¿Spyware en Windows Live Messenger?

Novlucker · 3 Diciembre 2010, 15:37 PM

Raro $:-\$
Yo haría lo siguiente:

Limpiar historial y volver a realizar un volcado, aunque esto es algo irrelevante si estas seguro de que el IE no tiene nada que ver
"Golpearme" con el Process Monitor viendo a donde accede el msnmsgr.exe (tener en cuenta que primero se ejecuta el log) . En el peor de los casos comparar los accesos contra los que realiza firefox.exe

Saludos

aaronduran2 · 3 Diciembre 2010, 20:59 PM

No encontré nada raro, solo esto:

TCP Receive     activate.adobe.com:2446 -> activate.adobe.com:2462
TCP Disconnect  activate.adobe.com:2446 -> activate.adobe.com:2462
TCP Disconnect  activate.adobe.com:2462 -> activate.adobe.com:2446

Novlucker · 3 Diciembre 2010, 21:05 PM

No entendí, eso de donde sale?

... eso no es del Process Monitor

Saludos

aaronduran2 · 3 Diciembre 2010, 22:46 PM

Sí sí, es del Process Monitor, con el filtro para el proceso del WLM. Por eso me pareció extraño:

Novlucker · 3 Diciembre 2010, 23:16 PM

Aaaa, es verdad supongo que es del flashplayer

A ver si luego tengo algo de tiempo y vuelvo a mirar.
[Edito]
Me parecía conocida la manera en la que aparecían las url al visualizarlas, es igual que en el index.dat(cache) de IE. He limpiado por completo el IE y he vuelto a sacar dump del WLM, y efectivamente no ha vuelto a salir ninguna de esas direcciones que tenía antes, solo las referentes a las publicidades que ves al ingresar.

Insisto en que no podría haber nada que no haya sido visualizado desde Internet Explorer en ese volcado de memoria

Saludos

aaronduran2 · 4 Diciembre 2010, 02:07 AM

Lo hice, limpié todo el caché de navegación de IE, cookies, formularios, etc., incluso con el CCleaner, y me siguen apareciendo cosas que no debería:

Código [Seleccionar]

http://www.acunetix.com/general/images/banners/mini_banner.jpg
Cookie:aarón@acunetix.com/
http://clients1.google.es/complete/search?hl=es&client=hp&expIds=27606,27659&q=smc&cp=3

Hay multitud de referencias a búsquedas en Google que hice desde Firefox, y lo de arriba tan solo lo visité en Firefox.

Novlucker · 4 Diciembre 2010, 02:34 AM

Y revisando las urls en el index.dat directamente? esta limpio este archivo?

Saludos

winroot · 4 Diciembre 2010, 07:23 AM

Buenas!
Primero que nada, creo que tendrás que matar a explorer.exe, y luego usar algún programa de manejo de ficheros, por ejemplo winrar.
Luego de esto, abre %userprofile%>configuración local>
Elimina la carpeta historial, archivos temporales de internet,etc
Por último, creo que lo más importante en todo caso es saber si esa información la envía a algún lado, por lo que snifear un rato no vendría mal ^^.
Y de última, como dice novlucker, usar el procmon, aunque de solo pensarlo de da dolor de cabeza ^^.
Abrazo

Edito:
Justo cuando escribía estaba instalando el msn y ...
Ayuda a mejorar Windows Live
Ayúdanos a mejorar los programas de Windows Live permitiendo que Microsoft
recopile información sobre tu sistema y el uso que haces de nuestro software. Estos
datos no se usarán para identificarte personalmente. Más información
Continuar
será eso?
Saludos