Hace aproximadamente un mes y medio me infecté con un virus llamado MSIL.Bladabindi. Noté el virus muy pronto porque Google me notificó que alguien de Turquía intentó acceder a mi cuenta (estoy en Italia).
Luego busqué el historial de acceso y descubrí que 67.221.255.65 (que creo que es un proxy, ¿quizás está relacionado con algunos de mis VPN?) intenté acceder a mi cuenta, pero había sido bloqueado porque no es uno de mis ubicación habitual Descubrí que algunos programas exportaban mis cookies de Chrome y quizás las enviaban a algún lugar. Estaba usando Kaspersky Internet Security, pero no noté nada cuando descargué e instalé el archivo infectado y quizás (estúpido) concedí el acceso a internet del virus a través del Firewall de KIS. Luego hice un escaneo con Malwarebytes y encontró el virus y lo eliminó. Posteriormente también utilicé Combofix, Microsoft Malware Remover, ADWCleaner, HouseCall, Clamwin y HiJackThis solo para estar seguro de que todo estaba bien. Más tarde volví al historial de acceso a Google y el registro de acceso sospechoso desapareció junto con la IP mencionada anteriormente, pero la guardé (en enlace no muestra ningún registro de acceso antes del 26 de mayo, pero tal vez se borren después de un tiempo. El acceso sospechoso se realizó el 29 de abril. Dice" Eventos de inicio de sesión no disponibles antes de esta fecha. Otra actividad a continuación. "(Como cambio de contraseña ...)).
El virus creó una clave de registro que se lanzó al inicio y se ocultó en appdata; después del análisis de Malwarebytes, tanto la clave de registro como los archivos en appdata desaparecieron. Pero ahora a veces recibo una notificación en Chrome que me pregunta si quiero usar google.tr en lugar de google.it (no recuerdo si esto también sucedió antes de infectarme); es raro porque la ubicación del atacante era Turquía (.tr es el dominio turco).
Hoy me preguntaron si quería usar google.pk. Algunas veces uso un proxy (extensión de Chrome) llamado Zenmate, pero no usa IP turcos o pakistan. No noté ninguna actividad sospechosa en mi PC ni en mis cuentas (en realidad, cuando descargo cosas y miro el monitor de red, aumenta el contador de velocidad de descarga, pero también aumenta el contador de carga; creo que es normal, porque uso NetSpeedMonitor para monitorear la actividad de la red y muestra una alta velocidad de carga, pero cuando uso el Monitor de recursos de Windows, no veo una velocidad de carga tan alta en la pestaña Red).
Por último, hoy intenté salir de mi cuenta de Google y recibí un mensaje extraño que decía algo como: "Lo sentimos. Ya que estaba conectado a diferentes servicios de Google, no pudimos desconectarlo por completo. aún conectado a los servicios en los siguientes dominios. Si desea que sigamos intentando desconectarlo de estos dominios, haga clic en el botón "intentar de nuevo". Así que hice clic en ese botón pero recibí un mensaje de error (este servicio no está disponible en este momento ...).
Entonces, creo que alguien robó mis cookies y está usando mi cuenta, aunque cambié mi contraseña después de eliminar el virus, pero tal vez las cookies aún no estén anuladas. ¿Cómo puedo anularlos? ¿Por qué dice google que no tengo accesos contemporáneos en mi cuenta, pero cuando intento desconectarme dice que estoy conectado a diferentes servicios?
¿Todavía estoy infectado? ¿Alguien está usando mi cuenta? ¿Que puedo hacer? ¿Qué significa el mensaje de cierre de sesión?
Espero que entiendas mi inglés retorcido y tengas paciencia para leer mi largo post. Estoy en Windows 7, Chrome 35, KIS 2014.
Gracias de antemano.