Merijn.org

Iniciado por Cleantesdeasso, 10 Mayo 2010, 15:33 PM

0 Miembros y 2 Visitantes están viendo este tema.

Cleantesdeasso

Hace 2 semanas le pase el malware bytes en modo a prueba de fallos, y me saco 3 cosillas dañinas, supuse q hasta dentro de un par de semanas, no tendria q hacerlo nuevamente... Pero si Festor, es verdad q cada vez q le paso el malware, sale algo distinto. Y como uno da tantas vueltas, no siempre estoy al loro de lo k pasa. Como puedo saber si esta el uptimer instalado? A simple vista no esta, y desde luego yo no lo instale vaya. Gracias.
"Que no!! q el hash hay q crakiarlo!!"

Novlucker

Con la cantidad de datos que muestra wireshark, difícil resumirlo a una captura de pantalla.
Dejanos el log de hijackthis, o sino mejor uno de Sysinspector ;D
En este último para que no contenga datos personales ve a Archivo > Generar > Para enviar o desde línea de comandos con el parámetro /Privacy ;)

Con este log ya te podré decir algo de las conexiones raras, o si es culpa de software instalado

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Cleantesdeasso

Marcha un log de syspector con patatas. Lástima q tengo la conexión como si hubiera estado toda la noche de marcha con el malo de Robocop 2... (esta bajando a 2,15 kb...). Otra duda: de donde sale tanta maldad?! Q puede estar haciendo quien sea q este trasteando? Mandando spam, o algo mas jodio? Hace cosa de 2 meses, mi mujer tuvo un problema haciendo transacciones con la tarjet de credit... Tendra relación, o sólo será porq yo estoy trasteando?
"Que no!! q el hash hay q crakiarlo!!"

Novlucker

Como poder ser puede ser cualquier cosa, y el quién puede ser cualquiera, el malware se ha ido diversificando :P

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Cleantesdeasso

Novlucker, te lo envie a tu mail... Perdon por mi consabida torpeza, no di con el boton idoneo para enviarlo por aki (de hecho, no se si eso es posible). Gracias de nuevo.
"Que no!! q el hash hay q crakiarlo!!"

Novlucker

De hecho no hay manera de subir archivos, hay que subirlos a servicios "externos", yo lo he hecho para que otros puedan verlo :P
:http://www.mediafire.com/?nckewtzl0zz

Ahí esta, y dejame buscar mejor, pero desde ya lo primero que salta a la vista es un rootkit, esa es la razón por la cual no encuentras el proceso :-\ , y además de seguro tampoco puedes entrar a una cantidad de webs de seguridad, como las webs de AVG, Avast, Kaspersky, Bitdefender y demás

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Cleantesdeasso

 Gracias novlucker, lo suyo es realmente admirable. Lo mismo para Festor, muy agradecido. Lo unico q me kedaria es borrar el maldito rootkit ese... Dejame adivinar, a k no lo puedo borrar "a mano"? Dime q si porfavor, q se puede borrar cojiendolo y dandole a suprimir! XD
"Que no!! q el hash hay q crakiarlo!!"

Cleantesdeasso

Lo dicho: no sale, ni mostrando los archivos ocultos. Pero bueno, en este caso q hago? solo lo puede solucionar otro soft, o manualmente podria? Y prometo invitarte a un vino/chocolatada/agua mineral cara/etc. Gracias.
"Que no!! q el hash hay q crakiarlo!!"

Novlucker

#18
Te lo diré del siguiente modo ..
El rootkit ya tiene su tiempo y es detectado por la mayoría de los AV, así que entiendo que la pc sea una Celeron a 900Mhz con 1Gb de RAM, pero no puedes estar sin AV :-\
:http://www.virustotal.com/analisis/178476ad02c1ed7c22849a8c85e6429b60cb497a18a8c34cd42201731062c4ba-1236810523

Sobre lo de eliminar el rootkit, ... puedes hacer el intento ...

Descarga Process Explorer, ejecutalo y revisa si te aparece el proceso v6msn.exe
Si aparece dale a Kill process tree
Luego toca eliminar el archivo ... Inicio > ejecutar > cmd
Con cd te mueves hasta la carpeta C:\windows\system32 y ejecutas lo siguiente
Código (dos) [Seleccionar]
C:\Windows\System32>attrib -s -h -r v6msn.exe
C:\Windows\System32>del v6msn.exe


Si se elimina simplemente no dirá nada, si no lo encuentra saltará error.

Luego de esto vamos a limpiar el archivo hosts, por lo directamente desde el explorador vas a C:\WINDOWS\system32\drivers\etc, y modificas el archivo hosts (sin extensión) eliminando todas las url que dicen ..
127.0.0.1 www.Merijn.org
127.0.0.1 www.spyware.info
127.0.0.1 www.spybot.info


El archivo te tiene que quedar como el siguiente, así que también puedes copiarlo y pegarlo
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
#
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo "#"
#
# Por ejemplo:
#
# 102.54.94.97 rhino.acme.com # servidor origen
# 38.25.63.10 x.acme.com # host cliente x

127.0.0.1 localhost


Y habiendo limpiado el archivo hosts debemos de pasar al registro de windows
Inicio > Ejecutar > Regedit
Muevete hasta HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run y borra la entrada que se llama MSN6.1 Auto-Updater y tiene por valor v6msn.exe

Todo esto deberías de hacerlo en modo seguro/a prueba de fallos.

Al finalizar, pasa otra vez Malwarebytes, y de ser posible algún AV en modo live-cd, te recomiendo Avira
http://foro.elhacker.net/software/cds_autoarrancables_para_casos_de_emergencia-t204137.0.html

Te bajas la iso (unos 65 Mb), la quemas e inicias la pc booteando desde el cd, luego de iniciado te tiene que dar la opción de cambiar el idioma de alemán a inglés.
Te vas a las opciones de configuración de scan y activas el que se renombren los archivos "maliciosos", porque sino solo te alerta y no hace nada :xD , y luego si comienzas la revisión.

Si llegas a tener problemas con el booteo de este cd, puedes probar con algún otro de los recomendados.

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Cleantesdeasso

Novlucker, si con esta explicacion, no soy capaz de borrarlo, te juro q me corto alguna protuberancia de mi cuerpo. Como siempre, me dejais sin palabras... Gracias de verdad. :)
"Que no!! q el hash hay q crakiarlo!!"