Problemas con las tildes

Iniciado por Castiblanco, 16 Diciembre 2010, 13:17 PM

0 Miembros y 1 Visitante están viendo este tema.

Arcano.

#10
Buenas,

winroot

CitarSi sospechas que el malware se carga en WindowsNt

Efectivamente, Zbot -y variantes- suele copiarse en el 99'9% de los casos que he visto, en HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Añadiéndose en la entrada Userinit.

CitarPor defecto: C:\WINDOWS\system32\userinit.exe,

CitarInfectada: C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\<nombre_troyano>.

La verdad es que hasta ahora no había comprobado si Hijackthis mostraba esa rama. Gracias winroot . Es bueno saberlo.


Castiblanco

Me parece extraño que en 1 hora hayas resuelto el problema. Y viendo tu
Citaráéíóú xD
, lo primero que he pensado es que te aburrías y te 'estabas riendo de nosotros'. No me queda muy claro cómo lo has resuelto. Si ha sido formateando o era de configuración -que anteriormente mencionabas que 'no'; entonces me he equivocado juzgándote y como tal te pido disculpas. Si no es así... Si no es así, por mi parte no hay nada más que hablar.


Novlucker

Citarestoy casi seguro que Sysinternals lo detecta

También va bien saberlo  :)

Saludos!
La curiosidad es la antesala al conocimiento...

Castiblanco

Formateando dura uno como 20 minutos, dura más haciendo el scan ^^

Artikbot

Llamadme obvio, pero probaste a mirar que no tuvieras dos idiomas de teclado instalados? Lo he visto cieeeeentos de veces.



Monto ordenadores a medida, me ajusto a todo tipo de presupuestos. Contáctame para más información.
Sólo para España peninsular y Baleares

Castiblanco

Si, al final termine poniéndole varios idiomas y desconfigurando el teclado, instalando y desintalando los drivers, ya ni sabía cual era la configuración "buena", hasta la otra tilde invertida (no se como se llame "`") le estaba pasando eso entonces comencé a cansarme ¬¬

winroot

Buenas!
@Novlucker
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
El hijackthis no detecta las entradas de esa lista, y eset sys inspector se come el valor taskman.
Además, eset sys inspector tanpoco lee a:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
La única utilidad que reporta todo es autoruns, por eso me gustaría que pidan logs de el más seguido.
Nota: lo anterior fue el resultado de estar 4 meses sin internet... (algo había que hacer).
@Arcano.
Me refería a que, pides log de hijackthis, cuando sospechas de una key que el mismo no lee.
Autoruns+ EsetSysInspector+Gmer suelen ser suficientes.
Y si no que va, dump de ram con windd y análisis con volatility y companía (es lo mejor que se puede hacer). Aunque claro, colgar un dump de 1 a 4 gb es un dolor de cabeza, y descargarlo también.
Un abrazo.
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com

Arcano.

Buenas,

A mí me parece perfecto que se pidan logs de Autoruns. Es más, desde hace algún tiempo, venía observando -en varias pruebas- que Hijackthis no mostraba los virus que, sabía, estaban en el equipo. Ahora ya sé por qué. Gracias Winroot.

Por otro lado, si sabemos que esto es así, creo que Hijackthis, como el típico log que pedimos; se ha quedado obsoleto.

Saludos.

La curiosidad es la antesala al conocimiento...

Novlucker

Es que por pedir logs no hay problema, de hecho tengo varios más para pedir :xD
Tendré que hacer algunas pruebas con Sysinspector, pero por lo pronto a mi si me lee el "Image File Execution", y el taskman no lo tengo para poder probar (ni tengo permisos para crear la llave ahora :xD)

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

xdavid22x

http://www.configurarequipos.com/tag-hijackthis-0.html
Echale un vistazo. Te dice como eliminar doble acento
Saludos y suerte ;-)
♣Siempre que tengas algún problema, antes escanea el pc♣

Arcano.

#18
CitarEl hijackthis no detecta las entradas de esa lista

Buenas...

Winroot

Cuando he tenido algo de tiempo, me he puesto a investigar y en las ramas F2 de Hijack sí se muestran los valores que nos interesan de HKLM\.\Winlogon


  • Valor Shell
  • Valor UserInit

Lo que sucede es que sólo lo muestra cuando han sido modificados.

Supongo que toca retirar lo dicho:
Citarcreo que Hijackthis, como el típico log que pedimos; se ha quedado obsoleto

Aunque me sigue pareciendo más completo Autoruns...

Saludos!
La curiosidad es la antesala al conocimiento...

winroot

Buenas!
Bien, capaz que me equivoqué en algunas cosas del post anterior.llpero ...
Hijackthis
Para mi ya es antiguo, el solo hecho de que no lea el fichero js que contiene la config de firefox, y solo sirva para IE, ya es algo muy malo.
Bien, lo que si estoy seguro, prueben saturar el fichero hosts.
Hijackthis no mostrará nada.
Hijackthis muestra drivers?
Me refiero a servicios con la entrada type=1 (driver). La mayoría de rootkits son drivers.
Con el que menos probé es con sysinspector, pero que yo recuerde esa key (la de executionoptions), no la mostraba, en todo caso, se me pasó.
Otra pregunta, la key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
Valor: BootExecute
La leen ?
No sé, me parece que el registro de windows es muy grande, y la única utlidad que muestra todo es autoruns.
Además, la opción de ocultar ficheros de microsoft es muy buena...

Un abrazo.
Mi blog sobre programación y seguridad informática:
http://win-root.blogspot.com