• Registrarse
  • Iniciar sesión


  • Resultados 1 al 6 de 6

    Posible Keylogger/miner/... oculto

    ...

    1. #1
      Usuario Avatar de inware
      Registrado
      mar 2017
      Ubicación
      España
      Mensajes
      17

      Posible Keylogger/miner/... oculto

      Buenas tardes, indagando por el PC en una de las múltiples pasadas de limpieza que suelo hacer cuando tengo tiempo (últimamente no) he encontrado una carpeta en esta dirección: "C:\Users\frang\AppData\Roaming" llamada "24369c546780053f394e49b2345378eb".

      En su interior encontré una carpeta vacía llamada "miner" y unos 10 logs en los cuales se incluían (y en el del día actual se actualizaba al instante) prácticamente todo lo que hacía en el PC, incluyendo alguna que otra pass (que obviamente he cambiado desde otro dispositivo) y algunos chats de whatsapp web o telegram.

      Añado ejemplo real:
      ----------------
      :: Google - Google Chrome [10:46:17]

      :: MARCA - Diario online líder en información deportiva - Google Chrome [10:46:23]

      :: Portada de Marca del día 04/03/2018 - Google Chrome [10:46:44]

      :: MARCA - Diario online líder en información deportiva - Google Chrome [10:46:49]

      :: Champions League: El PSG insiste: "Queremos un arbitraje excepcional" | Marca.com - Google Chrome [10:47:04]

      :: NBA: Los Oscars 2018 preparan la alfombra roja para Kobe Bryant | Marca.com - Google Chrome [10:47:26]

      :: MARCA - Diario online líder en información deportiva - Google Chrome [10:47:53]

      :: Twitter. Es lo que está pasando. - Google Chrome [10:47:54]

      :: YouTube - Google Chrome [10:47:54]

      :: (1) YouTube - Google Chrome [10:47:55]
      ----------------

      Indagando por mi cuenta encontré ciertas cosas:
      -Cuando intentaba eliminar el log de hoy, me aparecía tal mensaje:

      -El proceso es vbc.exe, aparece tanto en pestaña "Procesos" como en "detalles".


      Sobre actividad por mi propia cuenta, realicé lo siguiente:
      -Pasar Windows Defender completo, sin problemas. (+ ccleaner)
      -Pasar AntiMalwareBytes (+ ccleaner)
      -Reiniciar
      -Ejecutar "rkill" tal y como indicáis en las guías. Me apareció el siguiente log:
      Rkill 2.9.1 by Lawrence Abrams (Grinler)
      http://www.bleepingcomputer.com/
      Copyright 2008-2018 BleepingComputer.com
      More Information about Rkill can be found at this link:
      http://www.bleepingcomputer.com/forums/topic308364.html

      Program started at: 03/04/2018 05:46:38 PM in x64 mode.
      Windows Version: Windows 10 Pro

      Checking for Windows services to stop:

      * No malware services found to stop.

      Checking for processes to terminate:

      * No malware processes found to kill.

      Checking Registry for malware related settings:

      * No issues found in the Registry.

      Resetting .EXE, .COM, & .BAT associations in the Windows Registry.

      Performing miscellaneous checks:

      * No issues found.

      Searching for Missing Digital Signatures:

      * No issues found.

      Checking HOSTS File:

      * No issues found.

      Program finished at: 03/04/2018 05:46:48 PM
      Execution time: 0 hours(s), 0 minute(s), and 10 seconds(s)
      -Ejecutar AntiMalwareBytes de nuevo, todo limpio (+ ccleaner).
      -Ejecutar ESET Online Scanner. Me dio 10 resultados de los cuales 7 eran falsos positivos y los restantes estaban en C:\FG-PC, pertenecientes a AutoIt3 y Dell. Nada determinante al parecer.

      No he notado especial carga en mi pc (estar al 100%) salvo quizá ayer que sin hacer nada estaba a 40º, lo cual me extrañó bastante, pero la carga no superaba el 20% (tengo un i7 6700k, 16gb ram, rx 580 8gb, ...)

