Foro de elhacker.net

Hola.

Llevo meses sospechando que mi pc tiene algún programa espia o algo similar.

A su vez, he adquirido un pc nuevo, y en menos de un mes el antivirus lleva más de 1500 ataques detectados, de intentos de acceso remoto para instalar virus , puertos de acceso remotos  etc... y muchos vienen de la IP de mi wifi.

Existe manera de encontrarlo en el pc fácilmente? o me tengo que mirar bien mi wifi?

Gracias por su tiempo.

¿qué antivirus estás usando?

Los antivirus son un poco exagerados (normalmente los más comerciales) indicando falsos ataques e intentos de intrusión falsos.

¿1.500 ataques desde hace cuánto tiempo?

Entiendo que estás usando Windows 10 pero sería importante la suite de seguridad (antivirus) que estás utilizando. Realmente con el antivirus que viene con Windows, el Windows Defender tienes de sobras. Aunque en tu caso si no entiendes mucho de ordenadores, mejor utilizar una solución de pago.

Si no tienes ningún "puerto abierto" a través de router los intentos serán siempre fallidos

¿Tienes acceso RPD (Escritorio remoto habilitado?  Sería buena idea deshabilitarlo.

¿Qué quieres decir con la IP de mi Wifi? ¿Con qué rango empieza la IP? ¿IP pública o ip interna (privada)?

Mil gracias por la respuesta.
El antivirus es de pago, el Mcafee.

Tengo esos ataques desde hace menos de 1 mes. (En el nuevo PC)

En el antiguo pc he tenido problemas , del estilo conexión de la web cam, sin estar utilizando el pc en ese momento, programas nuevos como conexiones remotas etc...
a parte que el windows defender me salta mensajes como su ip esta comprometida etc.. 

 Al ver que persistía el problema aún tapando cámaras y eso, decidí cambiar de pc y me veo con tantos ataques de intento de conexiones remotas, (un ataque fue hacia el puerto 53001 - REMOTE WINDOWS SHUTDOWN TROJAN) - otro de Netbios - que ya no se si pensar si están intentando acceder al nuevo y creo que me puede venir por el wifi.

La IP de entrada que yo sepa es privada. (La de mi casa)

No veo la manera de subir las capturas de pantalla del visor de evento del nuevo pc, pero me encuentro eventos como: IN ONSESSIONCHANQE : REASON : REMOTEDISCONNECT. o servicios de escritorio remoto no acepta solicitud porque el programa de ejecución se esta instalando etc....

Y remotamente nunca he solicitado nada.

Y ya no se si sospechar que el nuevo PC que tengo de hace menos de 1 mes este comprometido.

MÁS EN VISOR DE EVENTOS: (ALGUNO SALES COMO ADVERTENCIAS)

Servicios de sesión remoto: cierre de sesión correcto:
Usuarios....  /administración.
Id de sesión: 1

Servicios de sesión remoto: notificación de inicio de Shell recibida:
Usuario sale mi carpeta
Id de sesión : 5

Servicios de escritorio remoto: sesión desconectada : Sesión desconectada
USUARIO/defaultuser0

Se proceso un cambio en la sesión de terminal services
Motivo: se desconecto una sesión de la terminal remota.

Se han marcado uno o varios recursos compartidos o canalizaciones con nombre para el acceso de usuarios anónimos, esto aumenta el riesgo de seguridad del equipo al permitir que usuarios no autenticados se conecten a este servidor
Claves de registro (HKLM/diferentes carpetas de mi pc)
valores de registro: Null session Pipes / NULLSESSIONSHARES

Y del antivirus que venia con el Pc me salto:
Se bloqueo un intento de intrusión de : newrrb.bid (Con un nº que parece una IP)
Equipo atacante: NEWRRB.BID (Y un numero que parece una IP, Igual que la que marca en paréntesis arriba. )
*Este fue 2 días más tarde de tener el nuevo PC.


Es para asustarse después de tener un ataque en el pc antiguo?

¿Qué versión exacta de McAffe está usando? McAffe ofrece muchos soluciones con distintos nombres y precios.

¿Qué versión exacta de Windows 10 estás utilizando? ¿Es un Windows 10 original comprado o bajado de internet? ¿Quién instalo Windows 10?

¿está tu ordenador directamente conectado a internet?

normalmente se accede a internet a través de un router y no hay puertos (servicios) abiertos y en el caso de tu ordenador parece que estás conectado a internet directamente con un módem exponiendo todos los servicios.

Intenta averiguar el modelo del router de tu operadora de internet (ISP) para comprobar la configuración por defecto sea correcta y ver que no tengas los puertos abiertos.

El antivirus es de pago y me permitió bajar las versiones McAffe safe connect, McAfee Livesafe , no se si respondo con esto a tu primera pregunta.
Podríamos decir que el paquete que compre de Antivirus tenia la opción de proteger varias cosas.
 
La versión que tengo es la Windows 10 y es la que venia en el pc de serie.

Mi ordenador va conectado a través de wifi a internet, directamente al mismo modem que me instalo la compañía de teléfono.

Voy a ver si me puedo hacer con el modelo aunque son dos. (Uno vertical y el otro horizontal)
Pero de entrada tienen que estar configurados de fabrica, nunca he modificado nada de eso.

