Ayuda con troyano


K

KibaTrue

Miembro activo
El otro día descargué basura de internet y me entró un troyano.

Quiero saber si alguien puede darme luz hasta que punto mis datos están comprometidos. Como habreis notado no sé mucho de informatica pero comento la secuencia:

1. Descargo basura y la ejecuto, windows defender manda alarma y pongo en cuarentena y borro los archivos
2. A la mañana siguiente veo que de madrugada se ha hecho una transaccion con mi cuenta de steam, me han robado 40 centimos que tenía
3. Descargo Malwarebytes y lo paso por le pc. Me da otro archivo maligno y le hace cuarentena y borrado
4. Aprox 5 días despues me despierto con que se ha detectado actividad sospechosa en los mails que estan logeados en el pc. Reviso la info y parece que se han conectado al gmail con la misma sesion de mi pc (cuando este estaba apaado) y en cada email me aparece un pais (korea, vietnam...). Además en algunos mails también hay otros dispositivos android añadidos que no reconozco.
5. Desde otro dispositivo limpio expulso a todos los dispositivos que no conozco y al infectado también. Cambio además las contraseñas por otras nuevas nunca usadas.

Ahora quiero saber como solucionar la liada. El ordenador se va a formatear esta tarde, pero he tenido que conectar un disco duro para sacar la informacion relevante (fotos y videos de trabajo sobre todo)

¿Hay riesgo de que se haya infectado el disco duro y vuelva a infectar el pc formateado? como lo puedo hacer
¿Si ya no tienen acceso al mail pueden seguir teniendo acceso a todas las contraseñas que hubiese guardadas en él? Obviamente voy a ir cambiando las contraseñas de los sitios que sean importantes

La parte buena es que realmente no tengo nada de donde pudan sacar, no tengo criptos, la cuenta bancaria no estaba logeada (aunque sí vinculada al mail) y la tarjeta la he cancelado.


¿Alguna ayuda o que me indiquen que tipo de troyano es y hasta donde siguen cosas comprometidas?

Un saludo,
 
S

swiftkey676

Miembro muy activo
Hola, Nunca es buena idea descargar contenido fraudulento o "cracked" en tu ordenador principal. Este tipo de actividades se deben hacer siempre en una VM (Maquina virtual). Es bastante probable que además de robarte las propias cuentas y realizar transacciones en ellas, tengan acceso mediante las cookies de las sesiones que estaban activas en tu PC: En otras palabras, aunque cambies la contraseña podrían seguir teniendo acceso. Por ello, en todas las cuentas que tengas en el ordenador con sesion activa y/o contraseñas de chrome o por el estilo guardadas debes cerrar sesion en ellas incluido los dispositivos que tu mismo reconozcas. Para las nuevas contraseñas usa servicios de generadores de contraseña (crea una contraseña para ese servicio que nunca hayas usado y no vayas a usar nunca en otro lado) que sera como tu llave maestra para acceder a todas las demás contraseñas que tengas guardadas. Referente a si el disco duro puede estar infectado, la respuesta es: SI. Para revisar tu disco duro usa algo como una LIVE CD de un antivirus como ofrece Kaspersky. Además , asegurarte que las fotos siempre tengan extensión .jpg o formato de fotos o videos y no .exe o .vbs .bat .cmd etc.
 
  • Like
Reacciones : socketpump
K

KibaTrue

Miembro activo
Gracias por los consejos, de momento en los emails, habiendo expulsado y cambiando las contraseñas desde dispositivos seguros parece que no estan dentro. Supongo que por cookies pueden seguir accediendo a todo lo que no cambie contraseña y tenia cookies

Ahora lo que me preocupa es el disco duro por no seguir extendiendo la pelota tras el formateo
 
S

swiftkey676

Miembro muy activo
KibaTrue dijo:
Gracias por los consejos, de momento en los emails, habiendo expulsado y cambiando las contraseñas desde dispositivos seguros parece que no estan dentro. Supongo que por cookies pueden seguir accediendo a todo lo que no cambie contraseña y tenia cookies

Ahora lo que me preocupa es el disco duro por no seguir extendiendo la pelota tras el formateo
Hacer clic para expandir...
no no, aunque cambies la contraseña hay servicios que no renuevan las cookies de la sesiones, por esa razón debes eliminar cualquier dispositivo, incluido los tuyos para que revoque esa cookie y genere una nueva que el atacante no tenga. Siempre activa la opcion de ver las extensiones de los archivos para hacer un reconocimiento
 
K

KibaTrue

Miembro activo
¿Quieres decir que pueden haber obtenido la cookie de otro dispositivo que no es el infectado?

Es decir, ¿pueden utilizar la cookie o logeo de ese gmail a traves otro dispositivo mio como puede ser mi movil para entrar aun cuando ese dispositivo no fue infectado? Perdon por las dudas

Entonces aun tendria que deslogear todo de todos los dispositivos, entrar desde un dispositivo seguro y volver a cambiar la contraseña?
 
ulikes

ulikes

Miembro muy activo
Noder
si te sirve de consuelo, a mi el verano pasado me ocurrió algo parecido. "Gilipollas de mi, lo reconozco" estaba a punto de salir de vacaciones y antes de irme quería dejar unos videos editados. tengo varios PCs en casa...Resumiendolo mucho, tengo una licencia adquirida del programa de edición de video, pero (aqui viene el asunto) ese programa estaba instalado en otro PC, no en el que estaba trabajando. y fui tan tonto (por querer ir rápido) de descargarme el "crack" para la versión de prueba con la que estaba trabajando, desactive el antivirus por 30m ¿suficiente para aplicar el crack, no?

¿Conclusión?, el crack no funcionó.... me tocó enviar el trabajo al otro PC y terminar el trabajo ahí, y apague mis equipos y me fuí de vacaciones como todo un jeque... en el viaje para más inri deje olvidado el móvil en el bolsillo del asiento del avión, me cague en todo, pero oye, eran mis merecidas vacaciones y si me tenian que llamar para algo urgente ya me llamarian al móvil de la parienta... 21 días después. Llego a casa y al encender el PC......

Avisos del Bitdefender (el pobre lo deshabilité 30 minutos antes de irme de vacaciones) Avisos en mis cuentas de email de que se habían conectado desde lugares remotos.. RUSIA, INDIA y ni recuerdo donde más... cada servicio online que tenía, había sido vulnerado o lo habían intentado (algunos tenían doble factor de seguridad)..Este mongo (con perdón de los ciudadanos de la heroica república de Mongolia) tenía una wallet con 350€ en BTC con solo la clave de acceso, sin doble factor de seguridad.... cuenta en 0. enviado a una wallet de Rusia (que evidentemente luego moverían a otro lado)....

Para no hacer la historia larga, aún hoy, un año después, sigo con algunos "avisos" de que están intentando entrar en determinados servicios online.

Lección aprendida (y eso que soy el típico que siempre va avisando a los demás de que hagan copias de seguridad, que no se instalen mierdas y cosas así, vamos DANDO CONSEJOS QUE PARA MÍ NO TENGO)

Si te puedo decir que si ya limpiaste tu equipo, con herramientas de desinfección, ya no debes tener peligro dentro, el peligro está en la información que los cabrones te robaron y me robaron.... esa ya está en manos de algún HDP que seguirá un tiempo probando tus contraseñas en varios servicios y demás hasta que no consiga nada, y entonces pasaran tus datos "viejos" a una base de datos que publicarán o venderán online.
 
Hay que estar conectado o registrado para responder aquí.
Arriba Pie