Merijn.org

Iniciado por Cleantesdeasso, 10 Mayo 2010, 15:33 PM

0 Miembros y 1 Visitante están viendo este tema.

Novlucker

De nada, pero procura no cortarte nada que puedo estar equivocado al dar la respuesta :xD

Saludos y suerte

P.d: le he agregado algo que se me pasaba :P
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Cleantesdeasso

#21
Despues de horas luchandosin lograr aparentes resultados, me fui al bar, me cante 4 bulerias, me bebi la correspondiente ginebra, y hoy me levante con ganas de vencer... No pude borrarlo, ni desde el msdos, ni nada, pero si entre en unos menus q ni sabia q existian, donde pregonaban no se q tipo de permisos, y aparecia esa bendita direccion (127.0.0.1) y se asociaba con merijin.org, asi q le di a unos cuantos botones y parece q se calmo... en el archivo host, aparentemente, no habia nada, pero si bajabas salian mas de 40 direcciones asociadas , todas de seguridad informatica, como bien habias profetizado. Borre todo, e incluso, hay otro archivo host, q pone "host.msn", y otro "host.bak". El bak me lo puedo tragar, pero el q pone msn, mmm.-.. de beria borrarlo? Bueno, ahi esta. En el registro entre recien, y dando bandazos, al fin di con el maldito rootkit, q estaba en otro sitio :hkey-current user/software/microsoft/windows/shellnoroam/MUIcache
Borre esa entrada, y ahora en el netstat no aparecen tantas conexiones: vamos por el buen camino. Todavia no pase el antivirus, per o gracias a tu orientacion, ahora internet furula guay :), q ayer me ponia mas trabas q la ONU. Intente de nuevo borrarlo, pero no hay manera. Cuando logre borrarlo del  todo (seguro q esta tarde) , dare el parte de buenas noticias. Gracias.

Edit: en el registro, hay muchas mas entradas por todos lados... suprimosuprimosuprimosurmano
"Que no!! q el hash hay q crakiarlo!!"

Novlucker

#22
Lo había adelantado, no podía ser tan fácil :xD
Los rootkits no son nada faciles de eliminar, aunque el que no debería de tener problemas es Avira ya que hace todo antes de que inicie el SO, y por ende el malware.
Lo de los archivos host, no tengo esos que mencionas, quizás deberías de abrirlos con el bloc de notas a ver que contienen :-\
Lo que no hayas encontrado la entrada de registro me hace suponer que el bicho sigue "en la vuelta", además de que en MUIcache se guardan las aplicaciones que se han ejecutado durante la sesión actual, con lo cual ... :-\

No va a ser fácil! :D

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Cleantesdeasso

Q va, sigue dando x cool. Voy a ver si pasa algo con avira, q encima tengo un dolor de muelas q me estoy dando la cabeza contra la pared.
SAlu2 y gracias, aver si hay un poco de suerte. Con el process exxplorer, mate unos cuantos, pero siempre, o volvian, o el sistema crasheaba. No pude ni pararlo un segundo vaya. Termine por crashearme XD
"Que no!! q el hash hay q crakiarlo!!"

Cleantesdeasso

 Bueno, no pude bajar nada, porq se van jodiendo las conexiones, y la tasa de transferencia se keda seca. Para 10 megas llego a decirme q faltaban como 6 horas, jja. Pero si borre 3 backdoors, y di al fin con la entrada de registro a la q te referias (ayer por razones mágicas no daba con ello... seria la ginebra?). Ahora se conecta a otros sitios igual de misteriosos, pero con mas furia, porq en los procesos, se dispararon un monton de iconitos de java, no se q es... Ahora digo yo: q provecho saca el k me lo metio? tengo alguna manera de saber de donde vino el rootkit? Podia contactar con la persona q lo metio? Se supone q si esta usando los recursos de esta makina para su beneficio, tiene q estar del otro lado, o solo instalo un bot q se bootea solo? Ay cuantas preguntas, y q poco cerebro me keda...
"Que no!! q el hash hay q crakiarlo!!"

Novlucker

#25
Como bien dices puede ser "simplemente" un bot, y los usos que les pueden dar son muuuuchos.

Te ha dejado borrarlo o simplemente sigue iniciando y recuperandose? (supongo que esta última XD)
Iconitos de java? Mmmmm, intenta ver a donde se conecta cuando saltan esos iconitos, quizás puedas colgar un log pcap de unos 5 minutos de wireshark (como salen direcciones IP quizás prefieras enviarmelo por privado)

Si tu problema sigue siendo por ejemplo ingresar a la web de avira para bajar el rescue cd, he subido la iso aquí :P (actualizada a día de hoy)
http://www.mediafire.com/?etjzynzyjzx

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Cleantesdeasso

Gracias novlucker, pero la cosa esta tan mala con las descargas, q tendre q irme a un cibercafe a descargar el Avira, porq otra cosa ya no se me ocurre...ah si, pasar de windows ya de una vez por todas, e instalar el ubuntu q lo tengo alli mirandome como diciendo "todavia sigues con esa basura?"... pero claro, si no puedo con esta basura, ahora imaginate con linux...
Volviendo al tema, hay un proceso de llamada a procedimiento remoto, (rpc) o algo asi, q no lo puedo matar porq se va el sitema al garete... tiene q ver seguro, no?
Bueno seguire intentando bajarme esta imagen, y a ver si el enemigo tiene un poco de compasion, o le empiezo a rezar a San Altair 8080.
"Que no!! q el hash hay q crakiarlo!!"

Cleantesdeasso

#27
 LOgre descargarme el Avira!! (trompetas suenan de fondo). Ahora me conecte desde otro AP, y he podido descargarlo... tal vez porq el atacante contaba con la otra ip desde la cual me conectaba? Dudas, y mas dudas... Esta tarde cuando termine de desinfectarlo (si Dios quiere...), vuelvo a postear, y te paso la pcap del wireshark novlucker, a ver si me aclaras algo de lo k estaba ocurriendo (siempre y cuando no haya agotado tu paciencia virtuosa). MUCHAS GRACIAS!!

(nota: incluso el dolor de muelas parece haber disminuido con el buen hacer!)

Edit: la muela va mejor con los antibioticos, pero el antibiotico de la Pc, se colgó no se porq razón, antes de la mitad del proceso de scaneao... Volvere a pasarlo. Tambien me ponia en record, unos cuantos archivos del Metasploit, supongo q por su codigo esotérico. Y asi con algunos otros programas q he descargado desde enlaces de aki... es verdad novlucker, no se puede vivir sin un antivirus...

editdenuevo: ahora si q si, termino y podemos decir q se acabo el tormento (suena de fondo la cabalgata de la valkyria), asi q lo único q me keda es poner el antivirus. A ver cual recomiendan los expertos... OS quiero  ;-)

Recontraedit: he descubierto q me habia abierto otra cuenta en el PC, con privilegios (supongo de root, siempre quise decir eso, jaja), con nombre de "Administradores", asi con mayusculas, q no me habia percatado de su existencia (mas q nada por q no se si realmente existia antes del rootkit...).
Por si a alguien le sirve. exit os
"Que no!! q el hash hay q crakiarlo!!"