Mensajes

[dimitrix]

Buenas dimitrix,

La verdad es que desconocía lo que comentas y no va mal saberlo.

Cierto que en los equipos propios el peligro es mínimo. Es decir, si sólo lo usas "tú"; lo expuesto no conlleva ningún problema. Ahora bien, en equipos compartidos, es un dato a tener en cuenta. El destinatario o el asunto de un simple mail, puede contener mucha información.

Gracias por compartirlo.

Saludos!

[netstat -nab]

Buenas!

Cuando paso este comandoo tengo varios resultados, pero uno me llama la atencion

netstat -an

netstat -b

Pues a mí me gusta usar la unión de vuestras dos propuestas: netstat -nab. Pero todo depende de lo que queramos observar. Otra opción, quizá más gráfica sería TcpView.

Por otro lado, no soy ni mucho menos un experto en "comunicaciones", pero investigando un poco...

En cuanto a la IP que mencionas (146.82.192.16), realizando un Whois, entre otras cosas, indica:

gblx.net

Global Crossing

Mmmm... ¿Te dice algo esa compañía?.

En lo referente a los puertos "1501-1505", según una web -que me marca como "spam" y no puedo copiar...  

El 1503 se utiliza, por ejemplo, para Cu SeeMe

¿Te suena esa aplicación o similares -de vídeo conferencia?.



Hasta aquí mis pesquisas. Puede que sean totalmente erróneas, pero al menos ya tienes para indagar por tu cuenta  

Quizá no iría mal que realizaras un escaneo de puertos. Simplemente, para revisar tu seguridad. Por si tienes alguno abierto que no debería.

Saludos!

PD: Mediante TcpView podrás ver los dominios a los que intentas conectarte. De ese modo, te será más fácil buscar información al respecto.

[WaAYa HaCK]

Buenas WaAYa HaCK

En modo a prueba de fallos, aparecía una clave en el Registro...

Pues porque "el amigo" tendría funciones de rootkit

Si después de la eliminación notas alguna anomalía en el ordenador (lentitud, cuelgues); no iría mal que ejecutarás (sin escanear) GMER.

Si al ejecutarlo se pinta "algo" de rojo. Sigue habiendo restos del Malware.

Saludos!

[Novlucker]

Buenas,

Cuales de estos antivirus me recomendais?
Avg, Avira o Windows Essentials?

Entre los que mencionas, después de haber probado -en su momento- los tres, me quedaría con Avira.

A parte de estos, si considerais otros antivirus gratuitos, podeis decirlo

Coincido a medias con Novlucker: Comodo (Sólo Firewall + Defense) y PandaCloud.

Y algún antispyware?

Para escaneos muy esporádicos: Versión Free de MalwareBytes.

Saludos!

[grester43hck]

Buenas grester43hck,

...pero estan vacios en su ubicacion, su carpeta no contiene nada

Bueno, vacío no indica inexistencia. Quizá sea que está como propiedad "de oculto" y no lo ves.

Por qué no pruebas a iniciar en modo seguro -mediante F8-, a ver si arranca el sistema. Una vez iniciado, ejecutas Hijackthis -no es necesaria instalación- y nos cuelgas el log.

• Ejecutar / Main Menu / Do a system scan and save a logfile

Así podremos echar un vistazo y comprobar si hay "algo" correteando por los rincones de Windows.

Ya nos contarás.

Saludos.

[(1)]

Buenas,

Pues la verdad es que nunca me lo había planteado. Más que nada porque suelo utilizarlos.

Yo no los eliminaría. Como mucho, cambiarlos de ubicación o restringirles los permisos sólo para "mi usuario".

Si quieres quitarlos por si alguien accede a tu ordenador y pretende "dañarlo":

(1) Si accede al PC físicamente, podrá hacer lo que quiera aunque no tenga el CMD o el command.com

(2) Si acceden desde fuera, no los necesita, necesariamente, para "fastidiarte".

