B26-C15AFC5C5ADA}  
Preinstalled.HPAudioSwitch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HPAudioSwitch
Preinstalled.HPAudioSwitch   Task   C:\Windows\System32\Tasks\HPAUDIOSWITCH
Preinstalled.HPCoolSense   Folder   C:\Program Files (x86)\HP\HP COOLSENSE
Preinstalled.HPCoolSense   Folder   C:\Users\macomp\AppData\Local\HP\HP COOLSENSE
Preinstalled.HPCoolSense   Folder   C:\Windows\System32\Tasks\HP\HP COOLSENSE
Preinstalled.HPCoolSense   Registry   HKLM\Software\Classes\CLSID\{224695A4-BD5E-4C38-B354-A4C828E61BF7}
Preinstalled.HPJumpStartBridge   Folder   C:\Program Files (x86)\HP\HP JUMPSTART BRIDGE
Preinstalled.HPJumpStartLaunch   Folder   C:\Program Files (x86)\HP\HP JUMPSTART LAUNCH
Preinstalled.HPJumpStartLaunch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{37B3A78E-433C-4BAA-AB5C-31CB1F2CF1B5}  
Preinstalled.HPJumpStartLaunch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HPJumpStartLaunch
Preinstalled.HPJumpStartLaunch   Task   C:\Windows\System32\Tasks\HPJUMPSTARTLAUNCH
Preinstalled.HPRegistrationService   Folder   C:\Program Files (x86)\HP\HP REGISTRATION SERVICE
Preinstalled.HPRegistrationService   Folder   C:\ProgramData\HP\HP REGISTRATION SERVICE
Preinstalled.HPSupportAssistant   Folder   C:\HP\SUPPORT
Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP CUSTOMER FEEDBACK
Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT SOLUTIONS
Preinstalled.HPSupportAssistant   Folder   C:\ProgramData\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPSupportAssistant   Folder   C:\Users\macomp\AppData\Local\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPSupportAssistant   Folder   C:\Users\macomp\AppData\Roaming\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPSupportAssistant   Folder   C:\Windows\System32\config\systemprofile\AppData\Local\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPSupportAssistant   Registry   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant   Registry   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{4AAC4B07-77EF-4BCF-88DC-D24E4DE683E8}
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{B7053964-E2C7-4BA9-84DE-D3A98B5FBA24}
Preinstalled.HPSureConnect   Folder   C:\Program Files\HPCOMMRECOVERY
Preinstalled.HPSureConnect   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{6468C4A5-E47E-405F-B675-A70A70983EA6}
Preinstalled.LenovoPower2Go   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32|CLMLServer_For_P2G8
Preinstalled.LenovoPower2Go   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run32|CLVirtualDrive
Preinstalled.LenovoPower2Go   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Run|CLMLServer_For_P2G8
Preinstalled.LenovoPower2Go   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Run|CLVirtualDrive
Preinstalled.LenovoPower2Go   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\InstallShield_{2A87D48D-3FDF-41fd-97CD-A1E370EFFFE2}
Preinstalled.LenovoPower2Go   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{2A87D48D-3FDF-41fd-97CD-A1E370EFFFE2}
Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDGAMES
Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDTANGENT GAMES
Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDTANGENT GAMES\SHORTCUTPROVIDER
Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangent wildgames Master Uninstall
Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{80831F60-19D7-43B3-A60C-5CAF8C478DF6}
Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{A39303AB-4898-4F12-BAA0-0B8630F86DB4}

AdwCleaner[S00].txt - [7318 octets] - [09/11/2020 15:38:20]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S01].txt ##########

 

Info:

• Windows 10 v 2004 build 19041.867
• KIS 21.3.10.391(a)
• Firefox 87.0 (tenia una ventana en normal y otra, donde pasó esto, en Private Browsing)

 

No sé si es importante, pero como una hora antes acababa de terminar de correr los Windows Updates… no sé si eso hace identificar actividad rara más dificil. Lo siento. :(

 

Entonces, por favor:

1. ¿Qué hago; qué corro; qué les envío?
2. ¿Cómo bajo el MBAM para que no se pelee con Kaspersky? Si no hace diferencia, lo preferiria bajar de la pagina de MBAM en lugar de CNet, por lo que las descargas de CNet tienen o tenian mala fama de venir cargadas con… extras. En inglés está bien, vale, no tiene que ser en español.

Gracias de antemano… y siento que les envió esto a medias, sin el GSI, pero no sé cual es el procedimiento ahora.

 

Saludos! Y ojalá la estén pasando mejor que yo. lol

[harlan4096]

Bienvenid@ a la Comunidad de Kaspersky.

 

Esas “detecciones” que te aparecen en el informe del AdwCleaner no son realmente nada de lo que preocuparse, simplemente son aplicaciones que vienen preinstaladas de fábrica en el portátil, pero no son maliciosas a priori.

 

Así que si Kaspersky no te ha vuelto a avisar con alguna detección de alguna URL maliciosas o sospechosa o tu navegador funciona de forma correcta, en principio no habría por qué preocuparse.

 

El MalwareBytes puedes instalar la versión Free, aunque seguramente te activará la Premium por 14 días, lo cual no es aconsejable, tendrías que ir a la rueda dentada (Opciones), y en la sección Cuenta, desactivar la versión Premium/Pro, y luego en Seguridad desactivar la casilla que indica que el MWB se inicie con el sistema.

 

Saludos.

[tcwe]

Gracias, Harlan!

 

OK, ya instalé el MBAM…. Pregunta: Habiendo hecho lo que dijiste:

• Opciones → Cuenta → Desactivar Premium/Pro
• Seguridad → Desactivar que inicie con el sistema

¿Después de haber hecho eso, tengo que ponerle exclusiones para KIS en el MBAM y vice versa, o ya no es necesario? (Y si sí, ¿qué le pongo y dónde, por favor?)

 

Otra, en Scan Options, MBAM me da la opcion de escanear Rootkits y de “Use expert system algorithms to identify malicious files.” Estas dos están desactivadas por default. ¿Si le activo una o las dos, podría causar problemas con Kaspersky?

[harlan4096]

¿Después de haber hecho eso, tengo que ponerle exclusiones para KIS en el MBAM y vice versa, o ya no es necesario? (Y si sí, ¿qué le pongo y dónde, por favor?)

 

En principio no…

 

Otra, en Scan Options, MBAM me da la opcion de escanear Rootkits y de “Use expert system algorithms to identify malicious files.” Estas dos están desactivadas por default. ¿Si le activo una o las dos, podría causar problemas con Kaspersky?

 

Sí, esas 2 opciones también son interesantes y debes activarlas, no creo que generen conflictos con Kaspersky.

 

Saludos.

[tcwe]

Gracias, Harlan!

 

Hecho! Lo he corrido con todas las opciones de escaneo activadas y ha salido limpio! :D

Y siguiendo tus instrucciones, los dos programas se han portado bien juntos. :D

 

Nuevamente, muchísimas gracias!

Hacen una labor genial aquí en el foro.

[harlan4096]

Me alegro :)

 

Saludos.