Saludos, soy nuevo en el foro.


Tengo ya mucha pelea con esto, tengo la placa base corrupta, y no puede actualizarse la bios ni nada, pedi un chip nuevo  en biosflash  para la placa asus H81M-C  , con todo desconectado, y solo dejando la pantalla, el ratón y el teclado, retiré el chip afectado, hice un comos reset, puse el chip nuevo, al hacerlo, la computadora iniciaba y se quedaba la pantalla en negro un tiempo,  ( el suficiente para que se reactualice) , entonces se reiniciaba sola y ya iniciaba.

Pero entonces saque el chip y con un programador externo willem true usb programer, volvi a leer la información del chip, y esta corrupto, lo verifique con el técnico de biosflash, y me dijo que la placa base estaba  corrupta....

Igualmente en otros foros me han dicho que la placa base esta modificada o corrupta, que era más fallo de hardware.

Me han recomendado acudir a una empresa de péritos informáticos, pero no puedo permitirmelo, ya me he gastado todo el dinero en esto, no quiero entrar en detalles por lo extenso del tema.


Entonces  creo que es un bootkit, rootkit del chipset, creo que se esconde en los chips, y no se como eliminarlo, aparte escribe en el mbr y más cosas.No tengo ningún equipo informático sano.

Voy a pegar un log de chkrootkit, con el comando sudo chkrootkit -x  donde aparece todo lo que estoy sufriendo haber si podeis darme una solución , que se que aquí hay buenos expertos.
El log es mucho más largo, ocupa muchas páginas, si quereis puedo postearlo, pero es muy extenso, he rebuscado yo lo más indicativo de lo que estoy sufriendo.



Host key verification failed.
ssh_kex: BN_new failed
ssh_kex: BN_set_word failed
ssh_kex: BN_lshift failed
ssh_kex: BN_add_word failed
Encryption type: %.100s
Sent encrypted session key.
Server refused our key.
Bad passphrase.
RSA authentication refused.
%.30s@%.128s's password:
Permission denied.
Doing challenge response authentication.
Protocol error: got %d in response to SSH_CMSG_AUTH_TIS
Permission denied, please try again.
WARNING: Encryption is disabled! Response will be transmitted in clear text.
Protocol error: got %d in response to SSH_CMSG_AUTH_TIS_RESPONSE
respond_to_rsa_challenge: rsa_private_decrypt failed
respond_to_rsa_challenge: bad challenge length %d
Sending response to host key RSA challenge.
Waiting for server public key.
Warning: Server lies about size of server public key: actual size is %d bits vs. announced %d.
Warning: This may be due to an old implementation of ssh.
Warning: Server lies about size of server host key: actual size is %d bits vs. announced %d.
Received server public key (%d bits) and host key (%d bits).




Trying RSA authentication with key '%.100s'
try_rsa_authentication: BN_new failed
Enter passphrase for RSA key '%.100s':
no passphrase given, try next key
bad passphrase given, try again...
Doing password authentication.
WARNING: Encryption is disabled! Password will be transmitted in clear text.
Protocol error: got %d in response to passwd auth
respond_to_rsa_challenge
explicit
key: %s (%p),%s
input_userauth_banner
no such identity: %s: %s






@ WARNING: POSSIBLE DNS SPOOFING DETECTED! @
The %s host key for %s has changed,
and the key for the corresponding IP address %s
%s. This could either mean that
DNS SPOOFING is happening or the IP address for the host
and its host key have changed at the same time.
Offending key for IP in %s:%lu
Update the SSHFP RR in DNS with the new host key to get rid of this message.
Couldn't execute %s -c "%s": %s




@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that a host key has just been changed.
The fingerprint for the %s key sent by the remote host is
Please contact your system administrator.
ssh_connect: getnameinfo failed
Connecting to %.200s [%.100s] port %s.
Bogus return (%d) from select()
connect to address %s port %s: %s
setsockopt SO_KEEPALIVE: %.100s
ssh: connect to host %s port %s: %s
Could not create socketpair to communicate with proxy dialer: %.100s
Executing proxy dialer command: %.500s
proxy dialer did not pass back a connection
Could not create pipes to communicate with the proxy: %.100s





