ROOTKITS como encontrarlos

Hola,

hace mucho que sospecho de rootkits que podrian estar ocultando conexiones en mi maquina, alguno me recomienda o me indica como podria buscar por este tipo de malware que ocultaria otras cosas en mi ordenador?

please help me looking specialy for rootkits

thanks

Hola,

queria saber si me podrian dar una mano, hace tiempo que estoy buscando por algo en mi pc pero nadie me da bola, leyendo el foro baje fing . miren lo que dice

-------------------------------------------------------------------------------
| Scan result for Hitokkiri-PC.fibertel.com.ar (190.193.155.4) |
|-----------------------------------------------------------------------------|
| Port | Service | Description |
|-----------------------------------------------------------------------------|
| 80 | http | World Wide Web HTTP |
| 135 | msrpc | Microsoft RPC services |
| 139 | netbios-ssn | NETBIOS Session Service |
| 443 | https | Secure World Wide Web HTTP (SSL) |
| 445 | microsoft-ds | SMB directly over IP |
| 1110 | nfsd-status | Cluster status info |
| 6881 | bittorrent-trac | BitTorrent tracker |
-------------------------------------------------------------------------------

lo primero que hice fue des activar netbios sobre tpc en servicios ni bien instale hace 2 semanas.

Me baje el wireshack

miren esto no me alcanzo 1 sola screen para tomarlo fueron 10 min de captura

http://subefotos.com/ver/?7509a1c6a68329844987c407d99276a2o.jpg

alguno que me de una mano en busca de rootkits que ocultan posibles conexiones ilegales, o sobre como escucharlas entre el trafico?

plese help =( nadie me cree! hay algo raro?

leyendo y bajandome las herramientas de el hacker, miren lo que encontre

ahi finalmente, SVCHOST.exe como una conexion establecida, e idle process con 22 conexiones man.

por favor denme bola miren esto

Svchost: http://subefotos.com/ver/?0a68bc00f9d75bac2e6110acf30e3b21o.jpg

System: http://subefotos.com/ver/?e96e404fd0cd92e6375d6b85f144151fo.jpg

Mod: Evita abrir 2 posts para el mismo tema, ambos se tratan de lo mismo, uni los 2 temas

http://subefotos.com/ver/?7c5e176dd21a62a89eaabf43a77a8ac1o.jpg
http://subefotos.com/ver/?788227e361a142ae207c14a82b98115ao.jpg

Sospecho que el esta aqui.

Código:

Ran by Hitokkiri (administrator) on 25-01-2015 at 11:14:40
Windows 7 (X64)
Running From: C:\Users\Hitokkiri\Downloads
Language: Español (España, internacional)
************************************************************

========================= Memory info ======================

Percentage of memory in use: 29%
Total physical RAM: 8155.89 MB
Available physical RAM: 5753.34 MB
Total Pagefile: 16309.96 MB
Available Pagefile: 13447.95 MB
Total Virtual: 8192 MB
Available Virtual: 8191.9 MB

======================= Partitions =========================

1 Drive c: () (Fixed) (Total:297.87 GB) (Free:201.02 GB) NTFS

  N£m Disco Estado Tama¤o Disp Din Gpt
  ---------- ---------- ------- ------- --- ---
  Disco 0 En l¡nea 298 GB 0 B *
  Disco 1 No hay med 0 B 0 B
  Disco 2 No hay med 0 B 0 B
  Disco 3 No hay med 0 B 0 B
  Disco 4 No hay med 0 B 0 B

Partitions of Disk 0:
===============

Identificador de disco: {4554A7D0-1ED5-4BF6-93A7-78B6668540EF}

  N£m Partici¢n Tipo Tama¤o Desplazamiento
  ------------- ---------------- ------- ---------------
  Partici¢n 1 Sistema 100 MB 1024 KB
  Partici¢n 2 Reservado 128 MB 101 MB
  Partici¢n 3 Principal 297 GB 229 MB

======================================================================================================

Disk: 0
Partici¢n 1
Tipo : c12a7328-f81f-11d2-ba4b-00a0c93ec93b
Oculta : S¡
Necesaria : No
Atrib. : 0X8000000000000000

  N£m Volumen Ltr Etiqueta Fs Tipo Tama¤o Estado Info
  ----------- --- ----------- ----- ---------- ------- --------- --------
* Volumen 2 FAT32 Partici¢n 100 MB Correcto Sistema

======================================================================================================

Disk: 0
Partici¢n 2
Tipo : e3c9e316-0b5c-4db8-817d-f92df00215ae
Oculta : S¡
Necesaria : No
Atrib. : 0X8000000000000000

No hay volumen asociado con esta partici¢n.

