Mensajes

hola!
lo que agregue un ; me suena a que es un filtro de xss.

y si es eso, no creo que se pueda hacer.

saludos!

hola
para el monxga32.exe   abres un cmd y escribes:

Código [Seleccionar] Expandir


dir /b /s c:\monxga32.exe


si no lo encuentra, escribe:

Código [Seleccionar] Expandir


dir /as /ah /ar /s /b c:\monxga32.exe



ahora, para lo del svchost me temo que:
. el malware se instalo como servicio.
.tienes servicios que sobran.
abri un cmd y escribi net  start para saber que servicios estan corriendo.
saludos!

hola,
y sigue el monxga32.exe
al inicio
no es muy complicado abrir el  msconfig y desactivarlo.

el resto es usar  la tool svchost analicer .

saludos,

hola a todos!
mire el log de process monitor, pero muy por   arriva.
hoy de tarde, lo miro con mas detenimiento y filtrando  procesos, ya que hoy lo mire filtrando el createfile, pero igual son muchos procesos.
de todas maneras, quiero compartir con ustedes las conexiones que estavan activas, y digan si notan algo raro.
ESET SystemStatus log, versions: ev 1213 (20090423), gv ESI 1.2.012.0, lv 1.0
Session start: 20 Apr 2010, 22:00:19
Session end: 20 Apr 2010, 22:03:22
Flags: 32bit, AntiStealth
Description: SysInspector-HP11-100420-2200

03) TCP connections:- Active connection: 127.0.0.1:49423 -> 127.0.0.1:9051, owner: c:\program files\vidalia bundle\vidalia\vidalia.exe
- Active connection: 127.0.0.1:49424 -> 127.0.0.1:49425, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 127.0.0.1:49425 -> 127.0.0.1:49424, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 127.0.0.1:9051 -> 127.0.0.1:49423, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60157 -> 212.42.236.140:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60161 -> 213.115.239.118:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60162 -> 79.222.111.15:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60163 -> 84.29.243.11:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60164 -> 91.121.162.67:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60165 -> 80.239.147.18:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60166 -> 91.143.90.155:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60167 -> 87.118.104.203:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60168 -> 87.234.224.85:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60169 -> 217.160.111.190:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60170 -> 192.251.226.206:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60173 -> 94.128.51.192:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60175 -> 208.100.43.23:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60176 -> 124.217.239.196:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60177 -> 61.82.139.228:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60179 -> 184.73.128.156:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Active connection: 192.168.2.2:60180 -> 212.22.205.42:443, owner: c:\program files\vidalia bundle\tor\tor.exe
- Listening on *, port 135 (epmap), owner: c:\windows\system32\svchost.exe
- Listening on *, port 49152, owner: c:\windows\system32\wininit.exe
- Listening on *, port 49153, owner: c:\windows\system32\svchost.exe
- Listening on *, port 49154, owner: c:\windows\system32\svchost.exe
- Listening on *, port 49155, owner: c:\windows\system32\svchost.exe
- Listening on *, port 49156, owner: c:\windows\system32\lsass.exe
- Listening on *, port 49157, owner: c:\windows\system32\services.exe
- Listening on *, port 80 (http), owner: c:\program files\apache group\apache2\bin\apache.exe
- Listening on *, port 912, owner: c:\program files\vmware\vmware workstation\vmware-authd.exe
- Listening on 127.0.0.1, port 8118, owner: c:\program files\vidalia bundle\polipo\polipo.exe
- Listening on 127.0.0.1, port 9050, owner: c:\program files\vidalia bundle\tor\tor.exe
- Listening on 127.0.0.1, port 9051, owner: c:\program files\vidalia bundle\tor\tor.exe
- Listening on 192.168.2.2, port 139 (netbios-ssn), owner: System
- Listening on 192.168.31.1, port 139 (netbios-ssn), owner: System
- Listening on 192.168.87.1, port 139 (netbios-ssn), owner: System