      A ver si podéis aportarme algo de luz al asunto, me preocupa bastante lo del log por mi trabajo y, obviamente tema personal. Gracias.

      Pd.: (voy a proceder a reiniciar en modo seguro y pasar rkill y escaner de nuevo)

    2. #2
      Warrior Avatar de @Miguelgrado
      Registrado
      dic 2005
      Ubicación
      Asturias-España
      Mensajes
      19.401

      Re: Posible Keylogger/miner/... oculto

      Pega los logs de las herramientas que usaste, para revisarlos



      ESET Online Scanner almacena un archivo de registro de luego de ser ejecutado, el cual puede ser examinado o enviado a ESET para ser analizado. Para ver tal archivo será necesario que la opción Ver archivos y carpetas ocultos se encuentre habilitada. Nuevos registros son agregados a los existentes cuando se ejecutan múltiples exploraciones.

      La ruta del archivo de registro es: C:\users\ TU NOMBRE DE USUARIO\appdata\local\temp\log.txt


      Malwarebytes >>[*]Para acceder posteriormente al informe del análisis y pegarlo en el foro:
      - Informes-Informes de análisis –Exportar –Copiar al portapeles
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de inware
      Registrado
      mar 2017
      Ubicación
      España
      Mensajes
      17

      Re: Posible Keylogger/miner/... oculto

      17:48:32 # product=EOS
      # version=8
      # flags=0
      # ESETOnlineScanner_ESL.exe=2.0.19.0
      # EOSSerial=
      # end=init
      # utc_time=2018-03-04 16:48:32
      # local_time=2018-03-04 17:48:32 (+0100, Hora estándar romance)
      # country="Spain"
      # osver=10.0.16299 NT
      17:48:35 # product=EOS
      # version=8
      # flags=0
      # ESETOnlineScanner_ESL.exe=2.0.19.0
      # EOSSerial=bde2088b42d94a489a05d561da6b76b6
      # end=init
      # utc_time=2018-03-04 16:48:34
      # local_time=2018-03-04 17:48:34 (+0100, Hora estándar romance)
      # country="Spain"
      # osver=10.0.16299 NT
      17:48:51 Updating
      17:48:51 Update Init
      17:48:52 Update Download
      17:49:52 esets_scanner_reload returned 0
      17:49:52 g_uiModuleBuild: 36598
      17:49:52 Update Finalize
      17:49:52 Call m_esets_charon_send
      17:49:52 Call m_esets_charon_destroy
      17:49:52 Updated modules version: 36598
      17:50:01 Call m_esets_charon_setup_create
      17:50:01 Call m_esets_charon_create
      17:50:01 m_esets_charon_create OK
      17:50:01 Call m_esets_charon_start_send_thread
      17:50:01 Call m_esets_charon_setup_set
      17:50:01 m_esets_charon_setup_set OK
      17:50:01 Scanner engine: 36598
      18:34:39 # product=EOS
      # version=8
      # flags=0
      # ESETOnlineScanner_ESL.exe=2.0.19.0
      # EOSSerial=bde2088b42d94a489a05d561da6b76b6
      # engine=36598
      # end=finished
      # remove_checked=false
      # archives_checked=true
      # unwanted_checked=true
      # unsafe_checked=true
      # antistealth_checked=true
      # sfx_checked=true
      # utc_time=2018-03-04 17:34:39
      # local_time=2018-03-04 18:34:39 (+0100, Hora estándar romance)
      # country="Spain"
      # lang=13322
      # osver=10.0.16299 NT
      # compatibility_mode_1=''
      # compatibility_mode=5893 16776573 100 94 68351 13492400 0 0
      # scanned=2
      # found=7
      # cleaned=0
      # scan_time=2685

