#!drvy totalmente deacuerdo.
Un saludo.
Un saludo.
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#1772
Software / kernel detective:cannot load the kernel driver; tuluca: se ha bloqueado driver
21 Octubre 2015, 18:30 PM
Estoy intentando instalar kernel detective en varios sistemas operativos,al igual que tuluca, cambiando la compatibilidad del programa puedo iniciarlo, pero me dice tanto en windows 8.1 como con linux y wine:
cannot load the kernel driver
Con el programa tuluka me dice se ha bloqueado la descarga de este controlador.
Necesitaria poder instalar correctamente estos dos programas para seguir un procedimiento sacado de aqui:
http://resources.infosecinstitute.com/zeroaccess-malware-part-2-the-kernel-mode-device-driver-stealth-rootkit/
He buscado y buscado pero no se que hacer para poder instalarlos.
Por contra, he instado una máquina virtual con windows vista, y aqui si que me funcionan los dos programas, lo que me da a pensar que hay algo que impide instalar estos programas en la computadora con windows 8.1 sin máquinas virtuales.
Muchas gracias a quien pueda ayudarme, saludos.
He pasado el programa avenger y el log me dice esto:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Platform: Windows NT 6.0 (build 6000)
Thu Oct 22 11:17:20 2015
11:17:01: Warning: Trying to solve a NULL hostname: giving up
11:17:02: Error: Could not open input stream to URL:
http:// (error 6: controlador no válido.)
//////////////////////////////////////////
Pues hay algo que bloquea los programas, no se si puede hacerse algo.
Un saludo.
Bueno, he conseguido iniciar el programa tuluka, con un live de hirens boot, con mini windows 7.
Pero el problema principal continua.
Es por culpa de un rootkit
Al correr combofix, me dice the following files were trying to attach combofix.They shall be disabled.
X:Windows \system 32\ SPEHook.dll
Y se cierra solo.
El programa gmer , me ha detectado rookit.
Tuluka detecta kernel modificaciones, hookeos, el archivo ntkrnlpa.exe
He encontrado muchas cosas probando muchos programas en windows.
Entonces supongo que el error que da de cannot load the kerner driver, es por culpa del rootkit, debe ser su protección digo yo.... no deja iniciar los programas que podrían hacer algo, pero muchos otros programas si que consigo iniciarlos, me detectan cosas, pero o bien, no deja eliminar nada, o bien, algunos programas me deja eliminar cosas, pero al reiniciar , vuelve todo, y eso que estoy haciendo las pruebas con un live hirens, sin discos duros.
Bueno, en principio, por lo menos he podido iniciar el tuluka sin maquinas virtuales, el kernel detective no es posible.
¿hay alguna forma de anular las protecciones del rootkit para que pueda correr los programas de seguridad con normalidad, o es tarea imposible desde el pc infectado?
Bueno, no está solucionado, pero un poco más se ahora.
Un saludo.
Me estoy respondiendo yo mismo.
Bueno, a día de hoy, ya he conseguido iniciar los dos programas.
El kernel detective, lo he conseguido utilizando un sistema operativo windows vista, con el cual, el pc portatil, no cargaba todos los controladores, tal vez tenga algo que ver.
He podido iniciarlos y ver lo que queria ver.
Aunque, no puedo iniciarlos normalmente en los otros sistemas operativos, pero ya haciendolo de está forma comentada anteriormente, puedo ver la existencia del rootkit, ver los hookeos, y más cosas..... pero no limpiarlo.
Un saludo, muchas gracias.
[MOD] 4 post seguidos, esto no está permitido. Para añadir comentarios usar el botón "modificar".
Perdón,tienes toda la razón, lo siento, intentaré que no suceda más.
En principio, ya he visto todo el percal gracias a estos programas, tengo el rootkit en todos los sistemas infórmaticos, en la placa, por que las pruebas las hago sin disco duro, y el único sitio que no se detectarlo es en los teléfonos androit...
Abriria otro tema para postear en seguridad, todo lo nuevo que he detectado, pero ya me da miedo que me lincheis.
Si me dejais hacer un nuevo post sobre el famoso tema, con las nuevas detecciones que tengo, y profundizar más, lo posteo, si no me contestais, pues ya no pongo nada más, al fin y al cabo, por fin lo he detectado todo, pero claro, no puedo limpiarlo.
Pues pido me deis permiso para postear en seguridad sobre mi tema nuevamente por favor, el día que sea.
Perdón por las molestias, un saludo a todo el foro.
Un saludo y gracias.
cannot load the kernel driver
Con el programa tuluka me dice se ha bloqueado la descarga de este controlador.
Necesitaria poder instalar correctamente estos dos programas para seguir un procedimiento sacado de aqui:
http://resources.infosecinstitute.com/zeroaccess-malware-part-2-the-kernel-mode-device-driver-stealth-rootkit/
He buscado y buscado pero no se que hacer para poder instalarlos.
Por contra, he instado una máquina virtual con windows vista, y aqui si que me funcionan los dos programas, lo que me da a pensar que hay algo que impide instalar estos programas en la computadora con windows 8.1 sin máquinas virtuales.
Muchas gracias a quien pueda ayudarme, saludos.
He pasado el programa avenger y el log me dice esto:
//////////////////////////////////////////
Avenger Pre-Processor log
//////////////////////////////////////////
Platform: Windows NT 6.0 (build 6000)
Thu Oct 22 11:17:20 2015
11:17:01: Warning: Trying to solve a NULL hostname: giving up
11:17:02: Error: Could not open input stream to URL:
http:// (error 6: controlador no válido.)
//////////////////////////////////////////
Pues hay algo que bloquea los programas, no se si puede hacerse algo.
Un saludo.
Bueno, he conseguido iniciar el programa tuluka, con un live de hirens boot, con mini windows 7.
Pero el problema principal continua.
Es por culpa de un rootkit
Al correr combofix, me dice the following files were trying to attach combofix.They shall be disabled.
X:Windows \system 32\ SPEHook.dll
Y se cierra solo.
El programa gmer , me ha detectado rookit.
Tuluka detecta kernel modificaciones, hookeos, el archivo ntkrnlpa.exe
He encontrado muchas cosas probando muchos programas en windows.
Entonces supongo que el error que da de cannot load the kerner driver, es por culpa del rootkit, debe ser su protección digo yo.... no deja iniciar los programas que podrían hacer algo, pero muchos otros programas si que consigo iniciarlos, me detectan cosas, pero o bien, no deja eliminar nada, o bien, algunos programas me deja eliminar cosas, pero al reiniciar , vuelve todo, y eso que estoy haciendo las pruebas con un live hirens, sin discos duros.
Bueno, en principio, por lo menos he podido iniciar el tuluka sin maquinas virtuales, el kernel detective no es posible.
¿hay alguna forma de anular las protecciones del rootkit para que pueda correr los programas de seguridad con normalidad, o es tarea imposible desde el pc infectado?
Bueno, no está solucionado, pero un poco más se ahora.
Un saludo.
Me estoy respondiendo yo mismo.
Bueno, a día de hoy, ya he conseguido iniciar los dos programas.
El kernel detective, lo he conseguido utilizando un sistema operativo windows vista, con el cual, el pc portatil, no cargaba todos los controladores, tal vez tenga algo que ver.
He podido iniciarlos y ver lo que queria ver.
Aunque, no puedo iniciarlos normalmente en los otros sistemas operativos, pero ya haciendolo de está forma comentada anteriormente, puedo ver la existencia del rootkit, ver los hookeos, y más cosas..... pero no limpiarlo.
Un saludo, muchas gracias.
[MOD] 4 post seguidos, esto no está permitido. Para añadir comentarios usar el botón "modificar".
Perdón,tienes toda la razón, lo siento, intentaré que no suceda más.
En principio, ya he visto todo el percal gracias a estos programas, tengo el rootkit en todos los sistemas infórmaticos, en la placa, por que las pruebas las hago sin disco duro, y el único sitio que no se detectarlo es en los teléfonos androit...
Abriria otro tema para postear en seguridad, todo lo nuevo que he detectado, pero ya me da miedo que me lincheis.
Si me dejais hacer un nuevo post sobre el famoso tema, con las nuevas detecciones que tengo, y profundizar más, lo posteo, si no me contestais, pues ya no pongo nada más, al fin y al cabo, por fin lo he detectado todo, pero claro, no puedo limpiarlo.
Pues pido me deis permiso para postear en seguridad sobre mi tema nuevamente por favor, el día que sea.
Perdón por las molestias, un saludo a todo el foro.
Un saludo y gracias.
#1773
Seguridad / Re: Tiendas de reparación técnica de pc, no saben reparar lo que tengo.
17 Octubre 2015, 10:01 AMCitarCita de: Equinoxe en 13 Octubre 2015, 19:47
Vete al psiquiatra, que yà nos tienes hartos con tu neura, llevas dos meses dando el coñazo con lo mismo, deja de montarte peliculas....
Yo también pienso @Equinoxe tenia razón.......
Saludetes.
Pues bueno, algo hay, ya direis lo que hay si lo sabeis.
No dos meses no, llevo años con lo mismo.
No me toqueis la moral, yo me encuentro muy bien, ni tengo ideas raras ni nada, solo el problema del ordenador que está a la vista, y hemos quedado que hay algo, lo que no sabemos exactamente.
Hurdano, si que se lo que son máquinas virtuales, perdona, pero es que yo las conozco como virtuabox ,oracle, he utilizado algunas cuantas veces si.
Miembros del foro, recordar que he venido por ayuda , no a que se me linche.
Un saludo.
#1774
Seguridad / Re: Tiendas de reparación técnica de pc, no saben reparar lo que tengo.
16 Octubre 2015, 20:53 PMCitarTienes un desastre de configuración de red, mejor en lugar de lanzar estas hipotesis absurdas y de enviar equipos que probablemente esten perfectamente bien a arreglar (aunque despues de todo lo que has hecho, quien sabe), contrata a un tecnico que venga a tu casa a arreglarte tus problemas de red.
Fijate que tienes 2 dispositivos como routers y uno de ellos esta usando direccionamiento público.
Pues no descarto que haya algo en la red, pero ni idea, no llego a tanto, probablemente estén mal los routers, por que ¿Podría estar infectada lo que es la linea teléfonica de alguna forma, pinchada o yo que se?lo desconozco, pero creo que no.
Te voy a contar una cosa que me hacia el cracker, me tiene montado un router cerca, tiene wifi, es de algún vecino, pues, teniendo yo un router activado el wifi, me entraba a traves del router donde estaba conectada la tv, y podia cambiarme el canal o apagarme el televisor que estaba conectado al router... y tengo la maldita señal de wifi aqui al lado que tiene que ser del que me lo hace fijo.... por que no hay otra señal aqui mismo, a no ser que utilice antenas claro, con que tampoco es seguro que sea el.¿pero aunque utilizara antenas le veria la señal, no , entonces tiene que ser la única señal wifi que hay?
Te aseguro los pc están mal, las pruebas las hago desconectado de internet sin el router, y el problema ya está.
