Intruso en mi navegador

Bsuap · 15 Julio 2013, 17:19 PM

Hola buen dia, recien me doy cuenta que tengo unos intrusos en mi navegador

al parecer estan extraiendo informacion de mis consultas en internet y de lo que escribo en las paginas, si alguien se ha tomado con estos scripts, me desactiva, adblock y el firebug en cualquier pagina que visita y ya encontro como resolverlo por favor comenten

hxxp://i.rvzrjs.info/opt_1373887166417/opt_content.js

hxxp://nio.resyncpts.net/amz/aeyJ2ZXJzaW9uIjoiMTE2IiwiY2xpZW50dWlkIjoiI3VpZCMiLCJhZmZpZCI6MTA2MCwic3ViYWZmaWQiOjIwMjAsImhyZWYiOiJodHRwOi8vbG9

hasta el momento son las dos que he esta observando que se llevan informacion de mi navegador.

Gracias, espero puedan hecharme la mano.

Editado por el moderador.

Stakewinner00 · 15 Julio 2013, 19:52 PM

Que navegador usas? prueba a cambiar de navegado y analiza en busca de virus.

OmarHack · 15 Julio 2013, 20:21 PM

Cambia también la contraseña del router por una bastante larga y con buena combinación entre carácteres y números. Escanea los puertos de tu router y como te dice Stakewinner00 analiza en busca de virus.
¿Puede ser que utilices un proxy en tu navegador? Compruébalo y si es así quítalo. Mira también las extensiones que tengas en tu navegador y todos los programas instalados.

Stakewinner00 · 15 Julio 2013, 21:16 PM

Porfavor avisa que esos links explotan la vulnerabilidad de java y toman screenshoots de el navegador y seguramente recoge las password. (CLicke en el link antes de leer el texto)

Escaneando la carpeta appdata con un antivirus cualquiera se arregla.

r32 · 16 Julio 2013, 00:19 AM

Gracias por reportarlo Stakewinner00

lo corregí asl ver tu comentario, no me había fijado $:-\$

El codigo es largo de pelotas, no entiendo mucho estoy espeso.

Stakewinner00 · 16 Julio 2013, 00:21 AM

Ya lo has solucionado? Con un antivirus se arregla.

La imagen muestra claramente que es un virus. Que gracia me a echo el (eval(function(packer))

r32 · 16 Julio 2013, 00:56 AM

Estoy con la conversación del Wireshark

Te subiría el script entero pero es largoo (414 KB), no me entero con el final, un montón de líneas tipo:

Código [Seleccionar]

|puqueuaa|nutabsytb|

todos contiene 9 caracteres

Le hace bufferoverflow?, no lo pillo.

Editado:

CitarYa lo has solucionado? Con un antivirus se arregla.

No lo había entendido, no me hizo ningun cambio, creo tengo java actualizado en la VM, abrí el script con ComodoDragón, por estoy revisando el log de Wireshark y el ProcessMonitor.

Saludos.

Stakewinner00 · 16 Julio 2013, 01:09 AM

Bueno mañana lo miro desde la maquina virtual y comento si conseguí algo y sino pues nada.

PD:En el comentario anterior me confundí y creí que eras el usuario que preguntaba jaja

OmarHack · 16 Julio 2013, 01:24 AM

¿Al acceder a los links dices que hace capturas de las contraseñas almacenadas en el navegador? Creo que fuí el primero en leer el tema y conmigo no creo que funcionara, entre otras cosas porque no tengo java y solo tengo dos contraseñas guardadas. E escaneado appdata y mi av no ha encontrado nada raro.

r32 · 16 Julio 2013, 01:52 AM

Nos olvidamos del autor del post

Citarme desactiva, adblock y el firebug en cualquier pagina que visita y ya encontro como resolverlo por favor comenten

@Bsuap: Siendo el primer post y sabiendo de antemano que te infecta la máquina deberías haber editado el tag del http (hxxp, htxp, lo que se te ocurra), así no caerían más usuarios. Espero te lo tomes a bien si tus intenciones han sido buenas y quieres eliminar los cambios que te ha hecho.

Saludos.