Hola buen dia, recien me doy cuenta que tengo unos intrusos en mi navegador :¬¬ al parecer estan extraiendo informacion de mis consultas en internet y de lo que escribo en las paginas, si alguien se ha tomado con estos scripts, me desactiva, adblock y el firebug en cualquier pagina que visita y ya encontro como resolverlo por favor comenten
hxxp://i.rvzrjs.info/opt_1373887166417/opt_content.js
hxxp://nio.resyncpts.net/amz/aeyJ2ZXJzaW9uIjoiMTE2IiwiY2xpZW50dWlkIjoiI3VpZCMiLCJhZmZpZCI6MTA2MCwic3ViYWZmaWQiOjIwMjAsImhyZWYiOiJodHRwOi8vbG9
hasta el momento son las dos que he esta observando que se llevan informacion de mi navegador.
Gracias, espero puedan hecharme la mano.
Editado por el moderador.
Que navegador usas? prueba a cambiar de navegado y analiza en busca de virus.
Cambia también la contraseña del router por una bastante larga y con buena combinación entre carácteres y números. Escanea los puertos de tu router y como te dice Stakewinner00 analiza en busca de virus.
¿Puede ser que utilices un proxy en tu navegador? Compruébalo y si es así quítalo. Mira también las extensiones que tengas en tu navegador y todos los programas instalados.
Porfavor avisa que esos links explotan la vulnerabilidad de java y toman screenshoots de el navegador y seguramente recoge las password. (CLicke en el link antes de leer el texto)
Escaneando la carpeta appdata con un antivirus cualquiera se arregla.
Gracias por reportarlo Stakewinner00 ;) lo corregí asl ver tu comentario, no me había fijado :-\
(http://img843.imageshack.us/img843/7430/zju.png)
El codigo es largo de pelotas, no entiendo mucho estoy espeso.
Ya lo has solucionado? Con un antivirus se arregla.
La imagen muestra claramente que es un virus. Que gracia me a echo el (eval(function(packer))
Estoy con la conversación del Wireshark :¬¬
Te subiría el script entero pero es largoo (414 KB), no me entero con el final, un montón de líneas tipo:
|puqueuaa|nutabsytb| todos contiene 9 caracteres :huh:
Le hace bufferoverflow?, no lo pillo.
Editado:
CitarYa lo has solucionado? Con un antivirus se arregla.
No lo había entendido, no me hizo ningun cambio, creo tengo java actualizado en la VM, abrí el script con ComodoDragón, por estoy revisando el log de Wireshark y el ProcessMonitor.
Saludos.
Bueno mañana lo miro desde la maquina virtual y comento si conseguí algo y sino pues nada.
PD:En el comentario anterior me confundí y creí que eras el usuario que preguntaba jaja
¿Al acceder a los links dices que hace capturas de las contraseñas almacenadas en el navegador? Creo que fuí el primero en leer el tema y conmigo no creo que funcionara, entre otras cosas porque no tengo java y solo tengo dos contraseñas guardadas. E escaneado appdata y mi av no ha encontrado nada raro.
Nos olvidamos del autor del post :o
Citarme desactiva, adblock y el firebug en cualquier pagina que visita y ya encontro como resolverlo por favor comenten
@Bsuap: Siendo el primer post y sabiendo de antemano que te infecta la máquina deberías haber editado el tag del http (hxxp, htxp, lo que se te ocurra), así no caerían más usuarios. Espero te lo tomes a bien si tus intenciones han sido buenas y quieres eliminar los cambios que te ha hecho.
Saludos.
Ese usuario no creo que vuelva por aquí como mínimo hasta dentro de unos meses.
CitarFecha de registro: 4 Mayo 2011, 19:55
Se registro en el 2011 y en el 2013 publica su primer mensaje :o :o
El script no usa java en si sino javascript. Yo me infecte y tengo java desactivado.
Hoy estudiare un poco el virus pero cuando me infecte vi que las pestañas guardadas desaparecieron y se saltaba la configuración de firefox.
Otra cosa, alguien más ve links en textos donde no en realidad no hay links?
Por ejemplo en el post de OmarHack en la palabra java me sale este link i.tracksrv.com/click?v=RVM6MjUwNzk6MTE1MDpqYXZhOmRjYzk1ODE0ZjFjNzYyZmQ2YzM5YTMwOTE3OGRhMzcxOnotMTU0My0yMDA1Njk6Zm9yby5lbGhhY2tlci5uZXQ6MDow
Buena pinta no tiene. Cuando refresco la pagina el link ya no existe.
En Google Chrome no e notado nada raro.
¿Podéis explicármelo como si fuera retra?
¿Cómo se puede desempaquetar el javascript para analizarlo?