No le veo utilidad el hecho de borrarlos. A no ser que estés en una red con varios ordenadores y pretendas evitar la ejecución por parte del personal. No obstante, tanto un archivo como el otro, tienen permisos restringidos para "usuarios no administradores".

Puede que me equivoque, pero el hecho de borrarlos, no hace tu ordenador "más seguro". A ver si algún otro forero opina algo más y "nos ilumina.

Saludos.

PD: ¿Para conseguir una shell remota necesitamos de estos archivos? Entiendo que si conseguimos acceso, podemos subirlos y, posteriormente, utilizarlos...

[lord-xavi]

lord-xavi,

Haz una prueba. Consigue un disco de Windows XP. Ponlo y arranca desde él -si no sabes cómo, coméntamelo y te indico-.

Una vez haya cargado los drivers y demás -ojito con no darle a formatear-, picas la tecla "R"---> "Para recuperar una instalación de Windows XP usando la consola de recuperación, presiona la tecla R"

En la pantalla negra que te saldrá, escribe: CHKDSK /R.

Cuando haya acabado el escaneo, fíajte qué indica sobre los sectores del disco. A ver si pone "algunos sectores defectuosos y reparados".

Aquí está explicado algo más detallado: "INICIO DE LA CONSOLA DESDE EL CD DE WINDOWS XP"

Saludos.

[daniel666999]

Buenas daniel666999,

Realizando una búsqueda rápida por San Google, he encontrado esto.

Instalar:

• Net Framework 4.0
• Microsoft Visual C++ 2010

A ver si te sirve.

Saludos.

[chavier3437]

Buenas chavier3437,

....al ponerlo como exclavo tampoco me deja entrar en el registro...

No puede ser. Si colocas el disco como esclavo en otro PC, se debe ver con sus correspondientes carpetas. Aunque MalwareDoctor le haya otorgado permisos de oculto. Como secundario debería verse lo que contiene... Mmmm... O no...  O sí...

Con el disco como esclavo, mira si desde el Administrador de discos (Inicio / ejecutar / diskmgmt.msc) ves el HD "infectado". Comprueba que tenga una unidad (letra) asignada.

Si tiene letra asignada, pero no consigues ver el interior mediante Windows, inténtalo mediante CMD.

Como esclavo, ya sea en Ubuntu o en otro Windows, debes poder ver sí o sí -a menos que esté roto-, el contenido del disco duro. Si ves el contenido, debes poder copiar los archivos del registro (UnidadDiscoInfectado:\windows\system32\config). Y si ves los archivos del registro, luego debes poder exportarlo en el "regedit" del Windows primario que sí te está funcionando.

Ya nos contarás.

Saludos!

[lord-xavi]

Buenas lord-xavi,

Con lo de "Quedar bloqueado" me refiero a que no me permite hacer nada...

¿Se queda Windows colgado o congelado? A ver si consigo explicarme. Cuando dices que no puedes hacer nada, ¿tampoco responde a CTRL+SHIFT+ESC? -Administrador de Tareas-.

Prueba a iniciar. Lanzar el administrador de tareas y matar tú mismo, antes de que se cuelgue, el proceso "explorer.exe". Después, mediante Pestaña Aplicaciones, "Tarea nueva", ejecuta CMD y lista los procesos medianta "tasklist". Echa un vistazo, por si ves alguno raro. Si los procesos que ves te suenan a chino, puedes escribir en CMD---> tasklist > c:\procesos.txt

Eso te creará una txt con nombre procesos. Péganoslo, a ver qué tienes correteando al iniciar el sistema.

La otra opción: "Congelado". Me refiero a si, al menos, responde al teclado. ¿Si pulsas las teclas "bloq mayús" o "bloq num", ¿se encienden los leds?. ¿El reloj de Windows sigue avanzando?.

En los logs que muestras, se ven los procesos. Efectivamente. Pero mediante tasklist -con el proceso explorer inactivo-, es... más fiable. O no... Pero es para entretenerte haciendo pruebas... 

Ya nos contarás.

Saludos.

PD: Puede ser que, sencillamente, tú disco se esté despidiendo de ti sútilmente....