Problemas con las tildes

Arcano. · 16 Diciembre 2010, 22:40 PM

Buenas,

winroot

CitarSi sospechas que el malware se carga en WindowsNt

Efectivamente, Zbot -y variantes- suele copiarse en el 99'9% de los casos que he visto, en HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Añadiéndose en la entrada Userinit.

CitarPor defecto: C:\WINDOWS\system32\userinit.exe,

CitarInfectada: C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\<nombre_troyano>.

La verdad es que hasta ahora no había comprobado si Hijackthis mostraba esa rama. Gracias winroot . Es bueno saberlo.

Castiblanco

Me parece extraño que en 1 hora hayas resuelto el problema. Y viendo tu

Citaráéíóú xD

, lo primero que he pensado es que te aburrías y te 'estabas riendo de nosotros'. No me queda muy claro cómo lo has resuelto. Si ha sido formateando o era de configuración -que anteriormente mencionabas que 'no'; entonces me he equivocado juzgándote y como tal te pido disculpas. Si no es así... Si no es así, por mi parte no hay nada más que hablar.

Novlucker

Citarestoy casi seguro que Sysinternals lo detecta

También va bien saberlo

Saludos!

Castiblanco · 16 Diciembre 2010, 23:45 PM

Formateando dura uno como 20 minutos, dura más haciendo el scan ^^

Artikbot · 16 Diciembre 2010, 23:51 PM

Llamadme obvio, pero probaste a mirar que no tuvieras dos idiomas de teclado instalados? Lo he visto cieeeeentos de veces.

Castiblanco · 17 Diciembre 2010, 00:13 AM

Si, al final termine poniéndole varios idiomas y desconfigurando el teclado, instalando y desintalando los drivers, ya ni sabía cual era la configuración "buena", hasta la otra tilde invertida (no se como se llame "`") le estaba pasando eso entonces comencé a cansarme ¬¬

winroot · 17 Diciembre 2010, 01:44 AM

Buenas!
@Novlucker
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
El hijackthis no detecta las entradas de esa lista, y eset sys inspector se come el valor taskman.
Además, eset sys inspector tanpoco lee a:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
La única utilidad que reporta todo es autoruns, por eso me gustaría que pidan logs de el más seguido.
Nota: lo anterior fue el resultado de estar 4 meses sin internet... (algo había que hacer).
@Arcano.
Me refería a que, pides log de hijackthis, cuando sospechas de una key que el mismo no lee.
Autoruns+ EsetSysInspector+Gmer suelen ser suficientes.
Y si no que va, dump de ram con windd y análisis con volatility y companía (es lo mejor que se puede hacer). Aunque claro, colgar un dump de 1 a 4 gb es un dolor de cabeza, y descargarlo también.
Un abrazo.

Arcano. · 17 Diciembre 2010, 11:27 AM

Buenas,

A mí me parece perfecto que se pidan logs de Autoruns. Es más, desde hace algún tiempo, venía observando -en varias pruebas- que Hijackthis no mostraba los virus que, sabía, estaban en el equipo. Ahora ya sé por qué. Gracias Winroot.

Por otro lado, si sabemos que esto es así, creo que Hijackthis, como el típico log que pedimos; se ha quedado obsoleto.

Saludos.

Novlucker · 17 Diciembre 2010, 11:30 AM

Es que por pedir logs no hay problema, de hecho tengo varios más para pedir

Tendré que hacer algunas pruebas con Sysinspector, pero por lo pronto a mi si me lee el "Image File Execution", y el taskman no lo tengo para poder probar (ni tengo permisos para crear la llave ahora

)

Saludos

xdavid22x · 17 Diciembre 2010, 19:20 PM

http://www.configurarequipos.com/tag-hijackthis-0.html
Echale un vistazo. Te dice como eliminar doble acento
Saludos y suerte

Arcano. · 17 Diciembre 2010, 21:00 PM

CitarEl hijackthis no detecta las entradas de esa lista

Buenas...

Winroot

Cuando he tenido algo de tiempo, me he puesto a investigar y en las ramas F2 de Hijack sí se muestran los valores que nos interesan de HKLM\.\Winlogon

Valor Shell
Valor UserInit

Lo que sucede es que sólo lo muestra cuando han sido modificados.

Supongo que toca retirar lo dicho:

Citarcreo que Hijackthis, como el típico log que pedimos; se ha quedado obsoleto

Aunque me sigue pareciendo más completo Autoruns...

Saludos!

winroot · 17 Diciembre 2010, 23:27 PM

Buenas!
Bien, capaz que me equivoqué en algunas cosas del post anterior.llpero ...
Hijackthis
Para mi ya es antiguo, el solo hecho de que no lea el fichero js que contiene la config de firefox, y solo sirva para IE, ya es algo muy malo.
Bien, lo que si estoy seguro, prueben saturar el fichero hosts.
Hijackthis no mostrará nada.
Hijackthis muestra drivers?
Me refiero a servicios con la entrada type=1 (driver). La mayoría de rootkits son drivers.
Con el que menos probé es con sysinspector, pero que yo recuerde esa key (la de executionoptions), no la mostraba, en todo caso, se me pasó.
Otra pregunta, la key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
Valor: BootExecute
La leen ?
No sé, me parece que el registro de windows es muy grande, y la única utlidad que muestra todo es autoruns.
Además, la opción de ocultar ficheros de microsoft es muy buena...

Un abrazo.