En system check, el programa que viene con caine para hacer un chekeo completo del sistema, advierte unos cuantos fallos, precisamente de los drivers, entre ellos, aparece invalid host name, en rojo, lo que el log que he puesto yo , no se ve muy bien, la verdad y es muy extenso.
Creo que los enlaces que he puesto si funcionan.
Y recordar que no soy informático porfavor, en especial te comento a ti Hurdano, no tengo ningún estudio, y lo que se es por estar mirando todo esto, y pelearme con el cracker hace años.
Pero es que no me entra en la cabeza que me digas que no se lo cree nadie, haber algo hay, yo solo doy mi opinión y mis sospechas dentro de mi ignorancia.
Un saludo.
#1775
Seguridad / Re: Tiendas de reparación técnica de pc, no saben reparar lo que tengo.
16 Octubre 2015, 18:52 PM
Esto es una movida si Hurdano , no te puedes llegar a imaginar.
Que esté en la ram , no tengo idea, de como son estos bichos.
En la bios está fijo, y en los discos duros y usb también hay mal.
En el firmware, pues saberlo fijo no lo se.
Pero como comento:
Torre sin discos duros, placa base nueva, y está contaminado.
He comprado en total 7 routers,, varios pc, varios discos duros, varias memorias usb... ahora no estoy para comprar mucho más y tirar el dinero....
Yo me decanto por que está en todas partes.... es decir se reescribe por doquier que puede, son suposiciones mias.
No he hecho nada raro con el pc, me han jodido a proposito, va de largo, y he tenido discusiones con los amigos, hasta quedarme solo.
Todo lo que digas, para mi bien, sea bueno, o sea malo.
Tienens razón, no tengo por que desprestigiar profesionales, ya que por lo que veo el problema que tengo no es cualquier cosa, y vamos , las tiendas que he ido , ya me dijeron al final, que ellos llegaban hasta donde llegaban, que no sabían más, que si eso lo llevara a especialistas.
Entonces en principio, yo no creia que me dijeran la verdad, pero según veo , el problema es bastante complicado, y alomejor les estoy exigiendo demasiado no se, pero, lo que no me entra que alguno, me dice que no ve nada de nada, pero bueno , llegaran hasta donde llegaran, no se.
Es que no uso maquinas virtuales, por que no me hace falta, no estoy seguro ni lo que son, supongo las virtualbox.
Si ya lo he hecho de aislarlo, pero el problema yo veo que está en la placa base, o bien, me llega mal , que un usuario del foro, me lo sugirio, no hay que descartar esa posibilidad tal vez.
El router de seguro está afectado, probablemente.
Vamos Hurdano, que lo que comentas ya lo he hecho.
Si a alguien se le ocurre algún procedimiento a seguir como a comentado AlbertoBSD , adelante.
Ahora no puedo hacer gran cosa, me lo tomo con calma, hasta que pueda avanzar más, que será al comprarme nuevos equipos o que alguien tenga una idea.
Pasando el rato con el pc, no lo utilizo para nada importante....
Un saludo.
Que esté en la ram , no tengo idea, de como son estos bichos.
En la bios está fijo, y en los discos duros y usb también hay mal.
En el firmware, pues saberlo fijo no lo se.
Pero como comento:
Torre sin discos duros, placa base nueva, y está contaminado.
He comprado en total 7 routers,, varios pc, varios discos duros, varias memorias usb... ahora no estoy para comprar mucho más y tirar el dinero....
Yo me decanto por que está en todas partes.... es decir se reescribe por doquier que puede, son suposiciones mias.
No he hecho nada raro con el pc, me han jodido a proposito, va de largo, y he tenido discusiones con los amigos, hasta quedarme solo.
Citar
Yo no quiero crear polémicas ni nada, e igual me paso diciendo las cosas, pero no desprestigies a "profesionales" que pueden ser más chapuzas o menos chapuzas, o que ni lo sean, llevándoles un problema así, que se van a quedar con cara de poker, con tus logs, tus capturas y demás, pensando... y que cojones a hecho esta persona para tener esta movida? de ser así y tan entendido, porqué coño no usa máquinas virtuales?
Todo lo que digas, para mi bien, sea bueno, o sea malo.
Tienens razón, no tengo por que desprestigiar profesionales, ya que por lo que veo el problema que tengo no es cualquier cosa, y vamos , las tiendas que he ido , ya me dijeron al final, que ellos llegaban hasta donde llegaban, que no sabían más, que si eso lo llevara a especialistas.
Entonces en principio, yo no creia que me dijeran la verdad, pero según veo , el problema es bastante complicado, y alomejor les estoy exigiendo demasiado no se, pero, lo que no me entra que alguno, me dice que no ve nada de nada, pero bueno , llegaran hasta donde llegaran, no se.
Es que no uso maquinas virtuales, por que no me hace falta, no estoy seguro ni lo que son, supongo las virtualbox.
Si ya lo he hecho de aislarlo, pero el problema yo veo que está en la placa base, o bien, me llega mal , que un usuario del foro, me lo sugirio, no hay que descartar esa posibilidad tal vez.
El router de seguro está afectado, probablemente.
Vamos Hurdano, que lo que comentas ya lo he hecho.
Si a alguien se le ocurre algún procedimiento a seguir como a comentado AlbertoBSD , adelante.
Ahora no puedo hacer gran cosa, me lo tomo con calma, hasta que pueda avanzar más, que será al comprarme nuevos equipos o que alguien tenga una idea.
Pasando el rato con el pc, no lo utilizo para nada importante....
Un saludo.
#1776
Seguridad / Re: Tiendas de reparación técnica de pc, no saben reparar lo que tengo.
16 Octubre 2015, 14:07 PMMuchas gracias por la información r32
CitarNo se si tendrás algo más pero rkhunter ya te avisaba de un posible hijacking de los dns...
Si que tengo algo más, el controlador de red está afectado sospecho al igual que otros, por eso sufro varios problemas con la gráfica, la red cable, red wifi, sobre todo.
Bien #!drvy , las direcciones mac las saque con el programa netdiscover, de hecho deje el pc corriendo este programa varios días, habiendo solo conectado el pc de mi madre, mi pc y el router, no estaba el meterpreter de armitage, ya que el pc de mi madre lleva windows 8.1 sin nada, y yo el caine, que no tiene instalado armitage ni meterpreter.
El resultado de netdiscover, sin tener armitage meterpreter fue:
IP At MAC Address Count Len MAC Vendor
-----------------------------------------------------------------------------
222.222.222.2 10:fe:ed:71:59:8a 611 36660 Unknown vendor
222.222.222.26 f8:a9:63:a6:70:57 5189 311340 Unknown vendor
0.0.0.0 f8:a9:63:a6:70:57 4683 280980 Unknown vendor
222.222.222.23 78:24:af:39:5c:ad 2300 138000 Unknown vendor
222.222.222.2 78:24:af:39:5c:ad 639 38340 Unknown vendor
Cuando utilice bugtraq con el armitage, fue conectándo un tercer ordenador para escanear las anteriores direcciones.
Me di cuenta que en el router, sin haberlo puesto yo, en la sección acces management en el apartado ACL estaba activado , con la dirección segura 0.0.0.0, no se que es esto, ahora lo tengo desactivado, pero los problemas igual en general.
Entonces, aqui está el router, que es 222.222.222.2 está mi pc, pero no sale la ip, mi pc, utiliza la ip 222.222.222.22, está el pc de mi madre que es 222.222.222.23 , está el pc con la dirección 222.222.222.26, que supongo sería un tercer pc que conecté,(lo más probable, pero no estoy seguro si lo conecté), y está la dirección 0.0.0.0. , que o es el host atacante, o viene del router, del ACL activo, pero no lo se, y lo curioso que no sale mi dirección ip, tal vez por que ejecutara el programa de ese pc y entonces es normal que no muestre la ip, o ni idea.
Aparte tenemos la dirección del router , doblada con dos mac, la cual 10:fe:ed:71:59:8a es la original del router, y la otra dirección doblada de 222.222.222.2 es la mac 78:24:af:39:5c:ad que responde al pc de mi madre.
No se, pero algo no me cuadra , pero no lo se.
Entonces dices que está bien las descargas, bueno yo no lo se, pero los checksum md5 me los baja mal en muchas cosas te lo aseguro. Y se escaneo con clamtk tras descargar archivos siempre encuentra algo, sobre todo archivos PUA, a cientos.
Por ejemplo ayer, perdí el sistema operativo, tras eliminar un montón de archivos infectados y troyanos, que justamente los tenía en wine, para windows.... todo por haber descargado archivos.... por eso tenía problemas de navegación lenta, cuelgues, etc, etc... trastee demasiado, y me cargue el sistema operativo, no pude restaurarlo, pero no he perdido nada.
Haber si puedo conectarme al anubis, que ahora mismo no puedo acceder a la página no se por que,y les haré el scan a los mismos archivos que pasé con virus total.
Lo de los drivers, yo se que hay algo extraño, es probable que sean el problema de una u otra forma,¿por que los drivers, no se alojan en los chips correspondientes, es decir, el driver de audio, en el chip de audio, el driver de red en el chip de red, y así con todos, o me equivoco?
Hombre, sabeis, que, mis equipos informáticos, saben lo que tengo, por que dejaba entrar a alguna persona y veia todo lo que tenía, incluso, deje solas las personas delante del pc por unos minutos hace tiempo.....entonces, podrían saber exactamente todo lo que tengo, y más si me siguen, con que eso es bien probable, se da una condición, y comento, que esto vengo batallando con el cracker este muchos años, y ha ido aprendiendo mucho por lo que se ve....
#!drvy, tu dices que descartas infección de firmware, pero, como explicas que persistan los problemas sin los discos duros???? estoy abierto a todo tipo de sugerencias.
No me digas lo de los sicarios que ya solo me faltaba eso....por que por defenderme de un atacante....yo creo que el podría borrar sus rastros si quisiera , quemar su pc, y dejarlo, pero no cesa.
Por cierto, creo que el router también es posible que tenga afectado algo, que sería el firmware... cuando lo reinicio a estado de fábrica, creo que no tiene todas las opciones como debería, no se si por culpa del pc o el router.
Trate de actualizar el router como root, por ftp creo que era, pero me daba error , no podía, decia error imput/output bios.
#!drvy te aseguro que no es ninguna trolleada, que ganaría yo, simplemente busco ayuda, para saber que es exactamente lo que tengo.
Yo solo quiero limpiarlo y saber que es , ya se que es doble post, pero como me han preguntado otra vez, pues lo expongo, mirá desde la primera vez que lo postee, lo ha visto más gente que a aportado más cosas, y yo he aprendido un poco más.
Voy a poner unos enlaces para mayor información del log de chkrootkit, y de system testing hecho con una herramienta de caine, en la que puede verse anomalias, entre ellas, invalid host name, haber si puedo postearlo bien, por que creo que aportan información:
http://paste.ubuntu.com/12797204/plain/
http://paste.ubuntu.com/12797719/plain/
Creo no se ve, y el log de chkrootkit es verdaderamente largo de verdad, el otro es algo largo, sale en el navegador web los resustados, pero no se como mostrarlo, tal vez podría hacer varias tomas de pantalla ordenadamente y se verían los resultados, pero tendría que hacer unas cuantas tomas, tal vez más de 10-15.
Voy a poner capturas del router:
Primero con la dirección acl 0.0.0.0, que no se si tiene que ver con lo anterior.
subirimagenes
Ahora una captura de status donde puede verse que mi gateway predeterminado que debería ser 222.222.222.2 pues es 192.168.144.1, y si se modifica, se cae la conexión a internet, es decir solo funciona con el fake, si pongo mi dirección no conecta:
hosting imagenes
Y por último , una captura del router, del apartado routing, donde cada vez que reinicio el router , me aparece una dirección ip como la del status, la 192.168.144.1, la cual si no borro manualmente, puede putearme mucho.... tardé bastante a verlo, y luego, fue una pelea, por que cada vez que la borraba, volvia a aparecer a los pocos minutos, y así pasaban los días yo quitandolo, y volviendose a poner sola, hasta que ahora ya, con quitarlo una vez, no me lo vuelve a meter, a menos que reinicie, o algún día si me despisto, en cuanto se pone esa dirección, empiezan a haber cortes de red, y mil problemas:
subir fotos online
Hola _TTFH_3500
Citar¿Podrías explicar ESPECIFICAMENTE que problema tienes?, es decir, dices que tienes un backdoor o que la placa madre esta corrupta pero, ¿Cómo lo sabes? Notas algo extraño aparte de los logs que crees que tienen algo raro, algo que modifique el software/hardware como que se abra la bandeja de CD, se borren archivos o cambie alguna configuración del equipo.
1) Suponiendo que tengas un malware, el 99% se encuentra en el disco duro o la RAM,
2) muy difícilmente en el MBR, la memoria de la grafica, el firmware (ROM, BIOS, etc).
3) Ahora bien, que tengas un malware en algún otro hardware es improbable (no imposible),
4) pero que hallas cambiado la placa base y sigas con tu problema... mmm...
La única solución que veo es que:
-Desconecta la pc de internet.
-Deja un SOLO disco duro conectado si tienes varios.
-Consigue una distribución de Linux que no esté comprometida, descárgala de una biblioteca, grábala en un CD, consigue un lector de CD de solo lectura para evitar que el malware se grabe en el disco y se vuelva a copiar.
-Al instalarla borra TODAS las particiones del disco y vuélvelas a crear, esto debería borrar el MBR.
Si el problema persigue suponiendo que el malware este en el firmware este debería ser creado para cada modelo particular de placa base y de la BIOS, así que si compras otra asegúrate que nadie vea el modelo que comprastey cree otra versión del malware.
(Hay otra opción (4) pero es mas probable que trabajes para la KGB a que pase eso.)
![:-\](https://forum.elhacker.net/Smileys/navidad/undecided.gif ":-\")
Pues los problemas con el pc ya los he comentado: Me desconecta el ratón, me cambia el estado del teclado, por ejemplo me cambia de minúsculas a mayusculas, provocándome errores al escribir, me reinicia el navegador, varias veces seguidas, me carga scripts en el navegador, se ralentiza, cuando hago descargas de imágenes y compruebo el checksum , la mayoria vienen mal, si no todas, comparo el checksum y es diferente, me aparecen fotos en una carpeta de firefox que no he puesto yo, sufro man in the midle, acoso con publicidad ofensiva que bloqueo con addblock, más cosas que se me escaparán y que ahora no recuerdo, todo esto con linux, en window, no lo utilizo, por que me entra facilmente, y me la lia.... en linux, creo que si no descargo wine, con lo comentado anteriormente, creo no puede hacerme más.
El otro día me atreví a utilizar windows 8.1 en el compak presario que utilizo, y me duro dos días, pantallazo azul, reinicie, y no funcionaba el raton, en linux, desenchufo el raton lo vuelvo a enchufar y funciona, pero en windows, no había manera, no funcionaba, al final desisti de utilizar windows 8 en este pc con conexion a internet, solo lo utilizo sin conexión a internet para jugar a algún juego si apetece.
Haber, ultimamente, no, pero cuando tenía una impresora conectada hace años, me iniciaba a imprimirme hojas con emoticonos.... se me abria y cerraba la tapa del cd sola, cuando iba a meter el cd se me cerraba.... y putadas de estas muchas.
¿Podría haber algún malware el la tarjeta de memoria que tengo de 8gb bastante nueva?? o en algún otro componente? Por que si los problemas están sin los discos duros, el problema de donde puede venir?
Es dificil que esté en los controladores dices, pero por ejemplo tengo un televisor oki, que utilizo de pantalla externa, el cual , tiene algo afectado, por que tiene la retroiluminación al 100% y no puede bajarse, con el consiguiente fastidio para la vista, prové de actualizar el firmware, pero solo conseguí que me aparecieran dos opciones de graduar brillo y contraste, algo es algo, pero la retroiluminación continua inamovible al 100%, esta pantalla la utilizo con los pc, y comparte usb.
En los pc me dan problemas los drivers, de gráfica, de red, de la grabadora ... no se.
Yo no se exactamente lo que tengo, pero tengo muchos indicios de que algo va mal, y se decanta hacia los firmwares, lo cual no quiere decir que sea otra cosa, no se.
Si he cambiado la placa base 3 veces, compré un pc todo nuevo con teclado y ratón, listo de mi, le conecté un usb de los infectados, corruptos, lo que sea, y el pc se infectó con lo mismo, esto hace muy poquito...aparte le conecté la pantalla externa oki comentada anteriormente, que de una u otra forma tiene también algo mal.
El pc que compré era un compak, de sobremesa barato, muy simplón, de la misma marca que el compak que tengo con problemas.
Si tengo discos originales, windows 8.1, caine 6.0, kali linux, bugtraq, y utilizándolos en live sesion, ya pasando programas y mirando todo, ya están todos los problemas.
Esta mañana he grabado el caine desde otro pc, he cogido el disco duro que tengo en el compak, lo he metido en la torre asus h81m-c y le he grabado el caine 6.0 desconectado de internet, luego lo he cogido y lo he metido en el compak desde el que escribo ahora, y de momento bien , lo que es el funcionamiento del s.o. pero los problemas comentados persisten, y solo pueden ir empeorando hasta que consigue entrarme.
Yo creo que lo he probado prácticamente todo lo que está en mi mano, con mis pobres conocimientos.
Los equipos informáticos comprometidos son:
placa asus h81m-c x 2 placas
compak hp presario portatil
portatil acer
televisor smart tv lg
routers más que probable
tv oki tiene algo de la gráfica también.
El teléfono móvil no tengo ninguna prueba,( más que indicios y sospechas personales) y que se ha conectado a varios sistemas informáticos comentados anteriormente, con lo cual puede suponerse que es posible que se contaminara, pero no lo se.
¿Hay modelos de placas base que tengan un jumper de protección de escritura de la bios?he estado buscando, pero no he encontrado, ¿que placas base son las más seguras y por que?
Si compro alguna, será un modelo desconocido o marca rara, o el pc nuevo, o una Raspberry Pi , pantalla nueva, teclado nuevo, ratón nuevo, router nuevo, sin wifi y a rezar.
jajaja, no trabajo para la kgb, pero me gustaría oir tu teoria.
AlbertoBSD, menuda noticia más buena me has dado:
CitarYo soy Ingeniero en Computacion tengo mi propio local y reparo Celulares, Tablets, Laptops y PCs.
Trae tu computadora a mi local y yo personalemente lo reparo, despues de ver minusiosamente los LOGS note algo muy curioso tal vez nadie de los presentes se dio cuenta de ello y ahi esta el problema, tardara un poco dependiendo de que Chipset tenga tu equipo.
Saludos!
Es maravilloso que sepas ver algo , comparte con todos tus conocimientos porfavor.
De donde eres, podría enviarte una placa base por envio certificado.
Por ejemplo una de las placas base con lo que sufro esto es:
Asus H81M-C
Serial No.: EAMOCS301498
Part No. : 90MB0GT0-M0EAY0
LGA 1150,Intel H81, 1* DDR3,DVI,D_Sub,2*USB 3.0 , 2*SATA
6Gb/s, 1PCI,1*PClex16, 2*PCIEx1, COM header , LPT
Port, TPM header, 8CH Audio , Gb LAN , UEFI BIOS,
U3 Boost, Fan Xpert,All Solid Cap, Win8 Ready
Check number 8843
AlbertoBSD , muchas gracias, si quieres que te diga algo en especial comenta, y seas de donde seas, te podría enviar una placa para que la vieras, si tienes que hacer presupuesto aproximado me lo dices por privado o como quieras.
Un saludo y muchas gracias.
#1777
Seguridad / Re: Tiendas de reparación técnica de pc, no saben reparar lo que tengo.
15 Octubre 2015, 23:20 PM
Saludos.
Estoy teniendo problemillas con el pc.
Darme tiempo que ponga otra vez todo bien como pueda y mirare de contestarte #!drvy.
No es ninguna trolleada, si bien , yo sospecho que es lo que digo, pero ni mucho menos lo se seguro.
Definitivamente hay algo, que no se exactamente lo que es, pero , diantres, teniendo en cuenta, que utilizando un live cd, sin discos duros , sufria lo mismo, pues que otra explicacion hay.
El checksum del cd coincide con el de la web, solo varia de minusculas a mayusculas, pero es normal, entonces si esta bien el cd, y sin los discos duros, sucede lo mismo, ya sabemos que no es fallo de los discos duros, es fallo, de la placa base, bios, conjunto de controladores, o alomejor solo el de la grafica y la bios, no se ni idea, de hecho la placa base me la han cambiado por garantia 2/3 veces, y el problema persiste.
Estoy con un usb live, y no puedo hacer nada hasta que reinstale un disco duro, estoy probando Qubes, pero volvere a instalar caine.
No se exactamente lo que tengo, si no, no lo preguntaria, mi nivel de informatica es bajo, no tengo ningun estudio, no pretendais que sepa muchas cosas.
Espero mirar otra vez 4 cosas y volver a responder, ya con calma.
Un saludo.
Estoy teniendo problemillas con el pc.
Darme tiempo que ponga otra vez todo bien como pueda y mirare de contestarte #!drvy.
No es ninguna trolleada, si bien , yo sospecho que es lo que digo, pero ni mucho menos lo se seguro.
Definitivamente hay algo, que no se exactamente lo que es, pero , diantres, teniendo en cuenta, que utilizando un live cd, sin discos duros , sufria lo mismo, pues que otra explicacion hay.
El checksum del cd coincide con el de la web, solo varia de minusculas a mayusculas, pero es normal, entonces si esta bien el cd, y sin los discos duros, sucede lo mismo, ya sabemos que no es fallo de los discos duros, es fallo, de la placa base, bios, conjunto de controladores, o alomejor solo el de la grafica y la bios, no se ni idea, de hecho la placa base me la han cambiado por garantia 2/3 veces, y el problema persiste.
Estoy con un usb live, y no puedo hacer nada hasta que reinstale un disco duro, estoy probando Qubes, pero volvere a instalar caine.
No se exactamente lo que tengo, si no, no lo preguntaria, mi nivel de informatica es bajo, no tengo ningun estudio, no pretendais que sepa muchas cosas.
Espero mirar otra vez 4 cosas y volver a responder, ya con calma.
Un saludo.
#1778
Seguridad / Re: Tiendas de reparación técnica de pc, no saben reparar lo que tengo.
14 Octubre 2015, 21:06 PM
Bueno gracias por tu interés.
vamos por partes:
Si pero yo tengo una ip distinta para cada pc, es seguro por que se las ip de memoria y no tengo ninguna repetida.
fijate en estos logs de wireshark, donde aparecen mac ajenas que no son mias
http://postimg.org/image/9r3w8w60t/
http://postimg.org/image/a59tm8fi5/
Bueno, entonces será repetir la experiencia sin el metasploit, para ver que sale entonces, deacuerdo.
Cuando tenga algo de pasta, compraré una nueva placa en una gran superficie y una grabadora nueva para ver que pasa.
Hombre, tengo un programador willem usb programmer, y pude confirmar con el técnico de biosflash, que la máquina reescribia código malo en el chip bios nuevo, con que algo hay, y tiene que venir, del chipset o de algún firmware de la máquina como el dvd, por que la pantalla externa no creo vamos, ni las memorias, ni la fuente, ni la cpu, si no me equivoco, aunque la pantalla externa también tiene firmware...el teclado y ratón me imagino , que no pero no lo se tampoco.
Además, hay algo, que impide que funcione correctamente el programador willem usb programmer, ya que puedo leer, y escribir en los chips, pero cuando le grabo la imagen de la bios, luego el pc no arranca.
Este tipo de malware hace tiempo que va, con lo cual , sería posible que alguien entendido del tema pudiera hacerlo.
Haber, me pasa en una placa asus con uefi, que tiene el chip bios con patillas, y puedo sacar y poner facilmente, pero el mismo problema lo tengo en todos los pc igual; mira el pc que utilizo ahora , es un compak presario portatil, no le va la grabadora por que no se puede cargar el driver, cuando inicia, dice que la suma de comprobación no es válida, ya prové de todo, pero tras actualizar con un usb bootable, solo cambie la versión de bios, el problema persiste, e incluso al entrar en la bios, me marca un montón de errores con una numeración, que seguro tienen un significado que no se, esto lo único que podría hacer es hacerle fotos y postearlo, pero este pc no tiene uefi.
Ni idea, pero agradeceria una mayor explicación o lo buscaré por google algún día.Yo como decía lo de sospechoso, y escondido, pues en fin.
Pues el log de chkrootkit es muy largo y no puedo postearlo en pastebin.com con usuario free.Si acaso me atreveré a postearlo aquí directamente con tu permiso aunque sea por partes, si das la aprobación.
En cuanto a los archivos, he estado haciendo pruebas en algunos detecta cosas en otros no, voy a ver que pongo:
Por ejemplo el programa ccleaner me viene con:
virus total: ESET-NOD32 Win32/Bundled.Toolbar.Google.D potentially unsafe 20151014
En anubis:
El programa universal usb installer:
virus total: McAfee-GW-Edition BehavesLike.Win32.Dropper.tc 20151014
En anubis:
El programa daemon tools lite:
virus total:
Comodo UnclassifiedMalware 20151014
Rising PE:Malware.RDM.35!5.29[F1] 20151013
Symantec PUA.OpenCandy 0151013
con anubis:
Con anubis va muy lento,dice que le cuesta mucho, no se por que tanta diferencia de tiempo de uno con otro, por eso no he puesto nada, pero he visto completarse uno mientras escribia el mensaje,y sale mucha información, yo no veo nada en concreto, pero dice muchas cosas , no se como mostrarlo todo, creo que con virus total ya se ve que vienen regalitos.
Aparte si analizo con clamtk las descargas ya te digo que suelen venir con regalitos, no siempre, y no todas, pero si la mayoria.
Por provar no pierdo nada no, lo probaré para saber que pasa, pero ya te digo que no es el problema principal.
Ya pero si hago un reset, no pasa nada, se queda mal igual, con el host ajeno a mi red y la entrada de routing con una ip ajena... si tuviera un pc limpio, seria fantástico.... con los vecinos no tengo confianza para pedir nada,y a nadie vamos le puedo pedir nada.
Pero, es que aunque traiga herramientas limpias, creo que no se puede reparar desde estos pc, ya tengo el caine, bugtraq, kali linux, y no puedo limpiarlo con todo lo que trae....
Hombre mira esto:
haciendo está comprobación: Sacada de social.technet.microsoft.com
En Bios UEFI únicamente podemos instalar los sistemas de 64 bits. Los de 32 nunca se instalarán en modo UEFI.
1) Verificar en la Bios que efectivamente la Bios está en modo UEFI.
Algunas Bios tienen modo BIOS normal y modo UEFI. Debe estar en este ultimo modo.
2) Es imprescindible que la BIOS arranque el CDROM en este modo. Para ello, debemos tener el DVD de instalación metido. Apagar físicamente la maquina con él introducido y a continuación darle corriente. En general NO VALE meter el DVD mientras está encendida la maquina ya que no lo tomará. Si no lo toma en modo UEFI la instalación no será UEFI.
3) No se puede instalar por tanto desde un pen booteable en modo UEFI.
4) Para asegurarnos que está en modo UEFI, cuando se inicie la instalación de Windows en la misma pantalla de bienvenida de la instalación, pulsamos MAY+F10. Esto nos sacará una consola, desde ella ejecutamos:
notepad Windows\Panther\setupact.log
Veremos una de estas dos cosas:
Callback_BootEnvironmentDetect: Detected boot environment: BIOS
o bien:
Callback_BootEnvironmentDetect: Detected boot environment: UEFI
Solo estaremos en la instalación correcta en modo EFI en este ultimo caso. Si no está en dicho modo, o la Bios está mal configurada, no no hemos arrancado el CDROM en modo UEFI o encendido la maquina con el DVD ya introducido. No vale que continuemos ya que no se instalará en UEFI.
5) Las Bios UEFI necesitan que el disco de instalación sea GPT (no MBR) y además necesita instalar la partición UEFI de boot. Para ello, el disco debe estar vacío.
6) Para que el disco lo esté incluso sin el MBR, cuando lleguemos a la pantalla de instalación en donde se ve el disco a instalar, ejecutamos de nuevo MAY+F10 para obtener la consola. En ella:
DISKPART
select disk 0
clean
exit
7) A continuación damos al botón de refrescar en la pantalla en donde vemos el disco, y SIN seleccionar nada, es decir sin seleccionar el disco, le damos a continuar.
Esto creará la partición UEFI y en el resto instalará el sistema operativo.
Posteriormente si queremos gestionar mas particiones en el Disco, ya desde el sistema operativo y en el Administrador de Disco podremos reducir el tamaño de dicha partición y crear nuevas particiones a nuestro gusto.
Pues , resulta, que no aparece ni Callback_BootEnvironmentDetect: Detected boot environment: BIOS ni
Callback_BootEnvironmentDetect: Detected boot environment: UEFI por lo que mi s.o. windows 8.1 no se instala en uefi mode por este motivo.
Igualmente, por ejemplo, el bit defencer live, se carga en uefi mode pero da errores, pero el caine ya ni se carge en uefi cuando debería cargarse, por eso se que está mal, vamos sospecho.
Cuando introduzco un usb o un disco duro, en la pantalla de la bios, en el asus h81m-c, me muestra las claves uefi del disco, y salen unas malas, de igual forma, las claves uefi que hay precargadas en la placa base, no son las correctas, y no puedo cargarle las claves uefi del disco original windows8.1, por que al hacerlo se queda congelado el pc, y hay que reiniciarlo, volviendo a aparecer las claves malas con unos interrogantes, la única manera de que no aparezcan es dejando los discos sin formato, pero entonces al formatear , aparecen nuevamente las claves uefi malas y en la placa base no se le pueden cargar las claves uefi, cuando viene preparado para ello, y muchas más opciones.
Te juro que con un live cd original con el checksum correcto, sin ningún usb ni disco duro, el cracker me podía hacer de todo, bueno, sobre todo, cuando en vez de utilizar el live cd original, utilizaba uno corrupto que había grabado con el pc corrupto, entonces si que era malo el asunto, pero desde que fui a una tienda y me grabaron el cd original, pues, la verdad no puede hacerme casi nada, pero de lo que yo veo que puede hacerme:
maninthe midle, registra teclas, registra audio, tiene cierto control sobre el navegador, puede modificar el teclado o desconectarlo, puede desconectarme el ratón, etc, esto es fijo siempre que puede, luego si consigue entrar, pues puede hacer lo que quiera, pero dentro creo que no lo tengo, es más bien una puerta trasera preparada para entrarme facilmente, haciendo el maninthemidle y colandome regalitos en las descargas para que pueda entrar, utilizando linux, no puede entrar aparentemente, pero de vez en cuanto me veo alguna sorpresa, como que me desaparecian las opciones del escritorio del sistema operativo o que me aparecen fotos desconocidas en una carpeta del navegador.... en fin.
Cuando me entra facilmente, es cuando utilizo windows, y hago descargas; en linux, pues parece que no sufro tanto, aunque, ahora tengo whine y he hecho descargas, con lo que no me extrañaria que tenga porqueria aparte.
No lo se lo desconozco, pues debe ser normal entonces.
El otro día instale windows vista, en el compak presario que viene preparado para windows7 y en este no me reconocia los drivers, me alegre y todo, ya que como te comento, con todos los demás me salen automáticamente, supongo que si instalara windows xp , tampoco saldrían los drivers automáticamente.
Deacuerdo, debe ser un falso positivo, yo no lo se para debatirlo.
Que va no soy nada de eso,si acaso soy parecido a un solitario de esos, que no salgo nunca practicamente, más que cuando hace falta, o en algún acto especial.... siempre estoy en casa, no tengo trabajo, más que a ratos en las fincas familiares, y lo único especial que hago, pues consumo y planto marihuana, no creo que sea ese el motivo, quien sabe....
Yo también pensaba que no podía ser, pero es que en todos los pc, me salen los mismos logs, tengo lo mismo en todos, lo único que no tengo ninguna prueba es con el teléfono mobil, esto solo son sospechas mias por cosas que me han pasado, me descargue un sistema operativo para mirar los móbiles, el santoku, pero no se utilizarlo y no me quedan ganas de momento.
Hombre, como bien sabes , los virus, malware y demás se contagia, si todos los ordenadores están en red, comparten usb, y para colmo utilice el telefono con los ordenadores , utilizandolo como disco duro y como modem, pues es normal que se pueda contagiar todo, ya sería diferente que te dijera, tengo 5 ordenadores aislados todos de si, con diferentes tomas de internet, que no comparten nada, y que estén infectados todos con lo mismo, hay, si que sería increible, pero lo que yo comento, no es para nada imposible, de hecho si no lo sospechara , no lo miraria tanto.
Ya si fuera una simple infección podría sacarla yo mismo, pero si no pueden los técnicos pagando, pues yo dificilmente.
