elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Infeccion todavia por identificar 		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Infeccion todavia por identificar  (Leído 2,156 veces)
fredoballo

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Infeccion todavia por identificar
« en: 25 Abril 2017, 06:21 am »
Hola buenos dias,espero que puedan ayudarme con lo que creo que es un rootkit ,todavia sin detectar,mi problema comenzo hace unos dias al extraer unos archivos de un pc altamente contaminado,se transmite a traves de las USBS, infecta los discos creando errores en el sistema de archivos en vinculacion de nombres e inutiliza la funcion CHKDSK que al reiniciar no se activa, entre otros sintomas,he hecho formateos limpios y online,pero el problema persiste y ya se transmitio a mi otro pc,ambos portatiles con windows 10,hice pruebas de disco y memoria a traves de la bios y salieron correcta,he probado con la mayoria de antirootkits y no detectan nada os mando un reporte de glary utilities
Etapa 1: Examen de la estructura b sica del sistema de archivos...
                                                                                       
  223232 registros de archivos procesados.                                                       

Comprobaci¢n de archivos completada.
                                                                                       
  3747 registros de archivos grandes procesados.                       

                                                                                       
  0 registros de archivos no v lidos procesados.                   


Etapa 2: Examen de la vinculaci¢n de nombres de archivos...
Se detect¢ un error en el ¡ndice $I30 del archivo 1D807.
La entrada de ¡ndice CHECKDISKPROGRESS.EXE-895D3D83.pf del ¡ndice $I30 del archivo 1D807 no es correcta.
La entrada de ¡ndice CHECKD~1.PF del ¡ndice $I30 del archivo 1D807 no es correcta.
                                                                                       
  274612 entradas de ¡ndice procesadas.                                                       

Comprobaci¢n de ¡ndices completada.

Se han encontrado errores. Glary Utilities 5 no puede continuar en modo de solo lectura.

----------------------------------------------------------------------------
CheckDisk found 1 disk errors as follows:
C:\
en ambos pcs los errores son identicos
AYUDA PORFAVOR se me acaban las ideas
En línea
Serapis
Colaborador
***
Desconectado Desconectado

Mensajes: 3.351


Ver Perfil
Re: Infeccion todavia por identificar
« Respuesta #1 en: 26 Abril 2017, 02:01 am »
Lo primero, retira todos los discos duros que tenga el equipo...

Luego sería deseable que retiraras las memorias durante 1-2 horas del equipo, y luego las montaras en distintos bancos a como estaban antes (siempre que tengas más de una, claro).

También resetea la BIOS a los valores de fábrica. De hecho si puedes y sabes sería deseable sobrescribir el BIOS, incluso aunque sea con la misma versión que dice tener ahora mismo (pero siendo descargado desde la web del fabricante).

Cuando se formatea y el virus sigue ahí, cabe la posibilidad de que esté en la BIOS o en la memoria (sí, algunas memorias de hoy día son hackeables, aunque suene a mentira y es probable que un virus se ocultare en ella).

Estando la memoria y el BIOS libre de virus, falta revisar los discos... Monta un sólo disco en el equipo... (de cada vez, cuando hay virus, nunca más de uno a la vez en el equipo).

Luego arranca desde un LiveCD, que ya venga con herramientas al efecto... al caso es muy útil el Hirens-BOOTCD, y el sitio recomendable para hacerse con el CD, es éste: http://www.hirensbootcd.org/ (nada de sitios indirectos, pueden contener regalos sorpresa).  NOTA: Quien dice CD, dice DVD, ...pero que sea una unidad de solo lectura, (es decir, nada de USB) si no se puede escribir, no hay posibilidad de contagio a dicha unidad, ni posibilidad de manipulación de los ficheros de origen.
Date cuenta que viene comprimido en zip: http://www.hirensbootcd.org/download/ por lo que antes de quemarlo en el disco, debes extraerlo. ...y por supuesto tras la descarga verifica el MD5 (viene en la misma página, junto al enlace de descarga).

Aquí una página con screenshots de las herrmaientas que lleva el cd: http://www.hirensbootcd.org/screenshots/
Aquí una lista exhaustiva de las heramientas que incluye y una ligera info de qué hace cada herramienta (en inglés, of course): https://www.hiren.info/pages/bootcd
Naturalmente el CD, tendrás que descargarlo y grabarlo desde un equipo 'limpio', si necesitas heramientas para ello, aquí en la misma página se ofrecen soluciones: http://www.hirensbootcd.org/burning/

Puesto que ya has formateado, es claro que no hay nada que rescatar/salvaguardar, así que así resulta más sencillo... y resulta más cómodo obviar pasos de recuperación que siempre podría ser dudoso, por un contagio...

