Jump to content

Vínculo Malicioso


Recommended Posts

José María Arrojo García
Posted

Hola, desde hace unos dias sale un mensaje de Vínculo Malicioso, URL BLOQUEADA…..os mando dos fotos para ver si podéis ayudarme.

 

Un saludo

José María Arrojo

 

  • Replies 53
  • Created
  • Last Reply

Top Posters In This Topic

  • José María Arrojo García

    28

  • harlan4096

    27

Posted

Bienvenid@ a la nueva Comunidad de Kaspersky!

 

Debes darnos más información para poderte ayudar, como sistema operativo, service packs instalados, versión exacta de producto K. instalado, siguiendo las normas genera GSI (getsysteminfo versión 6).

 

Si tienes dudas de cómo generar el GSI puedes consultar este enlace (deber envíanos en tu mensaje del foro anexo el archivo comprimido con el nombre GetSystemInfo_NOMBRE DEL PC_Usuario_Fecha_Hora.zip que está dentro del comprimido generado en el Escritorio):

https://support.kaspersky.com/sp/common/diagnostics/3632#block1

 

Baja el GetSystemInfo desde aquí: media.kaspersky.com/utilities/ConsumerUtilities/GetSystemInfo6.2.exe

 

El informe comprimido resultante lo puedes subir a un servidor de archivos gratuito:

 

1.- Visita https://www.upload.ee/ /> 2.- Pulsa en: Choose file:[Browse] y selecciona el archivo zip recién generado por GetSystemInfo.exe, inicia la subida pulsando en [Upload].
3.- Cuando termine el proceso de subida, copia el primer enlace llamado "Direct Link:", para ello: haz 1 click con el botón izquierdo del ratón sobre la zona del enlace, una vez sobreiluminado, pulsa 1 click con el botón derecho del ratón y elige Copiar en el menú desplegable.
4.- Péganos en tu próximo mensaje del foro dicho enlace para proceder a su descarga.

 

Además, en tu Kaspersky ve a Configuración -> Avanzado/Adicional -> Amenazas y Exclusiones, activa la casilla: Detectar otro Software que los delincuentes pueden usar..., activa también dicha opción en las Opciones Avanzadas del Antivirus de Internet, actualiza firmas.

 

Saludos.

José María Arrojo García
Posted

Hola, gracias por responder, te mando el GetSystemInfo.

Espero tus noticias.

 

Un saludo

 

José M.

Posted

Enlace a tu informe GSI.

 

En principio no he visto nada extraño, a no ser que se me haya pasado algo…

 

¿Dicha notificación de Kaspersky la recibes cuando estás navegando? ¿en todos los navegadores?

 

Vamos a comprobar si se ha colado algún PUP/PUA/Adware en el sistema, para ello:

 

Descarga AdwCleaner (By Xplode/Malwarebytes): https://toolslib.net/downloads/finish/1/

 

1.- Cierra todos los navegadores y programas, pulsa en Analizar ahora, cuando termine (NO pulses en Limpiar y Reparar aún), pulsa en Cancelar.

2.- Nos vamos a Informes, y aquí tendremos el registro del informe generado en un archivo .txt, si hacemos doble click sobre él, veremos las detecciones.

3.- Copia el contenido de dicho informe, y en tu próximo mensaje, pega el contenido dentro del marco generado previamente al pulsar el botón [ ,, ] (Quote o Citar) de la barra horizontal de herramientas en el cuerpo de edición del mensaje.

 

Saludos.

José María Arrojo García
Posted

Hola de nuevo, ante todo gracias por tu tiempo, se agradece.

Te mando el informe del AdwCleaner, pero sale aleatoriamente, no sale necesariamente en ningún momento, en el primer post te puse 2 fotos, en la 1ª es lo que me sale a la derecha, en “notificaciones nuevas”, en la 2ª la foto es del “informe detallado” del antivirus, el problema es que no puedo eliminar que me informe de que la url está bloqueada.

# -------------------------------
# Malwarebytes AdwCleaner 8.0.3.0
# -------------------------------
# Build:    03-03-2020
# Database: 2020-03-23.1 (Cloud)
# Support:  https://www.malwarebytes.com/support /> #
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    03-23-2020
# Duration: 00:00:38
# OS:       Windows 10 Home
# Scanned:  32067
# Detected: 42


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

PUP.Optional.AliExpress         C:\Users\Jose Maria\Favorites\Links\Aliexpress.URL

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

No malicious tasks found.

***** [ Registry ] *****

PUP.Optional.InstallCore        HKCU\Software\csastats
PUP.Optional.Vittalia           HKCU\Software\Vittalia

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Hosts File Entries ] *****

No malicious hosts file entries found.