Lo dicho, voy a intentar pegar el log entero si es posible en varios mensajes, y si no dime la forma para publicarlo entero el de chkrootkit.
En principio no queria mirarlo más por que creo que lo tengo bastante claro, no se puede limpiar con lo que tengo, y la única solución que me dan es llevarlo a unos péritos informáticos, aparte de por supuesto lo que me dices tu,pero como te digo viene del firmware y no podrá repararse, con lo cual, no se ni si mirarlo, lo haré, pero no se cuando, ya que no tengo acceso a descargar nada limpio de momento y lo veo que será una pérdida de tiempo, probablemente, por que tras reiniciar, se volverá a poner malo, por que si ya el chip bios, se corrompe tras sustituirlo y reiniciar, pues figurate tu el disco duro.
He acabado exponiendo nuevamente el tema, pero vamos que lo que preguntaba era sobre los técnicos si deberían poder decirme algo y supongo que no me quedará otra que llevarlo a unos peritos algún día..... lejano seguramente....
¿Unos ingenieros informáticos , con sabiduria en programación, podrían hacerme esto verdad?
Todo viene, por que tengo amenazado al cracker con que voy a denunciarlo, y le digo de todo, me he acabado discutiendo con todos los amigos, y ahora casi no tengo ningún trato con nadie, y menos de pedir favores... todo por culpa del elemento este, y como le he dicho de todo, lo he amenazado, le digo que lo quiero denunciar, pues por eso me apretan, para que lo deje estar y pase, o no se, alomejor me quieren controlar para saber que hago, pero me están jodiendo, por que no puedo hacer nada de provecho con el pc, más que el tonto, pasar el rato,por que teniendo esto, quien es el valiente, que va a abrir por ejemplo una cuenta de forex, o conocer chicas y escribir, o hacer compras con una tarjeta de crédito, o emprender algún proyecto serio, no se se pueden hacer muchas cosas, pero con el energumeno este encima, no hago nada de nada por su culpa.... en fin, perdonarme todos, pero no podeis imaginaros la frustación que se siente, cuando deseas algo, que a priori no parece tan complicado, pero que luego no acaba nunca y no hay manera de limpiarlo....ya es una forma de vida que me he acostumbrado, en fin.
Si te niegas a creerlo, no se que decirte, pero es que si quieres te envio la placa base, de verdad, y lo compruebas tu mismo,asi luego podrías exponerlo mejor en el foro y contrastar opiniones.
Un saludo y gracias.
vamos por partes:
CitarAhí no veo nada extraño. Simplemente tienes configurada una IP que tambien esta configurada en otro dispositivo.. es un warn nada mas.
Si pero yo tengo una ip distinta para cada pc, es seguro por que se las ip de memoria y no tengo ninguna repetida.
fijate en estos logs de wireshark, donde aparecen mac ajenas que no son mias
http://postimg.org/image/9r3w8w60t/
http://postimg.org/image/a59tm8fi5/
CitarEntonces mas que normal que te reporte esas conexiones y puertos como abiertos. Recuerda que metasploit tiene su servicio.. por mucho que cierres el programa el servicio seguirá corriendo.
Bueno, entonces será repetir la experiencia sin el metasploit, para ver que sale entonces, deacuerdo.
CitarMe decanto mas por problemas de fuente o conexión de red. Insisto en que las posibilidades de que un malware afecte al firmware de cualquier cosa que no sea la propia BIOS o los HDD son ínfimas. Quien se preocupa en crear un malware para infectar un lector de discos cuando eso esta a punto de ser obsoleto ? Y por que no quitas el lector de discos o lo cambias por otro para ver si el problema persiste ?
Cuando tenga algo de pasta, compraré una nueva placa en una gran superficie y una grabadora nueva para ver que pasa.
Hombre, tengo un programador willem usb programmer, y pude confirmar con el técnico de biosflash, que la máquina reescribia código malo en el chip bios nuevo, con que algo hay, y tiene que venir, del chipset o de algún firmware de la máquina como el dvd, por que la pantalla externa no creo vamos, ni las memorias, ni la fuente, ni la cpu, si no me equivoco, aunque la pantalla externa también tiene firmware...el teclado y ratón me imagino , que no pero no lo se tampoco.
Además, hay algo, que impide que funcione correctamente el programador willem usb programmer, ya que puedo leer, y escribir en los chips, pero cuando le grabo la imagen de la bios, luego el pc no arranca.
Este tipo de malware hace tiempo que va, con lo cual , sería posible que alguien entendido del tema pudiera hacerlo.
CitarEstas mezclado temas.. chip BIOS ? BIOS en una UEFI ?
Haber, me pasa en una placa asus con uefi, que tiene el chip bios con patillas, y puedo sacar y poner facilmente, pero el mismo problema lo tengo en todos los pc igual; mira el pc que utilizo ahora , es un compak presario portatil, no le va la grabadora por que no se puede cargar el driver, cuando inicia, dice que la suma de comprobación no es válida, ya prové de todo, pero tras actualizar con un usb bootable, solo cambie la versión de bios, el problema persiste, e incluso al entrar en la bios, me marca un montón de errores con una numeración, que seguro tienen un significado que no se, esto lo único que podría hacer es hacerle fotos y postearlo, pero este pc no tiene uefi.
CitarSi, es paranoico y por eso te dice que ha encontrado archivos ocultos. Nada raro.
Ni idea, pero agradeceria una mayor explicación o lo buscaré por google algún día.Yo como decía lo de sospechoso, y escondido, pues en fin.
CitarEn todo caso postealo en pastebin.com y pones el enlace. También me gustaría que descargaras un ejecutable cualquiera, lo subieras a:
https://www.virustotal.com/
https://anubis.iseclab.org/
y mostraras aquí los correspondientes resultados.
Pues el log de chkrootkit es muy largo y no puedo postearlo en pastebin.com con usuario free.Si acaso me atreveré a postearlo aquí directamente con tu permiso aunque sea por partes, si das la aprobación.
En cuanto a los archivos, he estado haciendo pruebas en algunos detecta cosas en otros no, voy a ver que pongo:
Por ejemplo el programa ccleaner me viene con:
virus total: ESET-NOD32 Win32/Bundled.Toolbar.Google.D potentially unsafe 20151014
En anubis:
El programa universal usb installer:
virus total: McAfee-GW-Edition BehavesLike.Win32.Dropper.tc 20151014
En anubis:
El programa daemon tools lite:
virus total:
Comodo UnclassifiedMalware 20151014
Rising PE:Malware.RDM.35!5.29[F1] 20151013
Symantec PUA.OpenCandy 0151013
con anubis:
Con anubis va muy lento,dice que le cuesta mucho, no se por que tanta diferencia de tiempo de uno con otro, por eso no he puesto nada, pero he visto completarse uno mientras escribia el mensaje,y sale mucha información, yo no veo nada en concreto, pero dice muchas cosas , no se como mostrarlo todo, creo que con virus total ya se ve que vienen regalitos.
Aparte si analizo con clamtk las descargas ya te digo que suelen venir con regalitos, no siempre, y no todas, pero si la mayoria.
CitarLa idea de esa herramienta es limpiar el MBR y los archivos que no podría cuando el SO esta en uso. Por probar no pasa nada.
Por provar no pierdo nada no, lo probaré para saber que pasa, pero ya te digo que no es el problema principal.
CitarConexión limpia ? Mira, haz un reset al router que tienes (para que vuelva a su configuración por defecto), coge una PC que nunca hayas usado y conectala a la red.. listo. Eso suponiendo que lo quieres hacer desde casa, siempre puedes ir a una biblioteca con ordenadores o a un locutorio o una sala de ordenadores y descargar ahí lo que necesitas.. incluso pedirle prestado el PC y el internet al vecino...
No me puedo cree que prefieras comprar placas bases antes que hacer eso..
Ya pero si hago un reset, no pasa nada, se queda mal igual, con el host ajeno a mi red y la entrada de routing con una ip ajena... si tuviera un pc limpio, seria fantástico.... con los vecinos no tengo confianza para pedir nada,y a nadie vamos le puedo pedir nada.
Pero, es que aunque traiga herramientas limpias, creo que no se puede reparar desde estos pc, ya tengo el caine, bugtraq, kali linux, y no puedo limpiarlo con todo lo que trae....
CitarEntonces todo normal no veo cual es el problema... Las distros tienen muchos problemas todavia con el Secure Boot.
Hombre mira esto:
haciendo está comprobación: Sacada de social.technet.microsoft.com
En Bios UEFI únicamente podemos instalar los sistemas de 64 bits. Los de 32 nunca se instalarán en modo UEFI.
1) Verificar en la Bios que efectivamente la Bios está en modo UEFI.
Algunas Bios tienen modo BIOS normal y modo UEFI. Debe estar en este ultimo modo.
2) Es imprescindible que la BIOS arranque el CDROM en este modo. Para ello, debemos tener el DVD de instalación metido. Apagar físicamente la maquina con él introducido y a continuación darle corriente. En general NO VALE meter el DVD mientras está encendida la maquina ya que no lo tomará. Si no lo toma en modo UEFI la instalación no será UEFI.
3) No se puede instalar por tanto desde un pen booteable en modo UEFI.
4) Para asegurarnos que está en modo UEFI, cuando se inicie la instalación de Windows en la misma pantalla de bienvenida de la instalación, pulsamos MAY+F10. Esto nos sacará una consola, desde ella ejecutamos:
notepad Windows\Panther\setupact.log
Veremos una de estas dos cosas:
Callback_BootEnvironmentDetect: Detected boot environment: BIOS
o bien:
Callback_BootEnvironmentDetect: Detected boot environment: UEFI
Solo estaremos en la instalación correcta en modo EFI en este ultimo caso. Si no está en dicho modo, o la Bios está mal configurada, no no hemos arrancado el CDROM en modo UEFI o encendido la maquina con el DVD ya introducido. No vale que continuemos ya que no se instalará en UEFI.
5) Las Bios UEFI necesitan que el disco de instalación sea GPT (no MBR) y además necesita instalar la partición UEFI de boot. Para ello, el disco debe estar vacío.
6) Para que el disco lo esté incluso sin el MBR, cuando lleguemos a la pantalla de instalación en donde se ve el disco a instalar, ejecutamos de nuevo MAY+F10 para obtener la consola. En ella:
DISKPART
select disk 0
clean
exit
7) A continuación damos al botón de refrescar en la pantalla en donde vemos el disco, y SIN seleccionar nada, es decir sin seleccionar el disco, le damos a continuar.
Esto creará la partición UEFI y en el resto instalará el sistema operativo.
Posteriormente si queremos gestionar mas particiones en el Disco, ya desde el sistema operativo y en el Administrador de Disco podremos reducir el tamaño de dicha partición y crear nuevas particiones a nuestro gusto.
Pues , resulta, que no aparece ni Callback_BootEnvironmentDetect: Detected boot environment: BIOS ni
Callback_BootEnvironmentDetect: Detected boot environment: UEFI por lo que mi s.o. windows 8.1 no se instala en uefi mode por este motivo.