      sh=2A1F15990997DA19AA5F444E71DE0943E7C930FA ft=0 fh=0000000000000000 vn="Win32/Delf.BDV troyano" ac=I fn="C:\FG-PC\pe.bin"

      sh=C1486C53C585847FFCE2F1AB779A74132006A310 ft=0 fh=0000000000000000 vn="probablemente una variante de Win32/Injector.DWEZ troyano" ac=I fn="C:\FG-PC\shell.txt"
      sh=7EF97BB074387A9432A3FC9399761D52DD0400E5 ft=0 fh=0000000000000000 vn="Win32/Autoit.ODU troyano" ac=I fn="C:\FG-PC\test.au3"

      sh=8BD073D6AB9E8CC1C973647C769D1597AE3A037B ft=1 fh=0000000000000000 vn="Win32/HackTool.Crack.FE aplicación potencialmente no segura" ac=I fn="C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\amtlib.dll"

      sh=23C4B48AA3045F916366CEA0404DB83D4B9ED687 ft=0 fh=0000000000000000 vn="Win32/HackTool.Crack.EM aplicación potencialmente no segura" ac=I fn="C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\painter.ini"

      sh=399DC3ACCF3F1102077BD7EE40A68773C22F1301 ft=0 fh=0000000000000000 vn="una variante de Win32/HackTool.Crack.EA aplicación potencialmente no segura" ac=I fn="G:\Otros\Juegos\POR PROBAR\Chariot Royal Edition\Chariot Royal Edition.iso"

      sh=2BEDC841041E9EC3B57769881B5D457092139938 ft=1 fh=0000000000000000 vn="una variante de Win32/HackTool.Crack.ES aplicación potencialmente no segura" ac=I fn="G:\Otros\Juegos\POR PROBAR\Kingdom Come Deliverance\ELAMIGOS\Kingdom.Come.Deliverance.Update.v1.2.5.Hotfix\Update\Setup.exe"

      sh=1ED34BF24F10C413CD45F944CBB2C493A0F7E04B ft=0 fh=0000000000000000 vn="una variante de Win32/HackTool.Crack.ES aplicación potencialmente no segura" ac=I fn="G:\Otros\Juegos\POR PROBAR\The Escapists 2\The Escapists 2.iso"

      18:37:07 Call m_esets_charon_send
      18:37:07 Call m_esets_charon_destroy
      18:37:08 RecursiveRemoveDirectoryAndAllFiles: C:\Users\frang\AppData\Local\ESET\ESETOnlineScanner\Quarantine\
      18:37:08 Cleaning up
      18:37:08 RecursiveRemoveDirectoryAndAllFiles: C:\Users\frang\AppData\Local\ESET\ESETOnlineScanner\Modules\
      18:37:08 RecursiveRemoveDirectoryAndAllFiles: C:\Users\frang\AppData\Local\ESET\ESETOnlineScanner\OldModules\
      18:37:08 DeleteEstsApi: C:\Users\frang\AppData\Local\ESET\ESETOnlineScanner
      18:37:08 DeleteApiStgFile: C:\Users\frang\AppData\Local\ESET\ESETOnlineScanner
      18:37:08 RecursiveRemoveDirectoryAndAllFiles: C:\Users\frang\AppData\Local\ESET\ESETOnlineScanner\Char_Cache\
      Malwarebytes
      www.malwarebytes.com

      -Detalles del registro-
      Fecha del análisis: 4/3/18
      Hora del análisis: 17:47
      Archivo de registro: b25bcbd9-1fcb-11e8-af7b-1c1b0d95aacb.json
      Administrador: Sí

      -Información del software-
      Versión: 3.3.1.2183
      Versión de los componentes: 1.0.262
      Versión del paquete de actualización: 1.0.4206
      Licencia: Gratis

      -Información del sistema-
      SO: Windows 10 (Build 16299.248)
      CPU: x64
      Sistema de archivos: NTFS
      Usuario: FG-PC\frang

