Foro de elhacker.net

Buenas. Trasteando, supongo luego de descargar el Tor (aunque no estoy seguro, ya q no lo habia mirado antes), me salen en el netstat 3 conexiones activas y a veces mas, a merijn.org, y eso no es posible, ya q aun teniendo todo cerrado y sin navegar, estan alli (ahora mismo estan por ejemplo). Supongo a la vez q se trata de algun tipo de spyware, pero como no tengo ni idea de estas ni tantas otras cosas, no puedo asegurarlo. Mi pregunta: alguna manera de evitar estas intrusiones? Alguna forma de ver q es lo k hacen desde esa conexión? Alguna idea? Muchas gracias.

TCPView  (http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx)para ver que programa utiliza esa conexión
Wireshark  (http://www.wireshark.org/download.html)para ver que es lo que "hablan" programa y servidor

Saludos

Lo del wireshark no lo habia pensado, gracias. El tema es q no captura en tiempo real, y no puedo conectarme y monitorizarme a la vez (seguramente por mi torpeza). De cualkier forma, seguire intentandolo. Muchas gracias.

Como que no captura en tiempo real? si esa es su función :o
Tienes que ir arriba a "Captura" y elegir la interfaz en la cual quieres escuchar.

Saludos

Cleantesdeasso, ¿por casualidad tienes instalada la aplicación HijackThis?

El hijack this no lo tengo. Gracias festor. De tanto q lo he leido, lo voy a asiguatar ya.
 Lo del wireshark: no captura, solo me descifra, y no siempre bien (depende del pass, ya q los q alfanumericos, sin problemas, pero los q son solo numeros, no va... no m preguntes porq la verdad q no lo imagino. Ya pase los numeros por el winex, por si fuera algo esotérico q escapase a los pocos conocimientos q tengo, pero tampoco paso nada). Igual, volvere a intentarlo, porq nunca lo probe conmigo mismo...
 El tcpview me dio unas cosas extrañas, como procesos inexistentes, y otros tantos q van y vienen sin yo hacer nada. Cerre los procesos asociados a los puertos q me estaban dando por cool, y se cerro el msn. Esto se va complicando... Gracias por contestar tan rapido y conciso.

Algo debes de estar haciendo mal con wireshark, y en realidad con eso es con lo que más información vas a obtener.
Procesos inexistentes? me temo que eso no es posible, esos procesos si existen :rolleyes:

Te sugiero dejarnos un log de hijackthis (http://free.antivirus.com/hijackthis/)

Saludos

Gracias por la info, aunque no lo decia par que lo instalaras no es mala idea... de todas formas... seguimos con las preguntas...

¿tienes la aplicación Uptimer 4 (http://uptimer-4.softonic.com) instalada en ese equipo?

Verdad es, mi torpeza me impedia ver q habia una pestaña encendida q no permitia el correcto funcionamiento del artilugio (algo del modo promiscuo). La verdad, q estan ocurriendo miles de cosas en este ordenador, y me entro un poco de pánico. Es escarnioso. Ademas me sale una direccion ip (la scanee recien...) q no se con exactitud q hace, pero no parece algo normal... El hijack todavia no lo baje, me recomiendas q lo haga, o te daria igual si te paso una captura de pantalla del wireshark o algo asi? Miles de gracias.
 Uptimer 4 no lo tengo. Pánico total.

¿Estas seguro?  :-\

Me refiero a si sabes exactamente lo que está instalado en tu equipo o sólo te guías por lo que aparece en el menú de inicio de Windows...

Hace 2 semanas le pase el malware bytes en modo a prueba de fallos, y me saco 3 cosillas dañinas, supuse q hasta dentro de un par de semanas, no tendria q hacerlo nuevamente... Pero si Festor, es verdad q cada vez q le paso el malware, sale algo distinto. Y como uno da tantas vueltas, no siempre estoy al loro de lo k pasa. Como puedo saber si esta el uptimer instalado? A simple vista no esta, y desde luego yo no lo instale vaya. Gracias.