======================================================================================================

Disk: 0
Partici¢n 3
Tipo : ebd0a0a2-b9e5-4433-87c0-68b6b72699c7
Oculta : No
Necesaria : No
Atrib. : 0000000000000000

  N£m Volumen Ltr Etiqueta Fs Tipo Tama¤o Estado Info
  ----------- --- ----------- ----- ---------- ------- --------- --------
* Volumen 1 C NTFS Partici¢n 297 GB Correcto Arranque

======================================================================================================
============================== MBR Partition Table ==================

==============================
Partitions of Disk 0:
===============
Disk ID: 6119AD95

Partition : GPT Partition Type

Administrador de arranque de firmware
-----------------------------------
Identificador {fwbootmgr}
displayorder {bootmgr}
   {42d256df-947a-11e4-9c6c-be23ca736625}
   {42d256e0-947a-11e4-9c6c-be23ca736625}
   {42d256e1-947a-11e4-9c6c-be23ca736625}
timeout 1

Administrador de arranque de Windows
----------------------------------
Identificador {bootmgr}
device partition=\Device\HarddiskVolume1
path \EFI\Microsoft\Boot\bootmgfw.efi
description Windows Boot Manager
locale es-ES
inherit {globalsettings}
default {current}
resumeobject {42d256e3-947a-11e4-9c6c-be23ca736625}
displayorder {current}
toolsdisplayorder {memdiag}
timeout 30

Aplicaci¢n de firmware (101fffff)
---------------------------------
Identificador {42d256df-947a-11e4-9c6c-be23ca736625}
description Hard Drive

Aplicaci¢n de firmware (101fffff)
---------------------------------
Identificador {42d256e0-947a-11e4-9c6c-be23ca736625}
description CD/DVD Drive

Aplicaci¢n de firmware (101fffff)
---------------------------------
Identificador {42d256e1-947a-11e4-9c6c-be23ca736625}
description Removable Drive

Cargador de arranque de Windows
-----------------------------
Identificador {current}
device partition=C:
path \Windows\system32\winload.efi
description Windows 7
locale es-ES
inherit {bootloadersettings}
recoverysequence {42d256e5-947a-11e4-9c6c-be23ca736625}
recoveryenabled Yes
osdevice partition=C:
systemroot \Windows
resumeobject {42d256e3-947a-11e4-9c6c-be23ca736625}
nx OptIn

Cargador de arranque de Windows
-----------------------------
Identificador {42d256e5-947a-11e4-9c6c-be23ca736625}
device ramdisk=[C:]\Recovery\42d256e5-947a-11e4-9c6c-be23ca736625\Winre.wim,{42d256e6-947a-11e4-9c6c-be23ca736625}
path \windows\system32\winload.efi
description Windows Recovery Environment
inherit {bootloadersettings}
osdevice ramdisk=[C:]\Recovery\42d256e5-947a-11e4-9c6c-be23ca736625\Winre.wim,{42d256e6-947a-11e4-9c6c-be23ca736625}
systemroot \windows
nx OptIn
winpe Yes

Reanudar tras hibernaci¢n
-------------------------
Identificador {42d256e3-947a-11e4-9c6c-be23ca736625}
device partition=C:
path \Windows\system32\winresume.efi
description Windows Resume Application
locale es-ES
inherit {resumeloadersettings}
filedevice partition=C:
filepath \hiberfil.sys
debugoptionenabled No

Herramienta de comprobaci¢n de memoria de Windows
-------------------------------------------------
Identificador {memdiag}
device partition=\Device\HarddiskVolume1
path \EFI\Microsoft\Boot\memtest.efi
description Herramienta de diagn¢stico de memoria de Windows
locale es-ES
inherit {globalsettings}
badmemoryaccess Yes

Configuraci¢n de EMS
--------------------
Identificador {emssettings}
bootems Yes

Configuraci¢n del depurador
---------------------------
Identificador {dbgsettings}
debugtype Serial
debugport 1
baudrate 115200

Defectos de RAM
---------------
Identificador {badmemory}

Configuraci¢n global
--------------------
Identificador {globalsettings}
inherit {dbgsettings}
   {emssettings}
   {badmemory}

Configuraci¢n del cargador de arranque
------------------------------------
Identificador {bootloadersettings}
inherit {globalsettings}
   {hypervisorsettings}

Configuraci¢n de hipervisor
-------------------
Identificador {hypervisorsettings}
hypervisordebugtype Serial
hypervisordebugport 1
hypervisorbaudrate 115200

Reanudar la configuraci¢n del cargador
--------------------------------------
Identificador {resumeloadersettings}
inherit {globalsettings}

Opciones de dispositivo
-----------------------
Identificador {42d256e6-947a-11e4-9c6c-be23ca736625}
description Ramdisk Options
ramdisksdidevice partition=C:
ramdisksdipath \Recovery\42d256e5-947a-11e4-9c6c-be23ca736625\boot.sdi

****** End Of Log ******