Hay manera de encontrar el programa espía en mi pc?

Iniciado por Peryas, 1 Septiembre 2021, 09:17 AM

0 Miembros y 1 Visitante están viendo este tema.

Peryas

Hola.

Llevo meses sospechando que mi pc tiene algún programa espia o algo similar.

A su vez, he adquirido un pc nuevo, y en menos de un mes el antivirus lleva más de 1500 ataques detectados, de intentos de acceso remoto para instalar virus , puertos de acceso remotos  etc... y muchos vienen de la IP de mi wifi.

Existe manera de encontrarlo en el pc fácilmente? o me tengo que mirar bien mi wifi?

Gracias por su tiempo.

el-brujo

¿qué antivirus estás usando?

Los antivirus son un poco exagerados (normalmente los más comerciales) indicando falsos ataques e intentos de intrusión falsos.

¿1.500 ataques desde hace cuánto tiempo?

Entiendo que estás usando Windows 10 pero sería importante la suite de seguridad (antivirus) que estás utilizando. Realmente con el antivirus que viene con Windows, el Windows Defender tienes de sobras. Aunque en tu caso si no entiendes mucho de ordenadores, mejor utilizar una solución de pago.

Si no tienes ningún "puerto abierto" a través de router los intentos serán siempre fallidos

¿Tienes acceso RPD (Escritorio remoto habilitado?  Sería buena idea deshabilitarlo.

¿Qué quieres decir con la IP de mi Wifi? ¿Con qué rango empieza la IP? ¿IP pública o ip interna (privada)?

Peryas

Mil gracias por la respuesta.
El antivirus es de pago, el Mcafee.

Tengo esos ataques desde hace menos de 1 mes. (En el nuevo PC)

En el antiguo pc he tenido problemas , del estilo conexión de la web cam, sin estar utilizando el pc en ese momento, programas nuevos como conexiones remotas etc...
a parte que el windows defender me salta mensajes como su ip esta comprometida etc.. 

Al ver que persistía el problema aún tapando cámaras y eso, decidí cambiar de pc y me veo con tantos ataques de intento de conexiones remotas, (un ataque fue hacia el puerto 53001 - REMOTE WINDOWS SHUTDOWN TROJAN) - otro de Netbios - que ya no se si pensar si están intentando acceder al nuevo y creo que me puede venir por el wifi.

La IP de entrada que yo sepa es privada. (La de mi casa)

No veo la manera de subir las capturas de pantalla del visor de evento del nuevo pc, pero me encuentro eventos como: IN ONSESSIONCHANQE : REASON : REMOTEDISCONNECT. o servicios de escritorio remoto no acepta solicitud porque el programa de ejecución se esta instalando etc....

Y remotamente nunca he solicitado nada.

Y ya no se si sospechar que el nuevo PC que tengo de hace menos de 1 mes este comprometido.

Peryas

MÁS EN VISOR DE EVENTOS: (ALGUNO SALES COMO ADVERTENCIAS)

Servicios de sesión remoto: cierre de sesión correcto:
Usuarios....  /administración.
Id de sesión: 1

Servicios de sesión remoto: notificación de inicio de Shell recibida:
Usuario sale mi carpeta
Id de sesión : 5

Servicios de escritorio remoto: sesión desconectada : Sesión desconectada
USUARIO/defaultuser0

Se proceso un cambio en la sesión de terminal services
Motivo: se desconecto una sesión de la terminal remota.

Se han marcado uno o varios recursos compartidos o canalizaciones con nombre para el acceso de usuarios anónimos, esto aumenta el riesgo de seguridad del equipo al permitir que usuarios no autenticados se conecten a este servidor
Claves de registro (HKLM/diferentes carpetas de mi pc)
valores de registro: Null session Pipes / NULLSESSIONSHARES

Y del antivirus que venia con el Pc me salto:
Se bloqueo un intento de intrusión de : newrrb.bid (Con un nº que parece una IP)
Equipo atacante: NEWRRB.BID (Y un numero que parece una IP, Igual que la que marca en paréntesis arriba. )
*Este fue 2 días más tarde de tener el nuevo PC.


Es para asustarse después de tener un ataque en el pc antiguo?

el-brujo

¿Qué versión exacta de McAffe está usando? McAffe ofrece muchos soluciones con distintos nombres y precios.