Igualmente, por ejemplo, el bit defencer live, se carga en uefi mode pero da errores, pero el caine ya ni se carge en uefi cuando debería cargarse, por eso se que está mal, vamos sospecho.
Cuando introduzco un usb o un disco duro, en la pantalla de la bios, en el asus h81m-c, me muestra las claves uefi del disco, y salen unas malas, de igual forma, las claves uefi que hay precargadas en la placa base, no son las correctas, y no puedo cargarle las claves uefi del disco original windows8.1, por que al hacerlo se queda congelado el pc, y hay que reiniciarlo, volviendo a aparecer las claves malas con unos interrogantes, la única manera de que no aparezcan es dejando los discos sin formato, pero entonces al formatear , aparecen nuevamente las claves uefi malas y en la placa base no se le pueden cargar las claves uefi, cuando viene preparado para ello, y muchas más opciones.
CitarEsto ya me parece absurdo. Encima de que se instala en el firmware del lector de cd, también es multiplataforma y funciona igual en windows que en linux, en serio ?
Te juro que con un live cd original con el checksum correcto, sin ningún usb ni disco duro, el cracker me podía hacer de todo, bueno, sobre todo, cuando en vez de utilizar el live cd original, utilizaba uno corrupto que había grabado con el pc corrupto, entonces si que era malo el asunto, pero desde que fui a una tienda y me grabaron el cd original, pues, la verdad no puede hacerme casi nada, pero de lo que yo veo que puede hacerme:
maninthe midle, registra teclas, registra audio, tiene cierto control sobre el navegador, puede modificar el teclado o desconectarlo, puede desconectarme el ratón, etc, esto es fijo siempre que puede, luego si consigue entrar, pues puede hacer lo que quiera, pero dentro creo que no lo tengo, es más bien una puerta trasera preparada para entrarme facilmente, haciendo el maninthemidle y colandome regalitos en las descargas para que pueda entrar, utilizando linux, no puede entrar aparentemente, pero de vez en cuanto me veo alguna sorpresa, como que me desaparecian las opciones del escritorio del sistema operativo o que me aparecen fotos desconocidas en una carpeta del navegador.... en fin.
Cuando me entra facilmente, es cuando utilizo windows, y hago descargas; en linux, pues parece que no sufro tanto, aunque, ahora tengo whine y he hecho descargas, con lo que no me extrañaria que tenga porqueria aparte.
CitarRepito es normal. En las distros de linux lo mismo te detecta todo que lo mismo no te detecta nada. Y en Windows una vez instalados los drivers, se los queda a pesar de que los borres para tener el Plug&Play.
No lo se lo desconozco, pues debe ser normal entonces.
El otro día instale windows vista, en el compak presario que viene preparado para windows7 y en este no me reconocia los drivers, me alegre y todo, ya que como te comento, con todos los demás me salen automáticamente, supongo que si instalara windows xp , tampoco saldrían los drivers automáticamente.
CitarSegún he podido leer es un falso positivo.
http://sourceforge.net/p/unhide/discussion/1236874/thread/cb3a1484/
Deacuerdo, debe ser un falso positivo, yo no lo se para debatirlo.
CitarAhora ya el tema se te va de las manos. Estas hablado que incluso tu Android esta infectado.. estamos hablando de 4 plataformas con diferentes tipos de firmware, diferente software y diferente hardware infectadas por el mismo malware.
Una de tres.
O eres un espiá súper secreto de la KGB a la que la NSA esta intentando capturar..
O eres tan paranoico que cualquier falso positivo lo conviertes en un drama.
O estas trolleando[/b]
Es que me niego a creer tal historia.. sinceramente... yo hasta aquí me quedo. Es probable que tengas un PC infectado, otro con problemas de hardware.. que tu Internet tenga cortes y produzca archivos corruptos (o que sea por culpa de los problemas de hardware).. pero de ahí a afirmar que tienes todo infectado es poco realista.
En fin, espero el log y los reportes de virustotal y anubis.. el tema de las infecciones de firmware y cosas así lo dejo de lado..
Saludos
Que va no soy nada de eso,si acaso soy parecido a un solitario de esos, que no salgo nunca practicamente, más que cuando hace falta, o en algún acto especial.... siempre estoy en casa, no tengo trabajo, más que a ratos en las fincas familiares, y lo único especial que hago, pues consumo y planto marihuana, no creo que sea ese el motivo, quien sabe....
Yo también pensaba que no podía ser, pero es que en todos los pc, me salen los mismos logs, tengo lo mismo en todos, lo único que no tengo ninguna prueba es con el teléfono mobil, esto solo son sospechas mias por cosas que me han pasado, me descargue un sistema operativo para mirar los móbiles, el santoku, pero no se utilizarlo y no me quedan ganas de momento.
Hombre, como bien sabes , los virus, malware y demás se contagia, si todos los ordenadores están en red, comparten usb, y para colmo utilice el telefono con los ordenadores , utilizandolo como disco duro y como modem, pues es normal que se pueda contagiar todo, ya sería diferente que te dijera, tengo 5 ordenadores aislados todos de si, con diferentes tomas de internet, que no comparten nada, y que estén infectados todos con lo mismo, hay, si que sería increible, pero lo que yo comento, no es para nada imposible, de hecho si no lo sospechara , no lo miraria tanto.
Ya si fuera una simple infección podría sacarla yo mismo, pero si no pueden los técnicos pagando, pues yo dificilmente.
Lo dicho, voy a intentar pegar el log entero si es posible en varios mensajes, y si no dime la forma para publicarlo entero el de chkrootkit.
En principio no queria mirarlo más por que creo que lo tengo bastante claro, no se puede limpiar con lo que tengo, y la única solución que me dan es llevarlo a unos péritos informáticos, aparte de por supuesto lo que me dices tu,pero como te digo viene del firmware y no podrá repararse, con lo cual, no se ni si mirarlo, lo haré, pero no se cuando, ya que no tengo acceso a descargar nada limpio de momento y lo veo que será una pérdida de tiempo, probablemente, por que tras reiniciar, se volverá a poner malo, por que si ya el chip bios, se corrompe tras sustituirlo y reiniciar, pues figurate tu el disco duro.
He acabado exponiendo nuevamente el tema, pero vamos que lo que preguntaba era sobre los técnicos si deberían poder decirme algo y supongo que no me quedará otra que llevarlo a unos peritos algún día..... lejano seguramente....
¿Unos ingenieros informáticos , con sabiduria en programación, podrían hacerme esto verdad?
Todo viene, por que tengo amenazado al cracker con que voy a denunciarlo, y le digo de todo, me he acabado discutiendo con todos los amigos, y ahora casi no tengo ningún trato con nadie, y menos de pedir favores... todo por culpa del elemento este, y como le he dicho de todo, lo he amenazado, le digo que lo quiero denunciar, pues por eso me apretan, para que lo deje estar y pase, o no se, alomejor me quieren controlar para saber que hago, pero me están jodiendo, por que no puedo hacer nada de provecho con el pc, más que el tonto, pasar el rato,por que teniendo esto, quien es el valiente, que va a abrir por ejemplo una cuenta de forex, o conocer chicas y escribir, o hacer compras con una tarjeta de crédito, o emprender algún proyecto serio, no se se pueden hacer muchas cosas, pero con el energumeno este encima, no hago nada de nada por su culpa.... en fin, perdonarme todos, pero no podeis imaginaros la frustación que se siente, cuando deseas algo, que a priori no parece tan complicado, pero que luego no acaba nunca y no hay manera de limpiarlo....ya es una forma de vida que me he acostumbrado, en fin.
Si te niegas a creerlo, no se que decirte, pero es que si quieres te envio la placa base, de verdad, y lo compruebas tu mismo,asi luego podrías exponerlo mejor en el foro y contrastar opiniones.
Un saludo y gracias.
#1779
Seguridad / Re: Tiendas de reparación técnica de pc, no saben reparar lo que tengo.
14 Octubre 2015, 17:13 PM
Muy bien engel lex , creo que el log de rkhunter es el menor de mis males, estoy deacuerdo con que no hay nada malo,ya que tampoco dice nada mas que hay unos hidden files, pero el programa ya dice que no hay nada.
Y si no tengo idea de como funciona , más que 4 cosas que se.
Que no todo lo que parece es, por supuesto.
Un saludo.
Y si no tengo idea de como funciona , más que 4 cosas que se.
Que no todo lo que parece es, por supuesto.
Un saludo.
#1780
Seguridad / Re: Tiendas de reparación técnica de pc, no saben reparar lo que tengo.
14 Octubre 2015, 16:52 PM
Muchas gracias #!drvy por tu tiempo y paciencia, te estoy agradecido.
Vamos por partes:
Pues tengo unas capturas de pantalla con wireshark, que están posteadas por el foro también , donde me dice que tengo la dirección mac duplicada, el router no detecta nada, solo aparece la entrada de routing con la dirección ip desconocida que se me asigna como mi host predeterminado, las capturas de wiresahark son estas:
http://postimg.org/image/tjanlx6yl/
http://postimg.org/image/4skz83rlp/
Esto también lo tengo posteado por ahí, , lo hice con el sistema operativo bugtraq , scaneando con zenmap, utilizando ettercap y wireshark, donde encontraba lo de mac duplicada y me marca ataque arp spofing...el metasploit está instalado en este sistema operativo, le hice scans al host 0.0.0.0, pero luego cerré el programa, y utilice los que he comentado anteriormente, el zenmap, ettercap y wireshark.
Si intenté eliminarlo, pude eliminar todas las entradas en rojo hidden, pero el problema persiste, tuve que batallar bastante...
Pero no está en el disco duro como comento, por que haciendo las pruebas, poniendo usa placa base nueva en la torre, sin disco duro, haciendo las pruebas con un live cd caine, ya tenía todos los problemas, y lo único antiguo que había en el pc susceptible de llevar algo, era la grabadora dvd, y la pantalla externa, con lo que no me explico.
Igualmente, compré un chip bios nuevo y no funciono, se reescribe con el código malo, el técnico me dijo que tenía la placa base corrupta o defectuosa,me lo dijo el que me vendió el chip y estuvimos hablando del tema.
Por ello, el problema está en la placa base en los controladores, drivers, chipset... si bien es verdad, que reescribe el mbr del disco duro y de los usb que conecte.
Es verdad que no detecta nada pero dice:
Dice que hay directorios escondidos y cosas sospechosas.
Si detecta man in the middle y errores , que seguro lo sufro por lo comentado anteriormente, las capturas de wireshark y que todas las descargas me llegan con regalitos y el checksum mal, por que la fecha está bien, los certificados no lo se, puedo poner en un nuevo mensaje el log completo de chkrootkit completo que alomejor dice mucho más pero yo no lo comprendo, pero es muy extenso, no se si cabe en un mensaje, si quieres lo posteo entero, el comando que utilizo es sudo chkrootkit -x , lo saque de una web , y detecta todo.
Lo que comentan aqui no lo he probado con la herramienta que aconsejan, puedo probarlo cuando tenga los equipos en casa, pero no creo que sirva de mucho, por que se volverá a infectar otra vez con solo reiniciar el equipo, pero será probarlo y ver que pasa.