Con la cantidad de datos que muestra wireshark, difícil resumirlo a una captura de pantalla.
Dejanos el log de hijackthis, o sino mejor uno de Sysinspector  (http://www.eset-la.com/support/sysinspector.php);D
En este último para que no contenga datos personales ve a Archivo > Generar > Para enviar o desde línea de comandos con el parámetro /Privacy ;)

Con este log ya te podré decir algo de las conexiones raras, o si es culpa de software instalado

Saludos

Marcha un log de syspector con patatas. Lástima q tengo la conexión como si hubiera estado toda la noche de marcha con el malo de Robocop 2... (esta bajando a 2,15 kb...). Otra duda: de donde sale tanta maldad?! Q puede estar haciendo quien sea q este trasteando? Mandando spam, o algo mas jodio? Hace cosa de 2 meses, mi mujer tuvo un problema haciendo transacciones con la tarjet de credit... Tendra relación, o sólo será porq yo estoy trasteando?

Como poder ser puede ser cualquier cosa, y el quién puede ser cualquiera, el malware se ha ido diversificando :P

Saludos

Novlucker, te lo envie a tu mail... Perdon por mi consabida torpeza, no di con el boton idoneo para enviarlo por aki (de hecho, no se si eso es posible). Gracias de nuevo.

De hecho no hay manera de subir archivos, hay que subirlos a servicios "externos", yo lo he hecho para que otros puedan verlo :P
:http://www.mediafire.com/?nckewtzl0zz

Ahí esta, y dejame buscar mejor, pero desde ya lo primero que salta a la vista es un rootkit (http://es.wikipedia.org/wiki/Rootkit), esa es la razón por la cual no encuentras el proceso :-\ , y además de seguro tampoco puedes entrar a una cantidad de webs de seguridad, como las webs de AVG, Avast, Kaspersky, Bitdefender y demás

Saludos

 Gracias novlucker, lo suyo es realmente admirable. Lo mismo para Festor, muy agradecido. Lo unico q me kedaria es borrar el maldito rootkit ese... Dejame adivinar, a k no lo puedo borrar "a mano"? Dime q si porfavor, q se puede borrar cojiendolo y dandole a suprimir! XD

Lo dicho: no sale, ni mostrando los archivos ocultos. Pero bueno, en este caso q hago? solo lo puede solucionar otro soft, o manualmente podria? Y prometo invitarte a un vino/chocolatada/agua mineral cara/etc. Gracias.

Te lo diré del siguiente modo ..
El rootkit ya tiene su tiempo y es detectado por la mayoría de los AV, así que entiendo que la pc sea una Celeron a 900Mhz con 1Gb de RAM, pero no puedes estar sin AV :-\
:http://www.virustotal.com/analisis/178476ad02c1ed7c22849a8c85e6429b60cb497a18a8c34cd42201731062c4ba-1236810523

Sobre lo de eliminar el rootkit, ... puedes hacer el intento ...

Descarga Process Explorer (http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx), ejecutalo y revisa si te aparece el proceso v6msn.exe
Si aparece dale a Kill process tree
Luego toca eliminar el archivo ... Inicio > ejecutar > cmd
Con cd te mueves hasta la carpeta C:\windows\system32 y ejecutas lo siguiente

C:\Windows\System32>attrib -s -h -r v6msn.exe
C:\Windows\System32>del v6msn.exe

Si se elimina simplemente no dirá nada, si no lo encuentra saltará error.

Luego de esto vamos a limpiar el archivo hosts, por lo directamente desde el explorador vas a C:\WINDOWS\system32\drivers\etc, y modificas el archivo hosts (sin extensión) eliminando todas las url que dicen ..