¿Qué versión exacta de Windows 10 estás utilizando? ¿Es un Windows 10 original comprado o bajado de internet? ¿Quién instalo Windows 10?

¿está tu ordenador directamente conectado a internet?

normalmente se accede a internet a través de un router y no hay puertos (servicios) abiertos y en el caso de tu ordenador parece que estás conectado a internet directamente con un módem exponiendo todos los servicios.

Intenta averiguar el modelo del router de tu operadora de internet (ISP) para comprobar la configuración por defecto sea correcta y ver que no tengas los puertos abiertos.


Peryas

El antivirus es de pago y me permitió bajar las versiones McAffe safe connect, McAfee Livesafe , no se si respondo con esto a tu primera pregunta.
Podríamos decir que el paquete que compre de Antivirus tenia la opción de proteger varias cosas.

La versión que tengo es la Windows 10 y es la que venia en el pc de serie.

Mi ordenador va conectado a través de wifi a internet, directamente al mismo modem que me instalo la compañía de teléfono.

Voy a ver si me puedo hacer con el modelo aunque son dos. (Uno vertical y el otro horizontal)
Pero de entrada tienen que estar configurados de fabrica, nunca he modificado nada de eso.

Una vez tenga la ISP , como puedo verificar que no se ha modificado , y la configuración por defecto sea la correcta?

Y con todos esos eventos que me han salido, ya han conseguido acceder al nuevo pc??

Mil gracias por tus respuesta y tiempo!!!

el-brujo

CitarPero de entrada tienen que estar configurados de fabrica, nunca he modificado nada de eso.

Ése es el problema. Espero que el ISP actualice el firmware del fabricante.

Y tú, deberías cambiar SSID, la contraseña por defecto del Wifi, etc.

Aunque por defecto no deberían estar los puertos abiertos, ninguno. Máximo usar UPNP cuando una app lo necesite.

¿Que opciones de puertos abiertos te indica el firewall de Windows 10?

Quizás tengas instalado un programa de control remoto que no hay que abrir puertos.

Intenta averiguar si tu ISP utiliza un módem o router. ¿Tienes fibra o ADSL?

Peryas

Ahora miraré de ir cambiando accesos.

Pero en el caso de tenerlo ya en el pc, existe la manera de verlo?
Sabéis si a través del CMD o archivos, puedo encontrar el programa remoto que puedan estar utilizando?

Gracias por vuestro tiempo!!!

Randomize

Veo que faltan datos para que se pueda hacer algo, se te dice "¿qué version de Windows 10?" y tú solo dices "Windows 10" y así no se va a ningún lado.

Descripción de las PCs, del aparato de conexión, el ISP... Todos los datos que puedas aportar.

Si no el koño de la Bernarda va a seguir tan abierto como está, si es que tapas la webcam por que sabes que acceden a ella...

Peryas

Creía que con lo de Windows 10, ya os podíais situar para saber si es posible detectar el programa que conecta la webcam o el programa remoto que estén utilizando. 

No sabia que existen diferentes versiones del windows 10... sorry!!!
Versión 20H2

Sabes que al lado de la webcam hay una luz?? es la que me indica que se están conectando a mi webcam....

Y en el caso del nuevo pc, reviso todos los eventos que me esta dando, los ataques que lleva detectados etc....

En el anterior pc, no solo se conectan desde mi wifi, ya que la cámara se me ha conectado estando fuera de casa...

Pero son temas un poco diferentes, la cuestión es saber si el acceso principal ahora lo tienen desde mi wifi, y entran a mi pc para quedarse hay instalados.... y tener la tranquilidad de que al nuevo no han llegado a entrar.  Tiene menos de 2 meses ....  Por eso la pregunta de si se puede detectar ese programa en caso de que esté instalado....

Si tienen ganas de entrar, una vez que vean los puertos cerrados, buscaran otras alternativas.... me hincharan a emails spam , como ya han hecho anteriormente. ( que era la idea principal de como podían haber entrado, hasta que con el nuevo me he encontrado con todo lo descrito en mensajes anteriores.

Por eso la necesidad de poder detectar dicho programa.

PD: Espero que el koño de la Bernarda se quede en casa.....