Bueno, lo único que tengo limpio es el cd original windows 8.1, y varios discos más de caine, bugtraq y kali linux, que son los que utilizo, además tengo un disco hirens boot original, pero yo no tengo conexión limpia a internet, ni ningún equipo sano.
Supongo que no podrá hacer nada, además como está grabado desde el pc infectado, pues seguro que hay algo malo en el usb bootable de hirens que utilicé.
Si conozco bastante el tema, mi windows arranca de todas las maneras con uefi , sin uefi como sea.... los linux arrancan sin uefi mode, pero hay algunas distribuciones y live cd , que soportan el arranque uefi, pues bien, no funcionan, o bien arrancan algunas dando problemas.
Está claro que si tengo algo, y todo lo que descargo está mal....entiendo perfectamente, pero no tengo amigos que pueda pedir nada, ni acceso a internet limpio , ni nada de nada....
Pero como te comento no servirá de nada, por que utilizo un live cd sin disco duro ni usb, y puede hacermelo todo igual, de hecho los logs continuan igual, salvo los del mbr del disco duro, por que no lo hay, está claro.
Es decir , yo utilizo un live cd caine 6.0 que el cheksum está bien y coincide, tiene arranque uefi mode y herramientas para windows, pero no me arranca en uefi, y sufró igualmente man in the midle viniéndome todas las descargas mal, y todos los problemas persisten, puede desactivarme el teclado , o el ratón, puede modificar teclas del teclado, puede reiniciarme el navegador,me carga scripts en el navegador, etc, etc, etc....
Te entiendo perfectamente, ni yo mismo me lo planteaba hasta hace un tiempo, pero tengo fuertes sospechas e indicios para sospechar que algo raro tengo en el pc, por que no es normal todo lo que ocurre.
Es que ya lo he probado todo, en el foro virus total , tratamos el mismo tema, y me dijeron que era problema de hardware, la placa base corrupta, igualmente, el técnico de biosflash, me dijo lo mismo, que estaba las placas corruptas o defectuosas, entonces,puedo probar eso que me has puesto en los enlaces, por ver que ocurre, pero se que el problema no se solucionará haciendo eso.
Ya te digo que virus en si, no hay ninguno, no se detecta nada, es un rootkit, backdoor, de raíz que reescribe el mbr en los discos.
Según tengo entendido , estos bichos se esconden en el chipset de la placa base, incluso he leido que hay algunos si no todos, que se esconden también en el firmware del disco duro, grabadora ,supongo que en los routers, y no se pueden limpiar facilmente, por que la única manera seria reflashseando todos los componentes a la vez, desde un equipo sano externo, creo que es la teoria, en la práctica, no tengo ni remota idea de que hace falta exactamente, y no encuentro mucha información al respecto la verdad.
Esto lo desconozco, pero recuerdo que hace unos años, cuando instalaba linux, siempre me dejaba instalar los controladores adicionales, y ahora no .Con windows, recuerdo que antes no salian los drivers, tenía que instalarlos manualmente, pero ahora salen automáticamente, aún cuando desconecto la actualización automática de los drivers.
Toqueteando cosas en linux, he conseguido que me detectara un controlador adicional de la gráfica, pero nada más, y ahora mismo ni recuerdo como lo hice.
Al arrancar caine, va diciendo todos los servicios que tiene y toda la información, solo iniciar, dice, load pre loaded drivers modules, o algo así, como que se cargan unos drivers automáticamente, predefinidos, y no puedo modificarlos.
Si supongo que así es, y que el problema que tengo no podrán repararmelo en ninguna de las 5 tiendas informáticas en las que he estado, habiendome gastado bastante dinero.Me parece aceptable que no sepan repararlo, por que es complicado lo entiendo perfectamente,pero por lo menos podían emitirme un parte diciendolo, y yo me quedaría tranquilo, pero bueno de hecho, en las 4 tiendas que tengo ahora mismo algo, ha pasado lo siguiente:
1tienda:
Me emitió una factura diciendome que había comportamiento extraño del pc, y que necesitaba un examen más profundo, entendiendose, por unos especialistas, o peritos informáticos.
El hombre me hizo el abono de una placa base.
2 tienda:
Me emitió una factura diciendome entre varias cosas, que lo había reparado, y que en otra placa base la había cambiado por garantia por no poderse reparar, y que me recomendaba acudir a unos peritos informáticos , la cuestión que no se reparó, estaba todo mal, bien se infectó por que quedaba rastro en la grabadora, o me viene mal la placa ,y he tenido que pedir las hojas de reclamación.
3tienda, me han dicho que ellos con sus herramientas no encuentran nada, cosa que se me hace dificil de creer, han mirado otra cosa que no les dije , pero bueno, si dicen que el disco duro estaba mal, pues no se, lo han arreglado, y me lo van a devolver igual que se lo di... eso sí , me han dicho que si tengo las sospechas que tengo algo raro, que vaya a un sitio especializado de informática forense... pero ellos no ven nada, me parece increible vamos...
4 tienda, de telefonía, les he explicado el problema, en esta ocasión , sin aportar logs ni nada, simplemete , les he dicho que tenía sospechas por ciertas situaciones que me han pasado con el teléfono, que no tenían explicación si no era por que estaba hackeado, y me lo han cogido a tramitar por garantia, sin ningún problema.
Entonces, yo ya no quiero batallar mucho más con esto, costará lo que costará, pero creo que lo tengo bastante claro, solo quería saber más que nada si los técnicos informáticos profesionales, deberían poder decirme algo más que lo que me han dicho, e incluso repararlo.
Yo he probado de todo practicamente,y la verdad me gustaría saber repararlo, pero como voy a repararlo yo , si tan siquiera soy informático.... vale que se 4 cosas de pelear, pero si unos técnicos profesionales, no pueden ayudarme, como voy a limpiarlo yo, desde mis equipos comprometidos, sin money, y sin posibilidad de pedir ningún favor a nadie....a tener paciencia ..., pronto en un par de meses o un poco antes, tendré algo de trabajo, y podré avanzar con esto, de momento, estoy atascado.
Y llevarlo a unos péritos informáticos como me han recomendado es muy caro, no me explico como un técnico no puede decir nada, cuando hay tantas evidencias... en fin, hubo usuarios que me dijeron, que libra al foro de una tercera entrega, pero ya la ha habido.... en fin lo siento, parece ser que va para largo mi problema....pero bueno, no pensaba volver a poner nada, pero como me lo ha pedido
#!drvy pues lo he puesto.
Por cierto el log de unhide también detecta algo:
Pues muchisimas gracias por tu tiempo #!drvy y todo aquel que lo lea.
Y lo dicho si alguien quiere una placa base, a peligro que se le contagie todo, que me lo diga y se la envio.
Yo lo que quisiera saber es como actualizar componente por componente de hardware sin reiniciar o la manera de solucionar esto.
Un saludo.
Vamos por partes:
CitarEn lo que pones a continuación solo hay 3 PCs. Tienes solo 3 MAC en la lista. El 10:fe:ed:xx:xx:xx parace ser el de tu router, las otras dos de una PC (la de tu madre y la tuya). Si te fijas, ambas MACs se repiten. No entiendo de donde sacas que te este suplantando la MAC. El router no debería ser tan idiota como para dejar 2 clientes con MAC igual.
Pues tengo unas capturas de pantalla con wireshark, que están posteadas por el foro también , donde me dice que tengo la dirección mac duplicada, el router no detecta nada, solo aparece la entrada de routing con la dirección ip desconocida que se me asigna como mi host predeterminado, las capturas de wiresahark son estas:
http://postimg.org/image/tjanlx6yl/
http://postimg.org/image/4skz83rlp/
CitarPuedo preguntar en que sistema operativo has conseguido eso ? No vaya a ser Kali y tenga el servicio de Metasploit corriendoSi estabas en windows, tienes metasploit instalado ? En caso de que la respuesta sea no, probablemente sea el siguiente problema.
Esto también lo tengo posteado por ahí, , lo hice con el sistema operativo bugtraq , scaneando con zenmap, utilizando ettercap y wireshark, donde encontraba lo de mac duplicada y me marca ataque arp spofing...el metasploit está instalado en este sistema operativo, le hice scans al host 0.0.0.0, pero luego cerré el programa, y utilice los que he comentado anteriormente, el zenmap, ettercap y wireshark.
CitarEntonces es muy probable que el rootkit este en el MBR del disco duro. Lo cual explicaría que se vuelva a propagar. Por que no intentas eliminarlo ?
Si intenté eliminarlo, pude eliminar todas las entradas en rojo hidden, pero el problema persiste, tuve que batallar bastante...
Pero no está en el disco duro como comento, por que haciendo las pruebas, poniendo usa placa base nueva en la torre, sin disco duro, haciendo las pruebas con un live cd caine, ya tenía todos los problemas, y lo único antiguo que había en el pc susceptible de llevar algo, era la grabadora dvd, y la pantalla externa, con lo que no me explico.
Igualmente, compré un chip bios nuevo y no funciono, se reescribe con el código malo, el técnico me dijo que tenía la placa base corrupta o defectuosa,me lo dijo el que me vendió el chip y estuvimos hablando del tema.
Por ello, el problema está en la placa base en los controladores, drivers, chipset... si bien es verdad, que reescribe el mbr del disco duro y de los usb que conecte.
CitarNo, no detecta nada.
[17:28:47] Suspect files: 0
[17:28:47] Possible rootkits: 0
Es verdad que no detecta nada pero dice:
Código [Seleccionar]
Checking /dev for suspicious file types [ Warning ]
Checking for hidden files and directories [ Warning ]
Warning: Hidden directory found: '/etc/.java: directory '
[17:27:50] Warning: Hidden directory found: '/dev/.udev: directory '
[17:27:50] Warning: Hidden file found: /dev/.blkid.tab: ASCII text
[17:27:50] Warning: Hidden file found: /dev/.blkid.tab.old: ASCII text
[17:27:50] Warning: Hidden file found: /dev/.initramfs: symbolic link to `/run/initramfs'
[17:28:47]
[17:28:47] Info: Test 'apps' disabled at users request.Dice que hay directorios escondidos y cosas sospechosas.
CitarNo te detecta muchas cosas, te detecta unas posible man-in-the-middle que a saber que se puede deber. Lo mismo no lo ejecutas bien (porque en vez de %s/%d se deberían de ver cifras), lo mismo tienes los certificados mal o la fecha mal puesta o lo que sea..
Si detecta man in the middle y errores , que seguro lo sufro por lo comentado anteriormente, las capturas de wireshark y que todas las descargas me llegan con regalitos y el checksum mal, por que la fecha está bien, los certificados no lo se, puedo poner en un nuevo mensaje el log completo de chkrootkit completo que alomejor dice mucho más pero yo no lo comprendo, pero es muy extenso, no se si cabe en un mensaje, si quieres lo posteo entero, el comando que utilizo es sudo chkrootkit -x , lo saque de una web , y detecta todo.
