Muy buenas. HE instalado el aircrack pa Win XP en varias makinas sin problemas, con los drivers de commview, y todo va de perlas (lastima q no se puede inyectar grrr). Pero el otro dia, intente instalarlo en el netbook de un coleguita (un asus creo q era win xp sp 3, de esos pekeñitos q te encasketa timofonica segun me conto, cuando contratas el ruter por un modico precio...), y todo iba perfecto, su tarjeta es una atheros 5007 eg, perfectamente compatible, estan todos los dlls, etc, reemplazado el driver, en fin, todo como debe ser. Y no funciona, poniendo el airserv sin problemas con el driver del commview, todo perlas, pero cuando quiero usar airodump, se conecta y desconecta constantemente, y la verdad q no se porq pasa, ni tengo la mas remota idea. Tambien note, q en las otras makinas donde pude correr la suite sin problemas, cuando inicio el airserv, el iconito de redes de win (q esta abajo a la derecha, el monitor pekeñito), desaparece, y no vuelve hasta q no cierres la consola q esta ejecutando el airserv. En este caso, no desaparecia, puede tener q ver con eso? Espero haber sido claro, os dejo un saludo, y muchas gracias por leer.

Edit: al final, pude arrancarlo, de la misma manera q no funcionaba: de manera inexplicable. Y eso q habia apagado antes y todo, total q hoy si pude... Cosas de la magia informatica...

 Buenas Alex. He intentado ese payload tambien (q es el siguiente en la lista si mal no recuerdo), pero sin resultados, o mejor dicho, el mismo. Lo q me extraña, es q en su netstat y en el mio, la conexion esta activa... Tambien intente con el netcat, poniendolo a la escucha en algun puerto mio, con los comandos para q me ejecute la shell nomas al conectarse, pero debido a muchos factores (principalmente, mi torpeza, y q el netcat se cerraba solo), obtuve los mismo resultados. Lei en algun foro de MSF, q algunas "versiones" no soportaban el modo web. Pero el problema es q en modo consola, no me tira. O sea, abro la consola desde el modo web, y ahi preparo el exploit, sus respectivos parametros de IP, puertos y demas yerbas, su payload, etc. Lo corre, me dice q la sesion esta abierta, la conexion se establece (porq sale en el netstat), pero no pasa nada mas... Tambien note q me da una url con este exploit en concreto, con mi direccion Ip, el puerto q configure, y algo asi al final (varia segun los intentos van fallando y fallando):
http://192.168.x.x:8080/VxyUztF
(por ejemplo, no era exacto asi, pero eran un puñado de letras). Copie esa url, la meti en el navegador, press enter, y me sale en la pagina mas letras de ese tipo, pero unas pocas mas algo asi:
EfgTmOOjdJLLEj...etc (dos lineas)

 Porq ocurre eso?! Q siginifican esas letras? Tendria q esperar q la victima " pinchara" algo en su navegador, por el tipo de exploit? Ademas, me olvide: el exploit es para service pack 2, y la makina en cuestion, tiene SP3 segun me dijo mi colega,pero el MSF me dice q funciona... He probado con otros exploits de SP2 en esa makina, y me da error. No me acuerdo exactamente q me decia, pero no tiraba (por ejemplo, el de netapi famoso). En fin, no se q hacer.
 He pensado pasarme a ubuntu, anoche lo probe, pero mi mujer no kiere saber nada, porq dice q le ralentiza mucho el Windows con 2 particiones. Mujeres...

 Gracias por contestar.

EDIT: he chekeado en mi propia lan con otra makina q tiene el puerto 445 abierto, el exploit este q pulula por todos lados (ms_08_65 netapi, creo q era, no se si lei un post tuyo sobre el), y paso otra cosa distinta: se conecta, abre la session de shell segun dice, pero luego de eso, se queda en >>running  x tiempo indeterminado, puedo escribir en la consola, pero no hace nada, hasta q cierro la conexion con el tcp view, y entonces el msf vuelve a la normalidad... Otra cosa, q aun configurandolo para el puerto 445 (set RPORT 445), se conecto a otro puerto de la makina atacada, 2993. Eso no parece normal, al menos a simple vista... Pense q tal vez esta makina no fuera lo suficientemente potente para correrlo sin problemas al MSF, ademas de q no funciona correctamente. Q puedo hacer para seguir probando? Descargo una version mas vieja, o me dedico a la filatelia, o ambas cosas? Gracias

