Un trainer es un Troyano?¿?¿?¿

SuperDraco · 28 Julio 2011, 19:22 PM

mierd@, yo tenia el devil may cry 4 con el trainer (Y de los buenos) limpio y ahora me doy cuenta que he borrado el juego xD, te lo iba a pasar,pero bueno...

Si me pasas el trainer te lo monitorizo yo en 1 minuto.

PD: De los trainers de "Cheathappens" te puedes fiar lo detecten o no el av.

saludos

Luna71c0 · 28 Julio 2011, 19:24 PM

Cita de: pitoloko en 28 Julio 2011, 19:17 PM
@LunaHack

Te llevarías una gran sorpresa si monitorizas lo que hay dentro de un par de trainers al azar sacados de "Gamecopyworld" por ejemplo.

saludos

mmmmm.... es verdad bueno creo que el usuario deberia aclarar de donde bajo el trainer para agregar otra pagina a la blacklist xD
y bueno corrijo... problema "casi" resuelto

beholdthe · 28 Julio 2011, 19:50 PM

pitoloko pues si me haes el favor, te lo paso y le echas un vistazo, de todas maneras COMO SE MIRA O SE MONITOREA ESO¿?¿?¿?¿? es que yo tb quiero aprender

beholdthe · 28 Julio 2011, 19:57 PM

bueno para los que tengan interes y sepan lo de monitorear o todo eso aki les dejo el enlace con el trainer en cuestion:

http://www.megaupload.com/?d=DYPID3EJ

aunque insisto q me encantaria saber hacer eso, y agradeceria una clase practica

ya me baje el programa Mo0o connection watcher pero no se muy bien...... que hacer
Este programa es seguro¿?¿

SuperDraco · 28 Julio 2011, 20:02 PM

Si es que ya te lo he dicho y repetido...

Con el programa que te he dicho, si hace alguna conexión (No debería hacer ninguna), saldría aqui.

Y uso el mo0o file monitor para monitorizar los archivos que crea un ejecutable:

Y el regshot para monitorizar si crea claves en el registro...

Aunque puedes hacerlo todo con "ProcessMonitor", pero no me gusta nada el aspecto del programa, además a veces solo necesito hacer una cosa, y no las 3 juntas.

Ahora me lo miro y contesto... saludos.

beholdthe · 28 Julio 2011, 20:03 PM

muchas gracias pitoloko, eres un puto crack

SuperDraco · 28 Julio 2011, 20:17 PM

de nada, pa colaborar estamos xD

El trainer está totalmente limpio.

Es un falso positivo. Nod32 no lo detecta, aunque si lo detectase me daría igual, ya he dicho, está limpio del todo.

saludosss

beholdthe · 28 Julio 2011, 21:54 PM

Cita de: pitoloko en 28 Julio 2011, 20:17 PM
de nada, pa colaborar estamos xD

El trainer está totalmente limpio.

Es un falso positivo. Nod32 no lo detecta, aunque si lo detectase me daría igual, ya he dicho, está limpio del todo.

saludosss

muchas gracias tio
es q lo que me extrañaba a mi es que antes el mismo antivirus no lo detectaba como tal, y de pronto empezo a hacerlo.
me quede con lo de conexion no-ip y demas... he probado el programa ese y me gustaria saber si tienes alguna captura de pantalla donde se vea primero las conexiones bien, y luego las conexiones con un troyano, para ver que tipo de conexiones hace o como diferenciarlas
P.D-- si no es mucho pedir claro esta

Luna71c0 · 28 Julio 2011, 21:57 PM

Cita de: beholdthe en 28 Julio 2011, 21:54 PM
muchas gracias tio
es q lo que me extrañaba a mi es que antes el mismo antivirus no lo detectaba como tal, y de pronto empezo a hacerlo.
me quede con lo de conexion no-ip y demas... he probado el programa ese y me gustaria saber si tienes alguna captura de pantalla donde se vea primero las conexiones bien, y luego las conexiones con un troyano, para ver que tipo de conexiones hace o como diferenciarlas
P.D-- si no es mucho pedir claro esta

tal vez una actualizacion del nod32 hizo que este lo dectectara como virus pero no pasa nada n.n

SuperDraco · 28 Julio 2011, 22:16 PM

No hay mucho que explicar... Las conexiones normales en mi pc son estas:

Aparte...

Esta imagen no es mia porque no voy a revelar mi no-ip XD, y no puedo usar ahora el virtualbox para autoinfectarme con algun troyano de otra persona.

Protocol: Puede ser tcp o udp

State: conexión establecida o no

Process name: el proceso que intenta hacer la conexión

local: el servidor loval (Tu pc)

Remote: el servidor remoto, puede ser una dirección ip, una ftp como en la imagen, una no-ip, una www... ahí saldría la no-ip, en letras, y en process name el nombre del archivo infectado que hace la conexión.

es fácil, como ves, en la primera imagen no hay ninguna conexión remota, si de repente aparece una.. ya sabes quien ha sido.

Aunque claro, para hacerlo bien y que no molesten las demás conexiones, tienes que cerrar el firefox, jdownloader, MSN, cualquier cosa de estas que haga conexiones.

saludos