Warning: Permanently added '%.200s' (%s) to the list of known hosts.
@ WARNING: REVOKED HOST KEY DETECTED! @
The %s host key for %s is marked as revoked.
This could mean that a stolen key is being used to
%s host key for %.200s was revoked and you have requested strict checking.
Host certificate authority does not match %s in %s:%lu
Add correct host key in %.100s to get rid of this message.
remove with: ssh-keygen -f "%s" -R %s
%s host key for %.200s has changed and you have requested strict checking.
Password authentication is disabled to avoid man-in-the-middle attacks.
Keyboard-interactive authentication is disabled to avoid man-in-the-middle attacks.
Challenge/response authentication is disabled to avoid man-in-the-middle attacks.
Agent forwarding is disabled to avoid man-in-the-middle attacks.
X11 forwarding is disabled to avoid man-in-the-middle attacks.
Port forwarding is disabled to avoid man-in-the-middle attacks.
Tunnel forwarding is disabled to avoid man-in-the-middle attacks.
Error: forwarding disabled due to host key check failure
Warning: the %s host key for '%.200s' differs from the key for the IP address '%.128s'
Offending key for IP in %s:%lu
Exiting, you have requested strict checking.
Are you sure you want to continue connecting (yes/no)?
No matching CA found. Retry with plain key
Host '%.200s' is known and matches the %s host %s.




Could not load "%s" as a RSA1 public key
@ WARNING: UNPROTECTED PRIVATE KEY FILE! @
Permissions 0%3.3o for '%s' are too open.
It is required that your private key files are NOT accessible by others.
This private key will be ignored.
could not open key file '%s': %s
bad permissions: ignore key: %s
%s: certificate does not match private key %s
%s: could not open keyfile "%s": %s



Adjunto otro log de  unhide donde encuentra procesos ocultos :



Found HIDDEN PID: 8229
Cmdline: "<none>"
Executable: "<no link>"
"<none> ... maybe a transitory process"

1 HIDDEN Processes Found sysinfo.procs reports 452 processes and ps sees 453 processes


Found HIDDEN PID: 13267
Cmdline: "<none>"
Executable: "<no link>"
"<none> ... maybe a transitory process"

Found HIDDEN PID: 13268
Cmdline: "<none>"
Executable: "<no link>"
"<none> ... maybe a transitory process"



Found HIDDEN PID: 8229
Cmdline: "<none>"
Executable: "<no link>"
"<none> ... maybe a transitory process"

 

Otro log del programa OTL, en la última parte del log detecta algo de zeroacces, puedo mandar el log completo si quereis.

========== ZeroAccess Check ==========


[HKEY_CURRENT_USER\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]

[HKEY_CURRENT_USER\Software\Classes\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32] /64

[HKEY_CURRENT_USER\Software\Classes\Wow6432node\clsid\{fbeb8a05-beee-4442-804e-409d6c4515e9}\InProcServer32]

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32] /64
"" = C:\Windows\SysNative\shell32.dll -- [2015/07/19 16:45:54 | 021,192,024 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{42aedc87-2188-41fd-b9a3-0c966feabec1}\InProcServer32]
"" = %SystemRoot%\system32\shell32.dll -- [2015/07/19 16:45:54 | 018,634,248 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Apartment

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\fastprox.dll -- [2015/07/19 16:45:54 | 000,921,088 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{5839FCA9-774D-42A1-ACDA-D6A79037F57F}\InProcServer32]
"" = %systemroot%\system32\wbem\fastprox.dll -- [2015/07/19 16:45:54 | 000,691,712 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Free

[HKEY_LOCAL_MACHINE\Software\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32] /64
"" = C:\Windows\SysNative\wbem\wbemess.dll -- [2015/07/19 16:45:54 | 000,483,840 | ---- | M] (Microsoft Corporation)
"ThreadingModel" = Both

