Buenas,

En la descripción de ese exploit te indica:

"Description:
  This module exploits a NULL Pointer Dereference in win32k.sys, the
  vulnerability can be triggered through the use of TrackPopupMenu.
  Under special conditions, the NULL pointer dereference can be abused
  on xxxSendMessageTimeout to achieve arbitrary code execution. This
  module has been tested successfully on Windows XP SP3, Windows 2003
  SP2, Windows 7 SP1 and Windows 2008 32bits. Also on Windows 7 SP1
  and Windows 2008 R2 SP1 64 bits."

El server que estás utilizando, creo, tiene SP1. Por otro lado, en ocasiones la descripción es orientativa, tu exploit es de método post-explotación; cuando ya has conseguido el acceso. ¿Con qué exploit/payload previo has conseguido la sesión? Revisa el target. Si no lo has cambiado, te lo lanza como auto (inglés). Y el server es spanish -59  Windows 2003 SP1 Spanish (NO NX)-

Y, por último, si con el exploit/payload previo ya eres SYSTEM, ¿para qué vuelves a lanzar el segundo exploit?. Sólo te serviría para elevar privilegios, pero... Ya eres SYSTEM =)

Saludos!

Buenas,

No veo restos de malware en el log de Hijackthis, pero sí una línea que me resulta sospechosa:


Indica que estás utilizando un proxy... De china. La pregunta siguiente es: ¿Has configurado tú ese proxy?.

Por otro lado, me resulta curiosa tu afirmación:


El servicio es del sistema. Pero si GMER lo "ha pintado" de rojo, es sospechoso. De todas las veces que lo he utilizado, nunca se ha equivocado. Como digo, el servicio es válido, pero es muy probable que algún malware lo esté utilizando para su uso.

En el mismo GMER podrías revisar la pestaña "Files" y comprobar si también te indica algún fichero como infectado.

O bien, podrías bajarte Autoruns. Mediante "Options" filtrar por "Hide Microsoft and Windows Entries" y por "Verify Code Signatures". Realizar el escaneo, revisar el resultado y empezar por el fichero que, crees, es sospechoso. Mediante "Jump to" te redigirá al registro y podrás comprobar qué ejecutable está asociado.

Por supuesto, la otra opción es formatear. Pero es menos divertido.

Saludos.

Buenas cherokee68,

Desconozco si ya has solucionado tu problema, puesto que ha pasado una semana desde la última respuesta. Si sigues batallando con el rootkit -o para futuras ocasiones-, puedes revisar este artículo.

A mí, en su momento, me sirvió.

Saludos.

Buenas fifinio,

En el análisis de Panda, nada que destacar. Son, aparentemente, cookies inofensivas. Podrías borrarlas tú mismo desde el propio navegador.

Si la aplicación MRT tampoco ha detectado nada, perfecto.

En cuanto a la captura de Norton:

62.74.197.106 (Grecia).
80.29.17.82 (España).
79.125.170.99 (Macedonia).

Si bien, tal y como se aprecia, han sido bloqueados.

Aparentemente, basándonos en los escaneos que has hecho, tu odenador está limpio. Los avisos de Norton pueden deberse, sencillamente, a posibles intentos de acceso por parte de ordenadores que sí están infectados.

Habría que revisar Norton para comprobar la configuración. Quizá se pueda variar algún parámetro para que no te avise. Por otro lado, me parece curioso porque estuve mirando las características de Norton 360 5 Premier Edition y por ningún sitio pone nada de "Firewall". Con lo cual, no entiendo qué leches está bloqueando. Tendrás activo el de Windows, pero no entiendo por qué lo indica Norton.

A ver si algún otro usuario experimetnado nos ayuda ¿Nov andas por ahí  ?...

Puedes revisar tú mismo las entradas del Firewall de Windows 7. Pero... Si ves que es demasiado engorroso. Déjalo pasar. Por mi parte, NO creo que el ordenador esté infectado. El antivirus sólo te está indicando de posibles infecciones que neutraliza.

Saludos.

Buenas fifinio,


Nada, se supone que para eso están los foros... ¡Para ayudar!

Dices que has pasado MRT. Un consejo:

Pásalo en modo seguro mediante F8. Mejor SIN funciones de red. (Método 1 del link)

Antes, eso sí, bájate el último MRT.

Escanea en modo seguro sin funciones de red y nos cuentas si ha encontrado algo.

Por otro lado, en tu captura veo: "Análisis rápido". Mejor si haces un "Escaneo completo".

Ya nos contarás.

Saludos.

Buenas fifinio,


Tal y como te comenta Novlucker, no parece nada sospechoso. Sencillamente te avisa que IE está conectándose a Internet. Ahora bien, también podría ser que estuvieras infectado por algún Malware inyectado en ese proceso y que se estuviera lanzando con "vete a saber" qué motivos. Pero, por ahora, no compliquemos más las cosas. Eso es sólo una suposición.


Aquí podrás encontrar más datos sobre ello. Por si te interesa informarte.


De nuevo, tal y como te han comentado, puede deberse al intento de acceso de algún ordenador infectado. No estoy de acuerdo en que cambies de antivirus, ya que, como parece; por ahora lo está bloqueando. A fin de cuentas, también podría deberse a algún escaneo esporádico de cualquier internauta.

Windows, por defecto, tiene los puertos 139 y 445 abiertos para compartir las impresoras y los archivos en red. Te diría que, si tu ordenador no está en una LAN (red compartida con otros odenadores), desactives NetBios. Luego puedes comprobar si sigues recibiendo los mismos avisos.

Ahora bien, si te parece muy engorroso, tampoco es necesario. No creo que estés infectado. No obstante, si quieres asegurarte, podrías ir por partes:

(1) Comprobar si existen rastros de malware. Para ello, podrías realizar un escaneo con otro antivirus.

Panda Online

(2) Si no encuentra nada, habrá que revisar la configuración del Firewall.

Ya nos contarás.

Saludos.

PD: También podrías pegarnos la captura de los resultados del antivirus. Así quizá podamos ayudarte más...

Buenas Sk9ITk5Z,

Prueba lo que te comenta skapunky. Debería servirte.

Otra opción, por si a alguien le pudiera interesar, sería mediante un CD de Windows:

(1) Iniciar desde el CD.
(2) Opción reparar. (R)
(3) Indicar partición de Windows. (Suele ser opción "1" si no tienes más S.O instalados).
(4) Introducir la contraseña de "Administrador".
(5) Introducir comando "FIXMBR".

Saludos.

Buenas,

Debes entrar con la puerta de enlace asignada. Depende de la compañía. Podrás verlo mediante un simple ipconfig.

Por lo que comentas, debe ser la 192.168.1.1

Mediante una búsqueda rápida por google, he encontrado datos sobre el 7968r. Échale un vistazo, los menús no deben variar mucho -supongo-.

Dicho esto, desconozco dónde está la opción que solilcitas, pero sí puedo indicarte que mediante el comando netstat, puedes saber qué equipos hay conectados a tu red.

Por mi parte, suelo utilizarlo con los modificadores "netstat -nab".

En la lista, debe salirte las conexiones y tu IP local: 192.168.1.x. Si ves que hay otra IP, pertenece a otro equipo.

Por otro lado, la opción que comentas debe poder modificarla mediante el enlace web (192.168.1.1). Te tocará investigar y jugar con los parámetros.

Si quieres asegurarte la WIFI: Quita el DHCP, cifra mediante WPA2, filtra por MAC, oculta el ESSID... Busca en este subforo. Se ha comentado varias veces. Una WIFI siempre es vulnerable, pero, cuanto más complicado se le ponga al intruso, mejor.

Saludos.

Buenas,

Pues sí, parece que está todo limpio.

Aunque me resulta extraña esta entrada:


Sencillamente indica que utilizaste -o utilizas- proxy en IE. Aunque sería ilógico direccionarlo hacia local. Por otro lado, también se observa:



Supongo que estarás usando Firefox. Ya que el IE es un poco antiguo... -Entiendo que te habrá resultado indiferente actualizarlo-.

Es posible que el virus afectara a IE, pero no a Firefox. Es posible que modificaras el valor tú mismo para realizar alguna prueba.

En fin, en cualquier caso: ¡Felicidades! Lo has solventado sin formatear.

Saludos.

Buenas,


Haciendo una búsqueda rápida por google, no sale nada. (Sospechoso)

El virus, si es el que yo creo, es posible que te haya creado algún "autorun" tanto en las unidades locales como en las extraíbles.

No iría mal que lo revisaras mendiante:

(1) CMD
(2) dir /as

A ver si te lista algún autorun.inf

Ya puestos, para asegurarnos que está limpio, podrías colgar un log de hijackthis. Si te lo deja ejecutar, casi seguro que el virus está, si no al completo, casi erradicado. En ese caso, lo dicho, podrías colgar el log y lo revisamos.

Saludos!

PD: Tampoco iría mal que deshabilitaras "Restaurar Sistema". Reiniciar y volver a activarlo. De ese modo, si hay alguna muestra del virus, también se borrará.