Una vez tenga la ISP , como puedo verificar que no se ha modificado , y la configuración por defecto sea la correcta?

Y con todos esos eventos que me han salido, ya han conseguido acceder al nuevo pc??

Mil gracias por tus respuesta y tiempo!!!

Ése es el problema. Espero que el ISP actualice el firmware del fabricante.

Y tú, deberías cambiar SSID, la contraseña por defecto del Wifi, etc.

Aunque por defecto no deberían estar los puertos abiertos, ninguno. Máximo usar UPNP cuando una app lo necesite.

¿Que opciones de puertos abiertos te indica el firewall de Windows 10?

Quizás tengas instalado un programa de control remoto que no hay que abrir puertos.

Intenta averiguar si tu ISP utiliza un módem o router. ¿Tienes fibra o ADSL?

Ahora miraré de ir cambiando accesos.

Pero en el caso de tenerlo ya en el pc, existe la manera de verlo?
Sabéis si a través del CMD o archivos, puedo encontrar el programa remoto que puedan estar utilizando?

Gracias por vuestro tiempo!!!

Veo que faltan datos para que se pueda hacer algo, se te dice "¿qué version de Windows 10?" y tú solo dices "Windows 10" y así no se va a ningún lado.

Descripción de las PCs, del aparato de conexión, el ISP... Todos los datos que puedas aportar.

Si no el koño de la Bernarda va a seguir tan abierto como está, si es que tapas la webcam por que sabes que acceden a ella...

Creía que con lo de Windows 10, ya os podíais situar para saber si es posible detectar el programa que conecta la webcam o el programa remoto que estén utilizando. 

No sabia que existen diferentes versiones del windows 10... sorry!!!
Versión 20H2

Sabes que al lado de la webcam hay una luz?? es la que me indica que se están conectando a mi webcam....

Y en el caso del nuevo pc, reviso todos los eventos que me esta dando, los ataques que lleva detectados etc....

En el anterior pc, no solo se conectan desde mi wifi, ya que la cámara se me ha conectado estando fuera de casa...

Pero son temas un poco diferentes, la cuestión es saber si el acceso principal ahora lo tienen desde mi wifi, y entran a mi pc para quedarse hay instalados.... y tener la tranquilidad de que al nuevo no han llegado a entrar.  Tiene menos de 2 meses ....  Por eso la pregunta de si se puede detectar ese programa en caso de que esté instalado....

Si tienen ganas de entrar, una vez que vean los puertos cerrados, buscaran otras alternativas.... me hincharan a emails spam , como ya han hecho anteriormente. ( que era la idea principal de como podían haber entrado, hasta que con el nuevo me he encontrado con todo lo descrito en mensajes anteriores.

Por eso la necesidad de poder detectar dicho programa.

PD: Espero que el koño de la Bernarda se quede en casa.....

¡Pero por Dios!

¿Tan difícil es decir si es la home o la pro o la workstation?

Sabemos que es 20H2 y ya es algo.


Te presento a un gran amigo en éstos casos: https://www.infospyware.com/antimalware/hijackthis/


Bájatelo, rulalo en la PC infectada y péganos un log que ya te diremos lo que debes cerrar, señorito tengo una webcam con led de actividad con un paño tapada.

hijackthis va bien para detectar spyware y malware muy genérico, dudo mucho que detecte un RAT avanzado.


Pues existe el Windows 10 Home y el Windows 10 Pro, y además la versión (fecha actualización o compilación)

Activación de Windows 10 y diferencias entre versión Home y Professional
https://blog.elhacker.net/2020/11/activar-windows-10-licencia-digital-diferencias-entre-windows-10-home-y-professional-saber-version-build-instalada.html


Windows 10 "viene con los puertos cerrados", viene con un firewall incorporado, comprueba si hay excepciones. No debes permite conexiones remotas entrantes.

No pueden acceder a un ordenador remotamente por mucho que te manden e-mails de "spam", deberías tu abrir y ejecutar el fichero adjunto si lo lleva para poderlo conseguir.

Puedes bloquear bien las ip, o por parte del nombre dependiendo del firmware de tu rooter, en el propio rooter existe alguna opción, la mejor es por script si existe.

Si persiste sospecha que algún programa no se porta como debería.

we y para detectar un rat avanzado que método usarías o que programa recomiendas?

para un RAT avanzado pues tendrías que hacer un análisis forense con herramientas

Herramientas gratuitas análisis forense digital
https://blog.elhacker.net/2021/06/herramientas-gratuitas-analisis-forense-digital-.html

O analizar directamente el malware

Introducción al Análisis forense de Malware
https://blog.elhacker.net/2015/02/introduccion-al-analisis-de-malware-herramientas-forense.html

y el problema no son las herramientas que hay muchas y muy buenas, es saberlas utilizar.

Herramientas sencillas para detectar malware en Windows serían varias de SysInternals

Herramientas SysInternals para administrar y monitorizar Windows
https://blog.elhacker.net/2021/09/herramientas-utilidades-sysinternals-para-administrar-monitorizar-windows.html

Pero si lo que realmente quieres es eliminarlo (y no analizarlo a fondo) lo más rápido y sencillo es simplemente reinstalar Windows desde 0 (nada de reparar). Formatear la unidad y empezar de 0. Instalación limpia de 0, 100% efectiva.