[HKEY_LOCAL_MACHINE\Software\Wow6432Node\Classes\clsid\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InProcServer32]

========== LOP Check ==========


========== Purity Check ==========



========== Custom Scans ==========

< :Files

>
[2015/07/19 16:45:54 | 000,000,006 | -H-- | C] () -- C:\Windows\Tasks\SA.DAT

< C:\Users\hp\AppData\Local\Temp\NOD9221.tmp
>

< C:\Users\hp\AppData\Local\Temp\*.*

>

< >

< :Commands

>

< [EmptyFlash]

>

< [EmptyTemp]

>

< [EmptyJava]
>

< End of report >


Esto en la placa base, sin conectar a internet, con todo nuevo....
En el disco duro tiene el mbr mal con entradas hidden.

Tengo invalid host name, y el atacante me pone su ip interna como mi gateway....
Help.


Vamos  haber si algún experto puede ayudarme con esto por favor.

Saludos y muchisimas gracias a quien se preocupe por mi problema.

Gracias por responder.

La placa base, entiendo que sigue en garantia, ya que solo he sustituido el chip que no va soldado, entonces no he tocado nada de la placa,  puedo ponerle el chip original que llevaba corrupto , y queda igual como estaba.


Estoy sufriendo esto, en 2 torres  , una compak  y un ordenador ensamblado en una tienda, los dos siguen en garantía,  estoy sufriendolo en 2 placas base que compre nuevas, en una asus h81m-c y en una gygabyte dual bios, esta última la mande cambiar por garantía,  también tengo 2 portatiles corruptos, un acer y un compak presario , desde el que escribo, este al iniciar me dice que la suma de comprobación de la bios esta corrupta y marca errores dentro de la bios, igualmente, un televisor smart tv lg, tiene un problema parecido, para colmo un teléfono androit, también está afectado, pero en este no se como. (por lo tanto podrás imaginarte que tengo todas las comunicaciones interceptadas por un malnacido, cobarde, que habla muy mal de mi )

Todo lo que tengo , sigue en garantia, menos el compak presario, solo he tocado esto en una placa base h81m-c que tengo dos, y si devuelvo el mismo chip, como va con patillas sin soldar, no se nota que lo he tocado.

Bueno, yo estoy hackeado y puteado te lo aseguro,, le tengo la ip interna del craker, por que no hace nada bueno.

Entonces necesito solucionarlo personalmente, por no enviarlo a una empresa de peritos informáticos,ya que no tengo money...

Supongo que si es el chipstet,  podría actualizarse todo a la vez, ¿que opinas? pero no se como hacerlo.

Me gustaria, realizar ataques a la ip del que me ataca, para saber su ip pública,supongo que puedo hacerlo sin problemas, ¿alguien del foro podría ayudarme a saber la ip pública del craker?


Ya he comprado  varias placas y ordenadores, pero desde el pc infectado, y me llegan todas corruptas..... si que me tendré que comprar una, pero viajar yo a un gran centro comercial o superficie donde haya sección informática.


Pero ahora mismo me he gastado todo el dinero que tenía con esto, y no tengo trabajo, ruego ayuda.

Algo se podrá hacer no me creo que no pueda hacer nada, si está en el conjunto de chips, que es lo más probable, una actualizacíon completa , tal vez bastaría, ruego ayuda por favor, tengo mucho equipo comprometido, y no puedo desplazarme  actualmente por motivos económicos..... si lo envio desde mi casa , vuelve otra vez corrupto....( tengo las comunicaciones afectadas , y como te comento no puedo desplazarme personalmente)

Entiendo que esto, no puede ser tan complicado, si es el conjunto de controladores, alguna forma habrá de actualizarlos todos a la vez.

Yo fiándome de cualquiera del foro de antemano, podría enviaros una placa base, si la quereis mirar y ayudarme con esto a localizar la ip pública del cracker, ( ya que no es un hacker, utiliza sus conocimiento para hacer el mal).

