Foro de elhacker.net

La cosa es que voy a escribir algo con tildes y al oprimir esa tecla en vez de esperar que yo ingrese la vocal el pone as´´i, entonces es imposible poner tildes.

A alguien le ha pasado, o tiene idea de qu´´e pueda ser.

No es el teclado, es algo del sistema, es XP por si sirve de algo :P

Las probabilidades de que sea un virus, troyano o keylogger son bastante altas. Te lo muevo a seguridad.

No estaria demas un scan online para descartar la posibilidad de que sea algun malware.

Un saludo ;)

Bueno lo har´´e, posiblemente sea eso, igual me toca formatear para hacer una pruebas entonces hago eso de una vez :P

Buenas!!

Suelen ser troyanos, o primos hermanos, de Zbot (http://en.wikipedia.org/wiki/Zeus_%28trojan_horse%29).

http://row.avira.com/es/threats/section/fulldetails/id_vir/5048/tr_spy.zbot.aeag.html

Y suelen ubicarse en HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Valor : Userinit.

Lo mejor sería que nos colgaras un log de Hijackthis (http://www.trendmicro.com/ftp/products/hijackthis/HijackThis.exe) y lo miramos. Mírate esto si tienes dudas: http://foro.elhacker.net/seguridad/iquestcomo_leer_un_log_de_hijackthis_y_corregir_posibles_problemas-t188566.0.html

Para colgar el log: Do a system scan and save a logfile


Saludos.

A mi siempre me da pereza hacer ese tipo de cosas y menos cuando no tengo nada que salvar(datos), duro menos formateando y cuadrando todo ya tengo practica xD

Igual gracias a los que hablaron si tenía la sospecha de que era algo de ese estilo.

áéíóú xD

Saludos...

A lo mejor esperabas que te dijésemos: "Cuenta hasta cinco, salta cuatro veces a la pata coja, pestañea durante tres minutos, métete los dos dedos en la nariz y reinicia una vez..." ¡EA! Solucionado...


¿Te aburrías en casas porque tus papis no te han comprado la piruleta esta tarde?

Muy bien, hombretón. Ya has hecho la gracieta del día. Hale, puedes irte a dormir.

Buenas!
Solo una nota.
@Arcano.
Si sospechas que el malware se carga en WindowsNt, hijackthis no analiza esa key si no me equivoco.
Ni hijackthis ni eset sys inspector muestran todas las entradas de inicio, solo lo hace autoruns de sysinternals.
En todo caso pediría logs de Eset sys inspector+ autoruns.

Un abrazo.

@Arcano.

Pensé que era algo de configuración o que se yo, recuerdo un día que los navegadores bloqueaban todas las paginas pregunte aquí y alguien me dice, tienes mal la fecha y listo eso era, pero también pudo se un virus o algo así entonces es mejor preguntar...

Y acaso te importa... si comentas es para algo importante, para decir estupideces te vas a otra parte.

PD: de ti no esperaba nada, no te incluyas :)

Relax muchachos :P
winroot, cuando te refieres a que quizás se carga en Windows NT, a que rama te refieres exactamente? estoy casi seguro que Sysinternals lo detecta :P

Saludos

Buenas,

winroot


Efectivamente, Zbot -y variantes- suele copiarse en el 99'9% de los casos que he visto, en HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Añadiéndose en la entrada Userinit.



La verdad es que hasta ahora no había comprobado si Hijackthis mostraba esa rama. Gracias winroot . Es bueno saberlo.


Castiblanco

Me parece extraño que en 1 hora hayas resuelto el problema. Y viendo tu , lo primero que he pensado es que te aburrías y te 'estabas riendo de nosotros'. No me queda muy claro cómo lo has resuelto. Si ha sido formateando o era de configuración -que anteriormente mencionabas que 'no'; entonces me he equivocado juzgándote y como tal te pido disculpas. Si no es así... Si no es así, por mi parte no hay nada más que hablar.


Novlucker


También va bien saberlo  :)

Saludos!

Formateando dura uno como 20 minutos, dura más haciendo el scan ^^

Llamadme obvio, pero probaste a mirar que no tuvieras dos idiomas de teclado instalados? Lo he visto cieeeeentos de veces.

Si, al final termine poniéndole varios idiomas y desconfigurando el teclado, instalando y desintalando los drivers, ya ni sabía cual era la configuración "buena", hasta la otra tilde invertida (no se como se llame "`") le estaba pasando eso entonces comencé a cansarme ¬¬

Buenas!
@Novlucker
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
El hijackthis no detecta las entradas de esa lista, y eset sys inspector se come el valor taskman.
Además, eset sys inspector tanpoco lee a:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
La única utilidad que reporta todo es autoruns, por eso me gustaría que pidan logs de el más seguido.
Nota: lo anterior fue el resultado de estar 4 meses sin internet... (algo había que hacer).
@Arcano.
Me refería a que, pides log de hijackthis, cuando sospechas de una key que el mismo no lee.
Autoruns+ EsetSysInspector+Gmer suelen ser suficientes.
Y si no que va, dump de ram con windd y análisis con volatility y companía (es lo mejor que se puede hacer). Aunque claro, colgar un dump de 1 a 4 gb es un dolor de cabeza, y descargarlo también.
Un abrazo.

Buenas,

A mí me parece perfecto que se pidan logs de Autoruns. Es más, desde hace algún tiempo, venía observando -en varias pruebas- que Hijackthis no mostraba los virus que, sabía, estaban en el equipo. Ahora ya sé por qué. Gracias Winroot.