Una vez arranque el CD, cambia la resolución de la pantalla al valor que tu pantalla admita y que sea si es posible al menos 1024x768 (que tengas una amplia visión de las ventanas, si no es posible que las ventanas de algunas herramientas no quepan y debas desplazarlas contínuamente). No fuerces resoluciones muy altas, 1024x768 ó 1280x1024, valen probablemente para tu monitor, perfectamente (tu debes saberlo)

Haz formateo a bajo nivel (sección: "Hard Disk Tools"), reclamando además forzosamente que chequee en busca de sectores defectuosos (los virus a veces marcan sectores como defectuosos que en realidad no lo están y es ahí donde se esconden, al reclamar que cada sector se verifique si está o no está dañado, pierden su alojamiento).
Lo siguiente (no instalamos nada) es llenar el disco duro toma un fichero que ocupe por ejemplo 1Mb-GB. exacto, y copia y pega tantas veces como haga falta hasta que se llene el disco... Si logras encontrar alguna herramienta que simplemente escriba bytes al azar hasta llenar el espacio libre del disco, resultará más cómodo... (por ejemplo "DiskWipe v1.2", puede hacer eso). Escribiendo y borrando, podrmeos lograr que si quedara algún rastro sea prácticadamente imposible de recuperar (con otros programas)).

Formatea de nuevo, ahora con otra herramienta diferente pero también (siempre) a bajo nivel ...con cada formateo, establece tamaños diferentes de sector y sin hacer particiones, una única partición, y rescribe de nuevo el disco entero... repite la operación al menos 3-5 veces. Llevará su tiempo, eso sí...

Es importante, que el fichero/s que copias una y otra vez, tengan un tamaño exactamente múltiplo del tamaño de sector... es decir si seleccionas un tamaño de sector de 4kb. (4.096bytes no 4.000bytes), tu fichero no debería tener (por ejemplo), 3580bytes (que en disco ocupará 4096bytes). Usar diferentes tamaños de sector, es para asegurarnos que cada vez las divisiones de sectores caigan en espacios físicos distintos, y por ende que se sobrescriba con información distinta al caso previo. Cuanto más grande sea el fichero, menos copias tendrás que hacer, pero tampoco interesa que tenga varios Gb. puede tardar tanto con cada copia que puede parecer que está colgado... (es mejor si recurres a una herramienta específica que haga las copias por tí).
Tras cada llenado, consulta las propiedades del disco y revisa cuantos bytes tiene de tamaño y cuantos ocupados... si quedan bytes libres ecribe un ficheromás del tamaño que reste. Ten en cuenta que la tabla de ficheros, no se llenará apenas si los ficheros son muy grandes... queremos sobrescribir el disco entero, pero con ficheros siempre habrá zonas 'reservadas' que muy probablemente nunca se rescriban, por lo que considera usar (insisto una vez más), un programa capaz de hacer escrituras 'raw', para que no deje títere con cabeza, digo byte sin rescribir...

Digamos que este disco duro ya está sano, ahora procede con otro que tengas en el mismo ordenador, pero cada vez debe haber uno y solo uno, en el equipo, para evitar que si "algo" toma el control pueda saltar de uno a otro disco. Si la memoria fue 'apagada' y suponemos el BIOS limpio, y actuando desde un CD, habiendo un solo disco y actuando de esclavo, no hay posibilidad de que se resista.

Finalmente apaga el equipo retira el BOOTCD y procede a instalar el S.O. (se supone que el S.O. de donde lo instales estará limpio, ante la duda sobre el origen de la copia del S.O. abstente y obtén una copia segura). Ahora cuando formatees, deja que el S.O. elija el tamaño de sector para la unidad de arranque... (si no, podría no reconocerse al reiniciar tras la copia de ficheros al disco, para instalar desde disco).

Una vez reinstalado el S.O. intenta obtener un antivirus descargado desde otro equipo que sepas que está limpio, tal vez un firewall o lo que acostumbres, y sólo una vez que instales seguridad en el equipo, es cuando puedes activar la red, no sea que nada más instalar, al abrir la red, ya te encuentres "con algo" ahí esperándote.

Cuando veas tras varios días que todo funciona bien, procde a conectar algún otro disco duro que tuvieres antes también conectado (y el cual pasó también el proceso de desinfección).

Por último éstate atento a cualquier evento y cuando surja, para tratar de dilucidar por donde procede la infección, llegado al caso que aún persistiera tras unos pocos días... Aunque ya para estar seguros del todo, sería deseable que mientras haces este proceso, desconectases el cable de red... en el punto anterior al router, para que tu ISP, viendo que tu IP no conecta, la libere ytras etos días que vas a pasar trastando con los discos, al final te otorguen otra IP (antes anota la que tienes actualmente y cuando vuelvas a conectar la red, revisa de nuevo la IP, para asegurarte que no es la misma, quizás un troyano haya enviado la IP de tu equipo y siga esperando conexión, ahora ya con seguridad y con nueva IP, si ese fuera el caso, quedarás libre, hasta... quién sabe cuándo  :laugh:  :silbar: :laugh:).
« Última modificación: 26 Abril 2017, 02:05 am por NEBIRE » En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[PoC] Infección con TLS
Análisis y Diseño de Malware 		The Swash 3 4,611 Último mensaje 10 Julio 2012, 23:44 pm
por konarr
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines