Mensajes

Que es esto?

Código [Seleccionar] Expandir


C:\DOCUME~1\Quique\CONFIG~1\Temp\RtkBtMnt.exe

Intenta abrir inicio>ejecutar>cmd
Escribe taskkill /f /im RtkBtMnt.exe
pulsa entter y luego escribe exit para cerrar.
Además, estos programas al inicio:

Código [Seleccionar] Expandir



O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
o4 - HKLM\..\Run: [M3000Mnt] Rundll32.exe M3000Rmv.dll ,WinMainRmv /StartStillMnt
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE






Saludos

taskmgr.exe es el de administrador de tareas!!
A menos claro que haya un virus que lo haya infectado, o que haya creado otro taskmgr.exe en un lugar distinto a %windir%.

en realidad también se pede hacer algo similar utilizando la key Image File Execution Options, que asocia un ejecutable con un debugger.
de todos modos, hay que esperar, yo no entendí  nada .
saludos

buenas!
si no mal recuerdo, ese exe es el del  administrador de tareas ^^.
envía un log de hijackthis, y explicate un poco más.
Descarga hijackthis desdde:
http://free.antivirus.com/hijackthis/
Saludos

buenas!
Bien, me imagino que si son ocultas las visualizaste con algún anti rootkit como gmer o el de sysinternals.
Bien, ese sid es el sid de tu usuario ?
Me refiero a todo lo raro que está después de HKU\sid\software.
ese sid es el mismo de hkcu?
Si no estás seguro, usa la utilidad psgetsid de sysinternals.
La key ext Sinceramente no tengo idea de que es, parece que tiene que ver con ie, pero ni idea.
Lo demás parece de yahoo, que como no lo uso tanpoco ni idea
Me preocuparía un poco por la de ext, creo que el resto no es nada...
Saludos

Buenas!
Primero que nada, creo que tendrás que matar a explorer.exe, y luego usar algún programa de manejo de ficheros, por ejemplo winrar.
Luego de esto, abre %userprofile%>configuración local>
Elimina la carpeta historial, archivos temporales de internet,etc
Por último, creo que lo más importante en todo caso es saber si esa información la envía a algún lado, por lo que snifear un rato no vendría mal ^^.
Y de última, como dice novlucker, usar el procmon, aunque de solo pensarlo de da dolor de cabeza ^^.
Abrazo

Edito:
Justo cuando escribía estaba instalando el msn y ...
Ayuda a mejorar Windows Live
Ayúdanos a mejorar los programas de Windows Live permitiendo que Microsoft
recopile información sobre tu sistema y el uso que haces de nuestro software. Estos
datos no se usarán para identificarte personalmente. Más información
Continuar
será eso?
Saludos

Buenas!
Primero que nada, te recomiendo correr la utilidad msconfig (inicio>ejecutar>msconfig), y dejar en off lo que no uses.
Aquí  está todo lo que  no me parece familiar. desdeluego,  no todo lo que pondré aquí es malware, ya que el log es muy largo, y me tendría que poner a buscar en google.

Código [Seleccionar] Expandir



C:\WINDOWS\system32\mfevtps.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe
C:\Archivos de programa\Taskbar Shuffle\taskbarshuffle.exe








O2 - BHO: CDelHotkeys Object - {78875F5C-A685-4405-8DC5-D48DC65452B0} - C:\Archivos de programa\Delicious Add-on for Internet Explorer\DeliciousExtension.dll






O2 - BHO: WOT Helper - {C920E44A-7F78-4E64-BDD7-A57026E7FEB7} - C:\Archivos de programa\WOT\WOT.dll




O3 - Toolbar: Delicious Toolbar - {61D1C847-DF80-423A-8C6D-DC03B97E6EBE} - C:\Archivos de programa\Delicious Add-on for Internet Explorer\DeliciousExtension.dll
O3 - Toolbar: WOT - {71576546-354D-41c9-AAE8-31F2EC22BF0D} - C:\Archivos de programa\WOT\WOT.dll




O4 - HKLM\..\Run: [BGInfo Mdef] c:\windows\Web\Wallpaper\Bginfo.exe /iq /silent c:\windows\Web\Wallpaper\ccea.bgi /timer:0















O4 - HKCU\..\Run: [Taskbar Shuffle] C:\Archivos de programa\Taskbar Shuffle\taskbarshuffle.exe

















O9 - Extra button: Delicious - {2C887991-08F0-11DC-A9B2-0012F0B227DD} - C:\Archivos de programa\Delicious Add-on for Internet Explorer\DeliciousExtension.dll
O9 - Extra button: Bookmarks - {2C887992-08F0-11DC-A9B2-0012F0B227DD} - C:\Archivos de programa\Delicious Add-on for Internet Explorer\DeliciousExtension.dll
O9 - Extra button: Tag - {2C887993-08F0-11DC-A9B2-0012F0B227DD} - C:\Archivos de programa\Delicious Add-on for Internet Explorer\DeliciousExtension.dll
O9 - Extra button: (no name) - {4E660F19-E91E-41E1-88EF-D1DFAB118F67} - C:\Archivos de programa\Internet Explorer\Plugins\Drowse\MouseGestures.dll
O9 - Extra 'Tools' menuitem: Mouse Gestures... - {4E660F19-E91E-41E1-88EF-D1DFAB118F67} - C:\Archivos de programa\Internet Explorer\Plugins\Drowse\MouseGestures.dll

O18 - Protocol: wot - {C2A44D6B-CB9F-4663-88A6-DF2F26E4D952} - C:\Archivos de programa\WOT\WOT.dll
O22 - SharedTaskScheduler: FencesShellExt - {1984DD45-52CF-49cd-AB77-18F378FEA264} - C:\Archivos de programa\Stardock\Fences\FencesMenu.dll













O23 - Service: OKI OPHC DCS Loader - Oki Data Corporation - C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\OPHCLDCS.EXE



Mira de lo anterior las cosas que no conozcas, y desmarcalas desde el hijackthis mismo.

Si el problema sigue, envía un log de la utilidad autoruns de sysinternals, no sin antes borrar lo que no uses del inicio con msconfig y servicios con services.msc.

Saludos

Buenas!
El problema es que, que desde mi punto de vista, para una solución de seguridad, no debe ser tan simple distinguir entre lo bueno y lo malo.
Netcat, Lo puede usar desde un lamer hasta un analista forense para enviar un dump de ram a su computador.
Como siempre, es mucho mejor estar de user que estar de admin.
Lo que hago yo es:  crear una cuenta de administrador y otra de usuario.
Cuando quiero hacer algo en la cuenta de usuario, voy a la de admin y uso el comando net localgroup y agrego al usuario al grupo administrador.
Recordar también, que el firewall de windows, no se le pueden exceptuar puertos modificando la key de su servicio si el usuario está como usuario, ya que no se puede modificar las keys de hklm.

Claro que, como dice novlucker, hay que tener un buen firewall, además de, todo a la fecha (so,navegador,etc).
Saludos

Muchas gracias !
abrazo

Buenas!
Creo que algo de código vale mas que mil palabras

Código (cpp) [Seleccionar] Expandir


#include<iostream>
#include<stdlib>
using namespace std;
int main(int argc,char* argv[])
{
if(argv[1]=="hola") cout <<"Es hola" <<endl;
else cout <<"No es hola" <<endl;
cin.get();
return 0;
}

a.exe hola
Salida:
No es hola
Bien, se supone que, si argv[1]=="hola" salida: es hola.
Pero...¿Porqué esto no es así?
Me di cuenta de esto cuando traté de escribir un programa muy simple que use la api de windows RegQueryInfoKey, que mostrara la última escritura hecha en una key que se le pasara como parámetro.
La idea era tener una variable gloval root del tipo HKEY,Y según aargv[1] fuera hklm,hkcu..., asignar a la variable root HKEY_LOCAL_MACHINE,etc.
Luego usaría la función RegOpenKeyEx, para abrir el árvol que esté en root, seguido de la key pasada en argv[2].
Bueno, gracias por leer y abrazo.

Buenas!
Porhoy  he vuelto... :Xd
Hoy justo ha vuelto internet, pero me mudo mañana
Sobre el topic, vastaría con mandar a mu/rs la carpeta %windir%\system32\config, y el fichero ntuser.dat de %userprofile%.
Luego alguno de nosotros usando el regedit  montaba los ficheros software/system.
Abrazo