Debe estar conectado para participar
Buscar en los foros:


 






Uso de Comodín:
*    coincide cualquier número de caracteres
%    coincide exactamente un caracter

intrusos en mi sistema

No hay Etiquetas
Entrada
High End Level

santiagobozzini

Pergamino, Bs As

entradas: 724

14:34 04/10/2007

1

hola gente, les comento la situacion. Ayer vino una amiga y mientras yo atendia a un cliente ella quiso bajar unas "fotos" que le habian mandado a su mail, el tema es que descargo un archivo (zippeado, supongo) y cuando me desocupe veo que salta la ventanita del residente spybot (teatimer) bueno, la pucha, digo, algo intento meterse, espero que no haya pasado.
Tengo nod32, spybot, spywareblaster y ad-aware se personal.
el tema es que me fijo en el log del teatimer y hay varias lineas parecidas a esta:
03/10/2007 03:36:19 p.m. Denegado value "UserInit" (new data: "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\syste m32\xhx2959.exe&quotwink cambiado in Winlogon!

pense: joya! no hizo el cambio…. pero no fue asi, reinicie, y lo primero que se ocurrio fue ver los procesos en ejecucion al inicio: nones! no me dejo, dice que el administrador de tareas habia sido deshabilitado por el administrador!
y cuando quiero pasar ad-aware, esta desinstalado!
asi que esta mañana puse modo a prueba de fallos, pase hijack this, pase avg anti-rootkit, pase nod32, pase spybot, reinstale el ad-aware (obvio que tenia la base de firmas desactualizada) desinfecte y reinicie en modo normal: lo mismo! parece que esta metido…. nose que cuernos hacer xq aun estoy buscando… me fije en la carpeta system32 y ahi esta el userinit.exe, que supongo es la aplicacion que sirve para dar inicio de windows (le cambie la extension y no me dejaba iniciar, cuando seleccionaba usuario, ponia un cartel de cargando sesion y al toque me ponia cerrando sesion) hay otro archivo que por su nombre es sospechoso: xhx2959.exe (organizacion: SULA, version 1.0.0.0, tamaño 1.06MB) nomax32.exe (organizacion: SULA, version 1.0.0.0, tamaño 1.06MB), msinet32x.exe (organizacion: TESTE, version 1.0.0.0, tamaño 364KB), 4728cjd.exe (organizacion: TESTE, version 1.0.0.0, tamaño 364KB)
a ver si alguno le suena conocido algo de esto… seguire investigando a ver que encuentro: cualquier ayuda es bvien recibida
saludos y cha gracias!

Extreme Level

Actuario

entradas: 1617

15:00 04/10/2007

2

mmm, metiste esos nombres en el google para ver que identifica ? parece una clásica infección molesta que, por lo menos a mi me implica casi seguro reinstalar (para estar mas tranquilo, pero ojo que soy un extremista)
El caso es que de localizar el tipo de virus/troyano/gusano u otras mierdas, probablemente en alguna firma como mcafee tengan alguna herramienta para quitar el problemita puntualmente.

Fijate acá:
http://www.sin-espias.com/reports/-/37820/

High End Level

santiagobozzini

Pergamino, Bs As

entradas: 724

15:10 04/10/2007

3

me canse! ya perdi casi un dia pasando scanners y nada, asi que yo tb, soy extremista y me gustan las cosas limpias! REINSTALETA!

Hardcore Extreme Level

ivan quaglia

entradas: 14363

15:11 04/10/2007

4

usa rootkit hook analyzer puede que lo tengas hookeado al kernel, proba con: usar la restauracion de windows/ o usar una cuenta de usuario nueva de tipo administrador /o en modo a prueba de fallos buscar el exe xhx 29algo y eliminarlo, busca con ese nombre el registro y borra la entrada, para habilitar el administrador de tareas u otras cosas deshabilitadas usa ejecutar: gpedit.msc, si no podes hacete el king kong rompe todo desinstala a la mierda y volve a instalar

Extreme Level

westk

entradas: 2979

21:08 04/10/2007

5

naaaaa y el famoso nod32 lo dejó MODIFICAR a su gusto UN ARCHIVO DE WIN???, mi dios, cada vez leo peores cosas del nod32.. ojala q el 3 se comporte cmo un antivirus mas en serio.. prefiero q consuma un poco mas y q funcione cmo debe..

Extreme Level

Rudolf97

entradas: 1544

22:07 04/10/2007

6
Cita Iniciado por westk
Ver Mensaje
naaaaa y el famoso nod32 lo dejó MODIFICAR a su gusto UN ARCHIVO DE WIN???

No existe el antivirus que de 100% de efectividad.
El nod32 como cualquier otro tiene sus debilidades.

Moderador

NetZ

Capital Federal

entradas: 8454

22:13 04/10/2007

7
Cita Iniciado por westk
Ver Mensaje
naaaaa y el famoso nod32 lo dejó MODIFICAR a su gusto UN ARCHIVO DE WIN???, mi dios, cada vez leo peores cosas del nod32.. ojala q el 3 se comporte cmo un antivirus mas en serio.. prefiero q consuma un poco mas y q funcione cmo debe..

No podes opinar eso por un solo virus q entró!!! Además no sabemos si la chica le dió aceptar a algun cartelito de advertencia/cuarentena sin saber q tocaba (dejando asi al nod32 actuar al huespede).
Lo considero una herramienta sumamente potente y optimizada, y me pareció muy buena la iniciativa de dar charlas en las universidades para tratar de buscar gente q se meta en el proyecto. Creeme q el algoritmo q usa para detectarlos es sumamente complejo, el único me atrevo a decir es mejor es el kapreski o como se llame (no se el nombre bien ya q no lo uso)
salu2

Extreme Level

westk

entradas: 2979

01:51 05/10/2007

8

el mismo user dice q solo salto el realtime del spybot nomas.. con que solo haya un hook a un archivo cualq t tendria q estar saltando alguna ventana.. imaginate.. aca estamos hablando de archivos criticos directamente

High End Level

santiagobozzini

Pergamino, Bs As

entradas: 724

10:27 05/10/2007

9

lo que yo alcance a ver fue el aviso del spybot, pero bue, ya fue: todo de cero…
lo hubiera hecho sin titubear, sin pasar scanners y listo, me ahorraba medio dia…
por suerte tengo el sistema en un disco de 20GB y la data en uno de 80 (limitado a 32 por el bios) asi que simplemente pase las configuraciones del opera, la data que me interesaba, y reinstale todo.
cha gracias por sus sabios consejos!
ahora toy poniendome al dia con los posts que me perdi ayer jeje