***** [ Preinstalled Software ] *****

Preinstalled.HPAudioSwitch   Folder   C:\Program Files (x86)\HP\HPAUDIOSWITCH
Preinstalled.HPAudioSwitch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EF571F35-F266-47ED-8473-70BFE2CD3634}  
Preinstalled.HPAudioSwitch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HPAudioSwitch
Preinstalled.HPAudioSwitch   Task   C:\Windows\System32\Tasks\HPAUDIOSWITCH
Preinstalled.HPCoolSense   Folder   C:\Program Files (x86)\HP\HP COOLSENSE
Preinstalled.HPCoolSense   Folder   C:\Users\Jose Maria\AppData\Local\HP\HP COOLSENSE
Preinstalled.HPCoolSense   Folder   C:\Windows\System32\Tasks\HP\HP COOLSENSE
Preinstalled.HPCoolSense   Registry   HKLM\Software\Classes\CLSID\{224695A4-BD5E-4C38-B354-A4C828E61BF7}
Preinstalled.HPJumpStartApps   Folder   C:\Program Files (x86)\HP\HP JUMPSTART APPS
Preinstalled.HPJumpStartApps   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\HP JumpStart Apps
Preinstalled.HPJumpStartBridge   Folder   C:\Program Files (x86)\HP\HP JUMPSTART BRIDGE
Preinstalled.HPJumpStartLaunch   Folder   C:\Program Files (x86)\HP\HP JUMPSTART LAUNCH
Preinstalled.HPJumpStartLaunch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{8D7E9222-B497-4DDA-AEB7-CCEA64A77AF4}  
Preinstalled.HPJumpStartLaunch   Registry   HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\HPJumpStartLaunch
Preinstalled.HPJumpStartLaunch   Task   C:\Windows\System32\Tasks\HPJUMPSTARTLAUNCH
Preinstalled.HPRegistrationService   Folder   C:\Program Files (x86)\HP\HP REGISTRATION SERVICE
Preinstalled.HPRegistrationService   Folder   C:\ProgramData\HP\HP REGISTRATION SERVICE
Preinstalled.HPSupportAssistant   Folder   C:\HP\SUPPORT
Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP CUSTOMER FEEDBACK
Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT SOLUTIONS
Preinstalled.HPSupportAssistant   Folder   C:\ProgramData\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPSupportAssistant   Folder   C:\Users\Jose Maria\AppData\Local\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPSupportAssistant   Folder   C:\Users\Jose Maria\AppData\Roaming\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPSupportAssistant   Folder   C:\Windows\System32\config\systemprofile\AppData\Local\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Preinstalled.HPSupportAssistant   Registry   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant   Registry   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{4AAC4B07-77EF-4BCF-88DC-D24E4DE683E8}
Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{B7053964-E2C7-4BA9-84DE-D3A98B5FBA24}
Preinstalled.HPSureConnect   Folder   C:\Program Files\HPCOMMRECOVERY
Preinstalled.HPSureConnect   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{6468C4A5-E47E-405F-B675-A70A70983EA6}
Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDGAMES
Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDTANGENT GAMES
Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangent wildgames Master Uninstall
Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{A39303AB-4898-4F12-BAA0-0B8630F86DB4}

 

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########

Posted

Bien por la segunda captura veo que en teoría es la aplicación Notepad (Block de Notas) aparentemente la que está lanzando el acceso a dicha URL maliciosa.

 

Por lo que estoy encontrando en Google, cpux86.bin está relacionado con un “minador”, seguramente te lo han colado al bajar una descarga desde una página Web de Torrents, te hicieron probablemente ejecutar un script .vbe para iniciar la descarga 😡 últimamente muchas páginas de Torrents hacen eso y están infectado a muchos usuarios.

 

Otras veces me he encontrado el rastro del proceso en ejecución en el informa GSI, pero se ve que han refinado el ataque y al menos en el tuyo no lo encuentro, así que tendremos que averiguarlo por otros métodos.

 

Prueba subir una captura (o las que hagan falta) de la sección Inicio, aquí tienes como acceder a ella, vamos a comprobar las aplicaciones que se auto ejecutan en casa inicio del sistema:

 

https://www.xataka.com/basics/como-quitar-aplicaciones-del-inicio-de-windows-10-para-que-cargue-mas-rapido

 

Aquí no aparecerán todas, pero vamos a ver si aparece por casualidad… si no, tendremos que usar alguna herramienta más refinada de terceros.

 

Saludos.

José María Arrojo García
Posted

Hola , te mando lo que solicitas.

 

Un saludo

 

José M.

 

Posted

Imagino que las aplicaciones VideoStream y AnyTransTool las instalaste tú 🤔 … y en principio ahí no veo nada sospechoso.