04) UDP endpoints:
- 0.0.0.0, port 123 (ntp), owner: c:\windows\system32\svchost.exe
- 0.0.0.0, port 3702, owner: c:\windows\system32\svchost.exe
- 0.0.0.0, port 3702, owner: c:\windows\system32\svchost.exe
- 0.0.0.0, port 4500, owner: c:\windows\system32\svchost.exe
- 0.0.0.0, port 500 (isakmp), owner: c:\windows\system32\svchost.exe
- 0.0.0.0, port 5355, owner: c:\windows\system32\svchost.exe
- 0.0.0.0, port 65257, owner: c:\windows\system32\svchost.exe
- 127.0.0.1, port 1900, owner: c:\windows\system32\svchost.exe
- 127.0.0.1, port 57640, owner: c:\windows\system32\svchost.exe
- 192.168.2.2, port 137 (netbios-ns)
- 192.168.2.2, port 138 (netbios-dgm)
- 192.168.2.2, port 1900, owner: c:\windows\system32\svchost.exe
- 192.168.2.2, port 57637, owner: c:\windows\system32\svchost.exe
- 192.168.31.1, port 137 (netbios-ns)
- 192.168.31.1, port 138 (netbios-dgm)
- 192.168.31.1, port 1900, owner: c:\windows\system32\svchost.exe
- 192.168.31.1, port 57639, owner: c:\windows\system32\svchost.exe
- 192.168.87.1, port 137 (netbios-ns)
- 192.168.87.1, port 138 (netbios-dgm)
- 192.168.87.1, port 1900, owner: c:\windows\system32\svchost.exe
- 192.168.87.1, port 57638, owner: c:\windows\system32\svchost.exe

05) DNS server entries:
sobre todo, los puertos listening arriva del 40000, para mi son raros, pero por si acaso...
bueno, hoy de tarde sin falta miro bien el log de process monitor y el de autoruns.

saludos!

hola!
me voy un día, y pasa todo lo interesante 
cuando saques ese falso av, entra a inicio>ejecutar y escribe msconfig
desactiva todo menos el avira, y reinicia.
ahora, pasa la  tool que menciona novlucker, un antirootkit, y manda  otro log de hjt.


luego de esto, tendremos que eliminar los archivos.
una aclaración, para ver archivos ocultos, teines que tener   desactivada la opción ocultar archivos protegidos del sistema  operativo, o algo así dice.


aunque, para borrar ese archivo que dice skapunky, solo es poner  en un cmd:

Código [Seleccionar] Expandir


cd /d c:\
del /s /q  archivo

si existe, se eliminara .
aunque, si tiene el  atributo +h+s, tendras que usar antes de ejecutar el comando del:
attrib -h -s -r archivo
bueno, espero que esto te sea   útil de alguna  manera.
saludos!

hola!
primero que nada, les pido disculpas por no responder antes.
es que, me hacia falta salir un poco del pc, y tomarme un día libre.
aquí  en uruguay, ya es tarde, prometo que maniana miro el log de process monitor y notifico mis  conclusiones 
mis disculpas nuevamente, y saludos!

hola
muy buen aporte shellroot.

cuando lo termines, mejor pones un link a un pdf y listo.

saludos

Pero si lo deja 20 minutos, va a necesitar 2 días para subir el log ... un log de booteo de win por ejemplo pesa 100 mb, y eso que son 2 minutos

Saludos

jjaja,se me paso eso

igual, creo que con 5 minutos sera suficiente, yo porque  algunos  malware solo actuan cada una cantidad de tiempo.

igual, que mande lo que tenga,  si no te molesta novlucker, tu  miras los logs de   sysinspector y eso, y yo miro el de process monitor.
mas que nada para  repartir la tarea.
saludos!

hola!



al process monitor, dejalo como  20 minutos, luego guarda el log.

saludos 

c++,javascript y php.

por cierto, batch lo manejo pero no me parece un  lenguaje de programacion, por eso no lo puse.

saludos