El archivo te tiene que quedar como el siguiente, así que también puedes copiarlo y pegarlo

Y habiendo limpiado el archivo hosts debemos de pasar al registro de windows
Inicio > Ejecutar > Regedit
Muevete hasta HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run y borra la entrada que se llama MSN6.1 Auto-Updater y tiene por valor v6msn.exe

Todo esto deberías de hacerlo en modo seguro/a prueba de fallos.

Al finalizar, pasa otra vez Malwarebytes, y de ser posible algún AV en modo live-cd, te recomiendo Avira
http://foro.elhacker.net/software/cds_autoarrancables_para_casos_de_emergencia-t204137.0.html

Te bajas la iso (unos 65 Mb), la quemas e inicias la pc booteando desde el cd, luego de iniciado te tiene que dar la opción de cambiar el idioma de alemán a inglés.
Te vas a las opciones de configuración de scan y activas el que se renombren los archivos "maliciosos", porque sino solo te alerta y no hace nada :xD , y luego si comienzas la revisión.

Si llegas a tener problemas con el booteo de este cd, puedes probar con algún otro de los recomendados.

Saludos

Novlucker, si con esta explicacion, no soy capaz de borrarlo, te juro q me corto alguna protuberancia de mi cuerpo. Como siempre, me dejais sin palabras... Gracias de verdad. :)

De nada, pero procura no cortarte nada que puedo estar equivocado al dar la respuesta :xD

Saludos y suerte

P.d: le he agregado algo que se me pasaba :P

Despues de horas luchandosin lograr aparentes resultados, me fui al bar, me cante 4 bulerias, me bebi la correspondiente ginebra, y hoy me levante con ganas de vencer... No pude borrarlo, ni desde el msdos, ni nada, pero si entre en unos menus q ni sabia q existian, donde pregonaban no se q tipo de permisos, y aparecia esa bendita direccion (127.0.0.1) y se asociaba con merijin.org, asi q le di a unos cuantos botones y parece q se calmo... en el archivo host, aparentemente, no habia nada, pero si bajabas salian mas de 40 direcciones asociadas , todas de seguridad informatica, como bien habias profetizado. Borre todo, e incluso, hay otro archivo host, q pone "host.msn", y otro "host.bak". El bak me lo puedo tragar, pero el q pone msn, mmm.-.. de beria borrarlo? Bueno, ahi esta. En el registro entre recien, y dando bandazos, al fin di con el maldito rootkit, q estaba en otro sitio :hkey-current user/software/microsoft/windows/shellnoroam/MUIcache
 Borre esa entrada, y ahora en el netstat no aparecen tantas conexiones: vamos por el buen camino. Todavia no pase el antivirus, per o gracias a tu orientacion, ahora internet furula guay :), q ayer me ponia mas trabas q la ONU. Intente de nuevo borrarlo, pero no hay manera. Cuando logre borrarlo del  todo (seguro q esta tarde) , dare el parte de buenas noticias. Gracias.

Edit: en el registro, hay muchas mas entradas por todos lados... suprimosuprimosuprimosurmano

Lo había adelantado, no podía ser tan fácil :xD
Los rootkits no son nada faciles de eliminar, aunque el que no debería de tener problemas es Avira ya que hace todo antes de que inicie el SO, y por ende el malware.
Lo de los archivos host, no tengo esos que mencionas, quizás deberías de abrirlos con el bloc de notas a ver que contienen :-\
Lo que no hayas encontrado la entrada de registro me hace suponer que el bicho sigue "en la vuelta", además de que en MUIcache se guardan las aplicaciones que se han ejecutado durante la sesión actual, con lo cual ... :-\

No va a ser fácil! :D

Saludos

Q va, sigue dando x cool. Voy a ver si pasa algo con avira, q encima tengo un dolor de muelas q me estoy dando la cabeza contra la pared.
 SAlu2 y gracias, aver si hay un poco de suerte. Con el process exxplorer, mate unos cuantos, pero siempre, o volvian, o el sistema crasheaba. No pude ni pararlo un segundo vaya. Termine por crashearme XD