 

Vamos con otra herramienta que suele “indagar” más en el sistema:

 

1.- Descarga FarBar Recovery Scan Tool: https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/

 

2.- Contestamos con a la pregunta que nos hará.

 

3.- Pulsamos en [Analizar].

 

4.- Una vez terminado el análisis se abrirá una ventana que le indicará que el análisis se completó y el archivo Frst.txt será salvado (guardado) en el mismo directorio donde descargó la herramienta, lo mismo para el archivo Addition.txt. Presionamos en [Aceptar]

 

5.- Sube ambos archivos al servidor https://www.upload.ee/ siguiendo los mismos pasos que ya te indiqué para el informe anterior GSI.

 

6.- Pega los enlaces de ambos archivos para su descargar en tu próximo post.

 

Saludos.

José María Arrojo García
Posted

Nada, sale un círculo naranja como si estuviera pensando y se quita a los 4 segundos para volver a ponerse el cuadrado rojo.

Posted

¿Qué hay de los temporales en \Temp?

José María Arrojo García
Posted

Voy a borrarlos, una pregunta...me dice si quiero borrar también las actualizaciones de Windows, dice que Windows conserva copias de todas las actualizaciones, son más de 6gb, ¿lo recomiendas?

Posted

Vamos a probar algunas cosas más, activa la visualización de archivos ocultos y del sistema, siguiendo los pasos de este enlace:

 

https://norfipc.com/utiles/ver-mostrar-carpetas-archivos-ocultos.html

 

Comprueba si existen estas 2 carpetas (bastante sospechosas) en la raíz de tu unidad C:

 

C:\03cace7
C:\fcjhg

 

En caso afirmativo, sube captura de pantalla de su contenido.

 

Saludos.

Posted

Voy a borrarlos, una pregunta...me dice si quiero borrar también las actualizaciones de Windows, dice que Windows conserva copias de todas las actualizaciones, son más de 6gb, ¿lo recomiendas?


Si estás borrando el contenido de la carpeta Temp que debe estar en:

 

C:\Users\<tu usuario>\AppData\Local\Temp\

 

Es extraño que te pregunte eso 🤔  de cualquier forma borra todo el contenido en su interior, siempre que te deje, puede que haya archivos bloqueados por el sistema, que quizás no deje eliminar.

 

Saludos.

José María Arrojo García
Posted

De las dos carpetas que me indicas una sí tiene algo dentro, la otra no, te paso las capturas.

 

 

Posted

¡Ajáaaaaaaaaaa! ¡te pillé! (o eso creo 😁 )

 

La carpeta C:\fcjhg es lo que estaba buscando, está el AutoIT, que es una utilidad legítima para programación y desarrollo de scripts, peeero se suele usar para colar scripts maliciosos en el sistema, y el .bin es casi seguro cpux86.bin que aparece en las notificaciones de URL maliciosa de Kaspersky, pero con otro nombre.

 

Comprime ambos archivos con la contraseña “infected” (sin las comillas), súbe el comprimido resultante de nuevo a upload.ee y OJO pásame el enlace de descarga pero por un mensaje privado del foro.

 

Saludos.

José María Arrojo García
Posted

Te lo mandé, espero haberlo hecho bien.

 

Muchísimas gracias por tu tiempo.

Posted

Sí, todo ok… prueba a eliminar dicha carpeta, a ver si te deja o está bloqueada.

 

Saludos.

José María Arrojo García
Posted

Eliminada, tirada a la papelera de reciclaje y vaciada.

Posted

Ok, al final los archivos temporales de la carpeta \Temp te dejó borrarlos, incluido el script.vbs que detectaba Kaspersky?

 

Saludos.

José María Arrojo García
Posted

Todo eliminado menos estos tres archivos…te pongo lo que pone el primero porque es el que menos me suena, los otros dos dice que ¨no se pueden eliminar porque Servicio y Hacer Click y ejecutar de Oficce tiene abierto el archivo¨

 

 

Posted

Ok, no te preocupes por esos archivos bloqueados, es normal que no te deje eliminarlos.

 

Ahora toca monitorizar el sistema a ver si sigue detectando tu Kaspersky el acceso a dicha URL maliciosa.

 

Saludos.

Posted

Bueno ya tengo el veredicto final de los analistas de Kaspersky:

 

Hello,

The file "autoit.exe" is clean.
The file "pe.bin" doesn't perform malicious activity, because it is encrypted.
But we detected a decrypted version of this file as:
HEUR:Trojan.Win32.Agentb.gen
Its detection will be included in the next update.
Thank you for your help.

Best regards,

 

Saludos.

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now



×
×
  • Create New...