Citar
https://forum.avast.com/index.php?topic=72185.0
Lo que comentan aqui no lo he probado con la herramienta que aconsejan, puedo probarlo cuando tenga los equipos en casa, pero no creo que sirva de mucho, por que se volverá a infectar otra vez con solo reiniciar el equipo, pero será probarlo y ver que pasa.
CitarA ver, lo primero, todas las herramientas de limpieza que vayas a utilizar, descargalas y si tienes que grabarlas grabalas en un PC limpio. Lo segundo, lo que te comente arriba, si malwarebytes y combofix encuentran ese rootkit del que hablamos antes, poco van a hacer si este esta en el MBR.
Bueno, lo único que tengo limpio es el cd original windows 8.1, y varios discos más de caine, bugtraq y kali linux, que son los que utilizo, además tengo un disco hirens boot original, pero yo no tengo conexión limpia a internet, ni ningún equipo sano.
Supongo que no podrá hacer nada, además como está grabado desde el pc infectado, pues seguro que hay algo malo en el usb bootable de hirens que utilicé.
CitarComprueba que en la UEFI tienes la opción de Secure Boot activada.. o en su defecto, desactivala para que arranquen las distros de linux sin problemas (nota que esto puede hacer que Windows no arranque mientras esta desactivada).
Si conozco bastante el tema, mi windows arranca de todas las maneras con uefi , sin uefi como sea.... los linux arrancan sin uefi mode, pero hay algunas distribuciones y live cd , que soportan el arranque uefi, pues bien, no funcionan, o bien arrancan algunas dando problemas.
CitarEntonces esta claro que tienes algun malware que esta haciendo un ataque man-in-the-middle. REPITO: NO DESCARGUES LA HERRAMIENTAS que vayas a utilizar PARA LIMPIAR, DESDE LOS PCs INFECTADOS. Es como si yo para exterminar una plaga zombie, primero me convierto en uno.. no tiene sentido verdad ?
Está claro que si tengo algo, y todo lo que descargo está mal....entiendo perfectamente, pero no tengo amigos que pueda pedir nada, ni acceso a internet limpio , ni nada de nada....
CitarDespues de limpiar el MBR, borra TODO del disco duro, haz un formateo limpio si hace falta de bajo nivel. Descarga una ISO de Windows o de Linux de un sitio FIABLE
Pero como te comento no servirá de nada, por que utilizo un live cd sin disco duro ni usb, y puede hacermelo todo igual, de hecho los logs continuan igual, salvo los del mbr del disco duro, por que no lo hay, está claro.
Es decir , yo utilizo un live cd caine 6.0 que el cheksum está bien y coincide, tiene arranque uefi mode y herramientas para windows, pero no me arranca en uefi, y sufró igualmente man in the midle viniéndome todas las descargas mal, y todos los problemas persisten, puede desactivarme el teclado , o el ratón, puede modificar teclas del teclado, puede reiniciarme el navegador,me carga scripts en el navegador, etc, etc, etc....
CitarMuy poco malware hoy en dia es capaz de hacer eso que dices. Y la mayoria de esos malware tienen prioridades especificas. No atacan a un usuario cualquiera porque a la minima las casas de AV los detectan y se joden. La probabilidad de que algún componente de tu PC (que no sea el disco duro) este infectado es de menos del 1%.
Mira, entiendo tu frustacion de que siempre aparezca a pesar de lo que haces, pero si hacemos mal las cosas es normal. Necesitas librarte primero del virus, descargar las herramientas adecuadas de un ordenador limpio (y el de tu madre no te fíes que este limpio) y ya luego si todo falla entonces es cuando te pones a pensar que eres el elegido.
Te entiendo perfectamente, ni yo mismo me lo planteaba hasta hace un tiempo, pero tengo fuertes sospechas e indicios para sospechar que algo raro tengo en el pc, por que no es normal todo lo que ocurre.
Es que ya lo he probado todo, en el foro virus total , tratamos el mismo tema, y me dijeron que era problema de hardware, la placa base corrupta, igualmente, el técnico de biosflash, me dijo lo mismo, que estaba las placas corruptas o defectuosas, entonces,puedo probar eso que me has puesto en los enlaces, por ver que ocurre, pero se que el problema no se solucionará haciendo eso.
Ya te digo que virus en si, no hay ninguno, no se detecta nada, es un rootkit, backdoor, de raíz que reescribe el mbr en los discos.
Según tengo entendido , estos bichos se esconden en el chipset de la placa base, incluso he leido que hay algunos si no todos, que se esconden también en el firmware del disco duro, grabadora ,supongo que en los routers, y no se pueden limpiar facilmente, por que la única manera seria reflashseando todos los componentes a la vez, desde un equipo sano externo, creo que es la teoria, en la práctica, no tengo ni remota idea de que hace falta exactamente, y no encuentro mucha información al respecto la verdad.
CitarCon linux, no me deja instalarle los controladores adicionales y con windows, los drivers me deja desinstalarlos pero se vuelven a cargar solos al reiniciar.
Eso es completamente normal.
Esto lo desconozco, pero recuerdo que hace unos años, cuando instalaba linux, siempre me dejaba instalar los controladores adicionales, y ahora no .Con windows, recuerdo que antes no salian los drivers, tenía que instalarlos manualmente, pero ahora salen automáticamente, aún cuando desconecto la actualización automática de los drivers.
Toqueteando cosas en linux, he conseguido que me detectara un controlador adicional de la gráfica, pero nada más, y ahora mismo ni recuerdo como lo hice.
Al arrancar caine, va diciendo todos los servicios que tiene y toda la información, solo iniciar, dice, load pre loaded drivers modules, o algo así, como que se cargan unos drivers automáticamente, predefinidos, y no puedo modificarlos.
CitarNo están obligados a saber de estas cosas. Nadie esta obligado a saber resolver un problema al 100%. Hay técnicos y hay técnicos, no todos saben lo mismo y a nadie le enseñan a como tratar todos los malware que salen por ahí. Es cierto que hay gente especializada pero la mayoría de los técnicos en una tienda son gente que tiene lo suficiente conocimiento como para tratar los problemas mas generales.
Es como si tu vas al medico de atención primaria (el familiar) y le pides que te haga una cirugía o cualquier cosa.... te va a mandar a un especialista. Los profesionales no lo saben todo y porque no sepan algo, no quiere decir que no se puedan dedicar profesionalmente a ello. Para eso existen las ramas de especialización.
Si supongo que así es, y que el problema que tengo no podrán repararmelo en ninguna de las 5 tiendas informáticas en las que he estado, habiendome gastado bastante dinero.Me parece aceptable que no sepan repararlo, por que es complicado lo entiendo perfectamente,pero por lo menos podían emitirme un parte diciendolo, y yo me quedaría tranquilo, pero bueno de hecho, en las 4 tiendas que tengo ahora mismo algo, ha pasado lo siguiente:
1tienda:
Me emitió una factura diciendome que había comportamiento extraño del pc, y que necesitaba un examen más profundo, entendiendose, por unos especialistas, o peritos informáticos.
El hombre me hizo el abono de una placa base.
2 tienda:
Me emitió una factura diciendome entre varias cosas, que lo había reparado, y que en otra placa base la había cambiado por garantia por no poderse reparar, y que me recomendaba acudir a unos peritos informáticos , la cuestión que no se reparó, estaba todo mal, bien se infectó por que quedaba rastro en la grabadora, o me viene mal la placa ,y he tenido que pedir las hojas de reclamación.
3tienda, me han dicho que ellos con sus herramientas no encuentran nada, cosa que se me hace dificil de creer, han mirado otra cosa que no les dije , pero bueno, si dicen que el disco duro estaba mal, pues no se, lo han arreglado, y me lo van a devolver igual que se lo di... eso sí , me han dicho que si tengo las sospechas que tengo algo raro, que vaya a un sitio especializado de informática forense... pero ellos no ven nada, me parece increible vamos...
4 tienda, de telefonía, les he explicado el problema, en esta ocasión , sin aportar logs ni nada, simplemete , les he dicho que tenía sospechas por ciertas situaciones que me han pasado con el teléfono, que no tenían explicación si no era por que estaba hackeado, y me lo han cogido a tramitar por garantia, sin ningún problema.
Entonces, yo ya no quiero batallar mucho más con esto, costará lo que costará, pero creo que lo tengo bastante claro, solo quería saber más que nada si los técnicos informáticos profesionales, deberían poder decirme algo más que lo que me han dicho, e incluso repararlo.
Yo he probado de todo practicamente,y la verdad me gustaría saber repararlo, pero como voy a repararlo yo , si tan siquiera soy informático.... vale que se 4 cosas de pelear, pero si unos técnicos profesionales, no pueden ayudarme, como voy a limpiarlo yo, desde mis equipos comprometidos, sin money, y sin posibilidad de pedir ningún favor a nadie....a tener paciencia ..., pronto en un par de meses o un poco antes, tendré algo de trabajo, y podré avanzar con esto, de momento, estoy atascado.
Y llevarlo a unos péritos informáticos como me han recomendado es muy caro, no me explico como un técnico no puede decir nada, cuando hay tantas evidencias... en fin, hubo usuarios que me dijeron, que libra al foro de una tercera entrega, pero ya la ha habido.... en fin lo siento, parece ser que va para largo mi problema....pero bueno, no pensaba volver a poner nada, pero como me lo ha pedido
#!drvy pues lo he puesto.
Por cierto el log de unhide también detecta algo:
Código [Seleccionar]
y@y:~$ sudo unhide checksysinfo
Unhide 20121229
Copyright © 2012 Yago Jesus & Patrick Gouin
License GPLv3+ : GNU GPL version 3 or later
http://www.unhide-forensics.info
NOTE : This version of unhide is for systems using Linux >= 2.6
Used options:
[*]Searching for Hidden processes through sysinfo() scanning
1 HIDDEN Processes Found sysinfo.procs reports 434 processes and ps sees 435 processes
y@y:~$ sudo unhide checksysinfo2
Unhide 20121229
Copyright © 2012 Yago Jesus & Patrick Gouin
License GPLv3+ : GNU GPL version 3 or later
http://www.unhide-forensics.info
NOTE : This version of unhide is for systems using Linux >= 2.6
Used options:
[*]Searching for Hidden processes through sysinfo() scanning
1 HIDDEN Processes Found sysinfo.procs reports 435 processes and ps sees 436 processes
y@y:~$ sudo unhide checksysinfo3
Unhide 20121229
Copyright © 2012 Yago Jesus & Patrick Gouin
License GPLv3+ : GNU GPL version 3 or later
http://www.unhide-forensics.info
NOTE : This version of unhide is for systems using Linux >= 2.6
Used options:
[*]Searching for Hidden processes through sysinfo() scanning
1 HIDDEN Processes Found sysinfo.procs reports 435 processes and ps sees 436 processesPues muchisimas gracias por tu tiempo #!drvy y todo aquel que lo lea.
Y lo dicho si alguien quiere una placa base, a peligro que se le contagie todo, que me lo diga y se la envio.
Yo lo que quisiera saber es como actualizar componente por componente de hardware sin reiniciar o la manera de solucionar esto.
Un saludo.