Por otro lado, si sabemos que esto es así, creo que Hijackthis, como el típico log que pedimos; se ha quedado obsoleto.

Saludos.

Es que por pedir logs no hay problema, de hecho tengo varios más para pedir :xD
Tendré que hacer algunas pruebas con Sysinspector, pero por lo pronto a mi si me lee el "Image File Execution", y el taskman no lo tengo para poder probar (ni tengo permisos para crear la llave ahora :xD)

Saludos

http://www.configurarequipos.com/tag-hijackthis-0.html
Echale un vistazo. Te dice como eliminar doble acento
Saludos y suerte ;-)

Buenas...

Winroot

Cuando he tenido algo de tiempo, me he puesto a investigar y en las ramas F2 de Hijack sí se muestran los valores que nos interesan de HKLM\.\Winlogon

• Valor Shell
• Valor UserInit

Lo que sucede es que sólo lo muestra cuando han sido modificados.

Supongo que toca retirar lo dicho:
Aunque me sigue pareciendo más completo Autoruns...

Saludos!

Buenas!
Bien, capaz que me equivoqué en algunas cosas del post anterior.llpero ...
Hijackthis
Para mi ya es antiguo, el solo hecho de que no lea el fichero js que contiene la config de firefox, y solo sirva para IE, ya es algo muy malo.
Bien, lo que si estoy seguro, prueben saturar el fichero hosts.
Hijackthis no mostrará nada.
Hijackthis muestra drivers?
Me refiero a servicios con la entrada type=1 (driver). La mayoría de rootkits son drivers.
Con el que menos probé es con sysinspector, pero que yo recuerde esa key (la de executionoptions), no la mostraba, en todo caso, se me pasó.
Otra pregunta, la key:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
Valor: BootExecute
La leen ?
No sé, me parece que el registro de windows es muy grande, y la única utlidad que muestra todo es autoruns.
Además, la opción de ocultar ficheros de microsoft es muy buena...

Un abrazo.

Sysinternals si :D , pero donde si aciertas es que se come el Taskman
Igual si seguimos dando vueltas no terminamos, y es que además Autoruns y Sysinspector en realidad no tienen el mismo objetivo y son complementarios :xD

Saludos

Edito: Sysinternals != Sysinspector :xD

Buenas!
@Novlucker
Por la hora que es, creo que sysinternals es sysinspector o algo así...
Bien, hablando en serio, yo me refiero solo a las entradas de inicio.
En todo caso, sysinspector muestra procesos, extensiones de archivos, conexiones,etc.
Pero bueno,
Un abrazo

Buenas...

[ironía MODE ON]-sin ánimo de que nadie se sienta aludido-

Yo creo que lo mejor será decirles a tod@s: FORMATEA. ¡Solucionado!

[ironía MODE OFF]

Fuera de bromas, todo esto parece estar guiándonos hacia solicitar logs con una sola herramienta con tal de solucionar el problema lo más rápido posible. Lo cual, no lo veo mal, pero entonces se me plantea la siguiente duda: ¿Esta web debe funcionar como lo que es, un foro, o como Soporte Técnico? Porque en el caso que busquemos celeridad, cuando alguien entra, lo mejor sería: "Pasa MalwareBytes -por nombrar alguno- en modo seguro y listo" -Está claro que no soluciona todo, es un simple ejemplo-.

Sin embargo, creo que "un foro" representa algo más. Es un estado de simbiosis -quid pro duo- donde el que pregunta solicita ayuda y el que responde también quiere aprender, pues cada caso puede mostrarnos nuevos retos que desconocíamos. De ahí que, entre otras cosas, se pidan logs y subir muestras de los archivos infectados.

Debate demasiado amplio para plantearlo en estos momentos...

Como dice Novlucker:"Si seguimos no acabamos". -Por mi parte ya voy acabando...-

Lo principal, quizá sería plantearnos lo siguiente: "¿Cómo actúa el Malware?" Para ejecutarse, ¿sólo puede hacerlo mediante las ramas del registro que utiliza Windows para inicializarse?

Porque, de ser así, como primer paso para aquellos que solicitan ayuda, podríamos hacer una lista entre todos sobre las ramas que se conocen, realizar una aplicación (un "TontoBAT" serviría) y pedirle al usuario que la pasara en el sistema.

¿Sabemos cuáles son todas esas ramas?

[/i]

Y faltan... Supongo.


Me parece que empezamos a desviarnos un muy mucho del tema principal. Si os parece conveniente, se podría empezar otro post para comentarlo. Si no.. Pues, pues eso, que cada cual, como buen foro que es, solicite, indique y ayude como mejor sepa o quiera.

Saludos.

Bien tu aporte, Arcano, que por cierto, vengo siguiendo otros y la forma en que contestas, además de otras colaboraciones de los compañeros del foro y por fuerza se aprende.

A los que como yo, reinamos en la ignorancia, vienen muy bien. No a todos nos interesa solucionar puntualmente y apaga y vámonos, sino que para los que  estamos aprendiendo, estos debates y diatribas, son de mucha utilidad.  

Acudir a las raíces del problema, independientemente del "click" que lo solucione, es lo que permite superarnos... y eso siempre será de agradecer al foro y a todos.

Saludos.

Gabriela

Gabriela-

Es de lo que se trata -creo-, de intentarnos ayudar entre todos. Mejor aún si nos hacemos entender lo más fácilmente posible. Se agradece tu comentario  :)

Saludos.