Y nada, solo puedo rezar para que me ayude alguien.
Muchas gracias por tu paciencia y  tu tiempo.
Saludos.

Muchas gracias por contestar.

Si supongo que tiene bastante nivel, y lo que dices así sospecho que es.

En multitud de ocasiones me lo han mirado técnicos pero no me lo solucionan, solo hago que perder tiempo , dinero y últimamente la salud.

Ya no tengo dinero, me falta la salud, mi familia esta mal, ruego ayuda , por favor , se que aqui tiene que haber buena gente.

El craker, ( yo no le doy el título de hacker, ya que hace el mal , y mucho ) me putea con el pc mucho, últimamente, debido a que he aprendido bastante, ya no puede hacerme gran cosa, pero  lo intenta, y alomejor se me pasa algo, de lo que me hace para putear :  Me desconecta el ratón, me cambia de minúsculas a mayúsculas, me altera el brillo de la pantalla y casi no puedo ver, me reinicia el navegador....
y lo que más miedo me da es que me pone fotos en una carpeta escondida  en firefox, fotos que yo no pongo, y me da miedo que ponga fotos de vete a saber el que y me den la culpa a mi encima.... desesperante....

Lo tengo encima seguido, y no se si realmente es tan bueno o no, lo que si se , es que tiene muchos apoyos, y yo no tengo a nadie, incluso mi familia se me ha puesto en contra....


La ip interna supongo que no puedo hacer nada entonces ¿?,  si que veo que sale con una cadena de proxys, pero no se como localizarlo, tal vez sea la última dirección de la cadena de proxys, es decir, de la interna, pasa por 6-7 direcciones, y la última debe ser el proxy real con el que se esconde, pero no se si es así.


MIra hace dos años o  así, me puse a atacarlo con armitage, zenmap y programas de ataque, sin saber muy bien que hacia, y creo que el tio me denuncio, por que me paso una historia chunga....

Creo que se le han puesto de su lado  mucha gente, y yo tengo todas las comunicaciones interceptadas, todo esto que escribo, lo lee en directo.....  como dije no tengo ya dinero y no puedo desplazarme, total, que  imaginate...

Sufro esto desde hace muchos años, al fin, se como me lo hacen, pero ahora no hay forma de solucionarlo, ya llame a unos péritos informáticos hace años, pero me engañaron, como comentas... entonces estoy atrapado no puedo hacer nada sin que se entere el tio....

Al fin y al cabo, seguro que puede solucionarse de alguna forma...  pero de momento no puedo, solo puedo exponer mi caso en todos los sitios que puedo.


Entonces, ruego, suplico ayuda a esta gran comunidad , el que me lo hace , me ha jodido mucho durante años, últimamente, ya no solo con el pc, afecta a mi vida personal, familia y salud.

No creo que sea la policia por que no me putearian de estas maneras, no creo, supongo que es alguien con mucho apoyo, que me quiere putear a tope.

 Sinceramente, estoy sin trabajo, sin parienta, con la familia en contra, con problemas de salud, sin dinero, no hago nada malo, y me están jodiendo de mala manera.

Otra vez imploro ayuda a esta comunidad.
No puedo llamar a nadie, y tengo que fiarme de quien me quiera ayudar, aún y sabiendo que el cracker ya se habrá puesto en contacto con el para contarle,  lo que le venga en gana.

Saludos, y muchas gracias a quien se preocupe por mi caso, yo le estaría agradecido eternamente.
Seguramente haya solución , pero yo no la se, y necesito saberla.

Gracias  a todos , siento si me he excedido escribiendo.
Saludos.

Gracias, eso haré, calmarme, por que ahora el que está nervioso es el craker creo.

Se como me lo hace, y se la estrategia a seguir, solo necesito dinero.

Tiraré de la garantía todo lo que pueda, y me relajare, total ahora se el problema.

Gracias, cualquier aporte será muy bien recibido por mi.

Otra vez gracias.

Estoy flipando. Esto es una broma, no?