 Bueno, no pude bajar nada, porq se van jodiendo las conexiones, y la tasa de transferencia se keda seca. Para 10 megas llego a decirme q faltaban como 6 horas, jja. Pero si borre 3 backdoors, y di al fin con la entrada de registro a la q te referias (ayer por razones mágicas no daba con ello... seria la ginebra?). Ahora se conecta a otros sitios igual de misteriosos, pero con mas furia, porq en los procesos, se dispararon un monton de iconitos de java, no se q es... Ahora digo yo: q provecho saca el k me lo metio? tengo alguna manera de saber de donde vino el rootkit? Podia contactar con la persona q lo metio? Se supone q si esta usando los recursos de esta makina para su beneficio, tiene q estar del otro lado, o solo instalo un bot q se bootea solo? Ay cuantas preguntas, y q poco cerebro me keda...

Como bien dices puede ser "simplemente" un bot, y los usos que les pueden dar son muuuuchos.

Te ha dejado borrarlo o simplemente sigue iniciando y recuperandose? (supongo que esta última XD)
Iconitos de java? Mmmmm, intenta ver a donde se conecta cuando saltan esos iconitos, quizás puedas colgar un log pcap de unos 5 minutos de wireshark (como salen direcciones IP quizás prefieras enviarmelo por privado)

Si tu problema sigue siendo por ejemplo ingresar a la web de avira para bajar el rescue cd, he subido la iso aquí :P (actualizada a día de hoy)
http://www.mediafire.com/?etjzynzyjzx

Saludos

Gracias novlucker, pero la cosa esta tan mala con las descargas, q tendre q irme a un cibercafe a descargar el Avira, porq otra cosa ya no se me ocurre...ah si, pasar de windows ya de una vez por todas, e instalar el ubuntu q lo tengo alli mirandome como diciendo "todavia sigues con esa basura?"... pero claro, si no puedo con esta basura, ahora imaginate con linux...
 Volviendo al tema, hay un proceso de llamada a procedimiento remoto, (rpc) o algo asi, q no lo puedo matar porq se va el sitema al garete... tiene q ver seguro, no?
 Bueno seguire intentando bajarme esta imagen, y a ver si el enemigo tiene un poco de compasion, o le empiezo a rezar a San Altair 8080.

 LOgre descargarme el Avira!! (trompetas suenan de fondo). Ahora me conecte desde otro AP, y he podido descargarlo... tal vez porq el atacante contaba con la otra ip desde la cual me conectaba? Dudas, y mas dudas... Esta tarde cuando termine de desinfectarlo (si Dios quiere...), vuelvo a postear, y te paso la pcap del wireshark novlucker, a ver si me aclaras algo de lo k estaba ocurriendo (siempre y cuando no haya agotado tu paciencia virtuosa). MUCHAS GRACIAS!!

(nota: incluso el dolor de muelas parece haber disminuido con el buen hacer!)

Edit: la muela va mejor con los antibioticos, pero el antibiotico de la Pc, se colgó no se porq razón, antes de la mitad del proceso de scaneao... Volvere a pasarlo. Tambien me ponia en record, unos cuantos archivos del Metasploit, supongo q por su codigo esotérico. Y asi con algunos otros programas q he descargado desde enlaces de aki... es verdad novlucker, no se puede vivir sin un antivirus...

editdenuevo: ahora si q si, termino y podemos decir q se acabo el tormento (suena de fondo la cabalgata de la valkyria), asi q lo único q me keda es poner el antivirus. A ver cual recomiendan los expertos... OS quiero  ;-)

Recontraedit: he descubierto q me habia abierto otra cuenta en el PC, con privilegios (supongo de root, siempre quise decir eso, jaja), con nombre de "Administradores", asi con mayusculas, q no me habia percatado de su existencia (mas q nada por q no se si realmente existia antes del rootkit...).
Por si a alguien le sirve. exit os