Mensajes

no solo rootkits!
lo mejor será que arrancas tu pc con un live CD, e intentes copiar los archivos de c:\windows\repair\ a c:\windows\system32\config
nota:
al hacer esto, lo que se hace es  resetear el registro de  windows.
programas  instalados, cuentas de usuario,etc.
solo intentalo si es lo último antes del formateo.

igual:
inicio>ejecutar>msconfig
desactiva las cosas de c:\windows\
menos el ctfmon.exe y alguno mas, los demás   son todo malware.
una solución sería resetear la db de users borrando tu id desde el regedit, y luego  resetear la  sdt , y las keys services usando el archivo system de la carpeta de repair.
pero bueno, es más simple formatear si no    tienes mucha idea sobre el funcionamiento  interno de windows, y que seguramente si intentas sacar todo a mano,  terminaras formateando.
saludos

hagan un uplate a la página del staff!
http://www.elhacker.net/staff.html

falta gente!
saludos ,

otra manera es usar WMIC
inicio>ejecutar>wmic
escribe baseboard
saludos

aguante novlucker!

saludos

yo hace tiempo tenía el mismo problema.
abrí el regedit, fui a edición>buscar
puse el id de la cuenta, y borre todas las keys que  contenían ese id.
claro que, antes de hacer esto hice un backup del registro.

por si acaso, pasa algún antirootkit como ser gmer.

si  sospechas de un troyano, puedes usar  cport de nirsoft para ver   los sockets de tu pc.

creo que hay  cuentas que  las usan algunos servicios de windows como el de index server .
en este caso, antes de hacer  algo  desactiva este  tipo de  servicios desde services.msc.
por último, decir que desde cmd dispones de las utilidades net user, y net localgroup.
la tool que menciona novlucker nunca la he usado, ahora  veo como se usa y edito.
saludos!!
edito:
la tool es de  commandline, copia el archivo a el disco c, abri un cmd desde inicio>ejecutar>cmd y escribe:
cd /d c:\
psgetsid
listo!
pd:
no entiendo bien lo que hace, amí solo me  mostró el id del user actual (winroot\administrador),  aunque me imagino que muestra todos los id, y en mi pc no hay otro usuario.
abre inicio>ejecutar>regedit
abre edición y selecciona buscar.
escribe ese id de la  cuenta, y pon aquí las keys donde aparece.
igual, sigo con la idea de que sería bueno que pases un antirootkit.
saludos!

para nada, creo que lo que podría ser es que eres  muy sinsero, para ser que esto es un foro.

pero no, junto con novlucker son  buenos moderadores.

además, eres de la gente que admiro mas del foro.
saludos!

tienes que saber en que archivo guarda el reporte, para luego poder abrir ese archivo desde otra partición.
para saber eso, puedes usar   cualquier herramienta que monitorice  las apis de windows, como ser process monitor de sysinternals.
mira las llamadas a las apis de ese proceso, en especial las de createfile y las que   manipulan ficheros.
el process monitor es free, y portable.
saludos

Bueno tampoco ai pork enfadarse con k me digais como saber las ip de los ordenadores en una red LAN me basta, es para probar en casa (trankilos por ahora dejare al profe en paz xDDD)

lee,leee,leeee,lee,leeee,etc,etc,etc.
quiero hacer ecuaciones, pero no tengo idea ni de números, ni de operaciones, ni de propiedades.
esto es lo mismo, si quieres aprender esas cosas, estudia programación, redes, sistemas  operatibos,etc
saludos!

hay mucha info en google  
http://www.kriptopolis.org/alternate-data-streams-ntfs
http://multingles.net/docs/jmt/ntfs_ads.htm

Tu mismo pones en el tuto que hay mas ADS's

usar ADS!
intenta buscar el ADS con alguna tool
como recuperamos el ADS?

ADS= alternate data streams

PD: si, es algo curioso xD

lo que descubri no son los ADS.
la idea es que, es una manera de que no se puedan identificar y, al mismo tiempo el archivo no se puede eliminar.

cuando lo descubrí, me costó una semana mas o menos eliminar el archivo, y alfinal era desde ejecutar xd.
saludos!

wenas!
seguramente, en mas de una oportunidad trataron de dejar el nombre de un archivo en blanco, y windows les tiró un error.
asique bueno, el otro día me puse a jugar un  poco con el notepad desde ejecutar, y el parámetro que se le pasa que es el nombre del archivo.
asique bueno, hagamos lo  siguiente:
inicio>ejecutar>
notepad c:\
nota:  es importante dejar el espacio en blanco luego de la \.
como no existe el archivo, nos  preguntará si queremos crearlo.
le damos que si.
escribimos   cualquier cosa, y lo cerramos.
ahora abrimos el disco c, y miramos que nos creo el archivo en blanco, pero que no es lo que buscamos, ya que le pone .txt y tmb es parte del nombre.
entonces?
usar ADS!
abramos ejecutar,  y escribamos:
notepad c:\ : s.txt
nota: es importante que lo copien de manera textual,  siguiendo los espacios en blanco.
demos entter.
nos preguntará si queremos crearlo, le damos que si.
escriban algo, y guarden .
ahora, abran el disco c.
logramos crear un archivo en blanco!
esto no es todo, intenta hacer alguna operación sobre el mismo usando el explorador de windows.
intenta eliminarlo:
Error al borrar un archivo o carpeta
No se puede eliminar  Archivo: No se puede leer del disco o archivo de origen.
Aceptar 
esto no es todo, intenta buscar el ADS con alguna tool.
no lo encuentra!
por esto mismo, otro fin que se le puede dar a esto es ocultar los ADS.
como recuperamos el ADS?
en ejecutar, escribimos:
notepad c:\ : s.txt
y abre con lo que escribieron!

bue, ahora lo mas importante ¿como eliminamos ese archivo?
jajaja, también usaremos ejecutar.
escriban:
cmd /c del /q c:\
atención!:
es muy importante dejar el espacio en blanco luego de la \ !


bueno, solo era eso.
aclaraciones:
.fs:ntfs
.os:windows xp
. sp:sp2
un contacto en el msn también hizo lo mismo,  dando el mismo resultado en un windows xp sp3.
se que no es la gran cosa, pero es algo que me  llamó la atención.
me imagino que ya alguien sabía de esto, no encontre info en google al respecto, pero me imagino que no descubrí nada.
saludos y suerte!