      -Resumen del análisis-
      Tipo de análisis: Análisis de amenazas
      Resultado: Cancelado
      Objetos analizados: 132678
      Amenazas detectadas: 0
      (No hay elementos maliciosos detectados)
      Amenazas en cuarentena: 0
      (No hay elementos maliciosos detectados)
      Tiempo transcurrido: 0 min, 23 seg

      -Opciones de análisis-
      Memoria: Activado
      Inicio: Activado
      Sistema de archivos: Activado
      Archivo: Activado
      Rootkits: Desactivado
      Heurística: Activado
      PUP: Detectar
      PUM: Detectar

      -Detalles del análisis-
      Proceso: 0
      (No hay elementos maliciosos detectados)

      Módulo: 0
      (No hay elementos maliciosos detectados)

      Clave del registro: 0
      (No hay elementos maliciosos detectados)

      Valor del registro: 0
      (No hay elementos maliciosos detectados)

      Datos del registro: 0
      (No hay elementos maliciosos detectados)

      Secuencia de datos: 0
      (No hay elementos maliciosos detectados)

      Carpeta: 0
      (No hay elementos maliciosos detectados)

      Archivo: 0
      (No hay elementos maliciosos detectados)

      Sector físico: 0
      (No hay elementos maliciosos detectados)


      (end)
      Ahí está todo, gracias!.

    4. #4
      Warrior Avatar de @Miguelgrado
      Registrado
      dic 2005
      Ubicación
      Asturias-España
      Mensajes
      19.401

      Re: Posible Keylogger/miner/... oculto

      Realizas en orden



      Paso 1.-: Descarga Malwarebytes Anti-Rootkit Beta >>Malwarebytes Anti-Rootkit | InfoSpyware y descomprima el contenido en su escritorio
      Paso 2.- : Desactiva tu antivirus >> Cómo deshabilitar temporalmente su Antivirus

      Abra la carpeta Mbar. Doble clic en el archivo Mbar.exe
      • En la interfaz del programa haga clic en Next.
      • Haga clic en el botón Update. Terminando clic en Next
      • Para iniciar el análisis clic en el botón Scan
      • Terminando, si hay infección clic en CleanUp, si no hay, clic en Exit.


      Al finalizar abra la carpeta Mbar, los archivos mbar-log.txt , copie y pegue todo su contenido en la siguiente respuesta y comentando los resultados.


      1-Descarga Farbar Recovery Scan Tool By Farbar (Descarga el archivo dependiendo de la arquitectura de tu sistema).>> Como saber si mi sistema es de 32 o de 64 Bits

      • La guardas en el escritorio >> Esto es muy importante..
      • Con todos los programas /ventanas cerrados, doble clic para ejecutar Frst.exe.
      • En la ventana del Disclaimer, presiona Yes.
      • En la nueva ventana que se abre, presiona el botón Scan y espera paciente a que concluya el análisis.

      • Se abrirán dos (2) archivos (Logs), Frst.txt y Addition.txt, estos estarán grabados en tu escritorio.

      • Para terminar abres los archivos Frst.txt y Addition.Txt copia y pega todo su contenido en tu próxima respuesta. Utiliza dos mensajes si te dice que es muy largo.
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Usuario Avatar de inware
      Registrado
      mar 2017
      Ubicación
      España
      Mensajes
      17

      Re: Posible Keylogger/miner/... oculto

      Vale, son 200k de líneas y no hay manera de cuadrarlos bien porque el límite son 55k.

      Lo he puesto todo en el siguiente pastebin: PASTEBIN

      Espero que no cause problemas.

      Lamento la demora, muchas gracias.

    6. #6
      Warrior Avatar de @Miguelgrado
      Registrado
      dic 2005
      Ubicación
      Asturias-España
      Mensajes
      19.401

      Re: Posible Keylogger/miner/... oculto

      No pasa nada, para eso se pone que se usen las respuestas necesarias


      Pegalos usando mas de una respuesta,,,creo que con dos para cada log te serviran
      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.