Buenas. Trasteando con el MSF y unos amiguetes, he logrado conectarme a sus ordenatas, fuera de nuestras respectivas LAN´s, por internet normal, luego de pasar el Nmap, y encontrar los puertos q tuvieran abiertos (cosa q a uno de ellos le puso muy violento, ya q el creia q al estar filtrado, no habia manera de acceder). Ahora mi pregunta: todo va de perlas, en el netstat aparecen las conexiones via TCP, por los puertos q configuramos, etc... Pero no me devuleve la shell! Me dice:

• Command shell session opened (xxx.xxx.xxx.xxx:xxxx - xxx.xxx.xxx.xxx:xxxx]

msf exploit (ms06_057_web_view_setslice) >

 En lugar de darme la shell, me sale esto ultimo, lo q nos resulta muy irritante (eligiendo como payload bind_shell_tcp, o algo por el estilo) Es porq no carga los payloads correctamente? La copia q descargue esta parcheada para lammos como yo? Cual es el problema ? (ademas q no se nada, soy un lammo, blabla, pero ese no es el tema). Tal vez es el exploit q seleccione el q no tira? Pero entonces porq no me da mensajes de error? Espero haber sido claro. Muchas gracias!

 LOgre descargarme el Avira!! (trompetas suenan de fondo). Ahora me conecte desde otro AP, y he podido descargarlo... tal vez porq el atacante contaba con la otra ip desde la cual me conectaba? Dudas, y mas dudas... Esta tarde cuando termine de desinfectarlo (si Dios quiere...), vuelvo a postear, y te paso la pcap del wireshark novlucker, a ver si me aclaras algo de lo k estaba ocurriendo (siempre y cuando no haya agotado tu paciencia virtuosa). MUCHAS GRACIAS!!

(nota: incluso el dolor de muelas parece haber disminuido con el buen hacer!)

Edit: la muela va mejor con los antibioticos, pero el antibiotico de la Pc, se colgó no se porq razón, antes de la mitad del proceso de scaneao... Volvere a pasarlo. Tambien me ponia en record, unos cuantos archivos del Metasploit, supongo q por su codigo esotérico. Y asi con algunos otros programas q he descargado desde enlaces de aki... es verdad novlucker, no se puede vivir sin un antivirus...

editdenuevo: ahora si q si, termino y podemos decir q se acabo el tormento (suena de fondo la cabalgata de la valkyria), asi q lo único q me keda es poner el antivirus. A ver cual recomiendan los expertos... OS quiero  

Recontraedit: he descubierto q me habia abierto otra cuenta en el PC, con privilegios (supongo de root, siempre quise decir eso, jaja), con nombre de "Administradores", asi con mayusculas, q no me habia percatado de su existencia (mas q nada por q no se si realmente existia antes del rootkit...).
Por si a alguien le sirve. exit os

Gracias novlucker, pero la cosa esta tan mala con las descargas, q tendre q irme a un cibercafe a descargar el Avira, porq otra cosa ya no se me ocurre...ah si, pasar de windows ya de una vez por todas, e instalar el ubuntu q lo tengo alli mirandome como diciendo "todavia sigues con esa basura?"... pero claro, si no puedo con esta basura, ahora imaginate con linux...
 Volviendo al tema, hay un proceso de llamada a procedimiento remoto, (rpc) o algo asi, q no lo puedo matar porq se va el sitema al garete... tiene q ver seguro, no?
 Bueno seguire intentando bajarme esta imagen, y a ver si el enemigo tiene un poco de compasion, o le empiezo a rezar a San Altair 8080.

 Bueno, no pude bajar nada, porq se van jodiendo las conexiones, y la tasa de transferencia se keda seca. Para 10 megas llego a decirme q faltaban como 6 horas, jja. Pero si borre 3 backdoors, y di al fin con la entrada de registro a la q te referias (ayer por razones mágicas no daba con ello... seria la ginebra?). Ahora se conecta a otros sitios igual de misteriosos, pero con mas furia, porq en los procesos, se dispararon un monton de iconitos de java, no se q es... Ahora digo yo: q provecho saca el k me lo metio? tengo alguna manera de saber de donde vino el rootkit? Podia contactar con la persona q lo metio? Se supone q si esta usando los recursos de esta makina para su beneficio, tiene q estar del otro lado, o solo instalo un bot q se bootea solo? Ay cuantas preguntas, y q poco cerebro me keda...

Q va, sigue dando x cool. Voy a ver si pasa algo con avira, q encima tengo un dolor de muelas q me estoy dando la cabeza contra la pared.
 SAlu2 y gracias, aver si hay un poco de suerte. Con el process exxplorer, mate unos cuantos, pero siempre, o volvian, o el sistema crasheaba. No pude ni pararlo un segundo vaya. Termine por crashearme XD

Despues de horas luchandosin lograr aparentes resultados, me fui al bar, me cante 4 bulerias, me bebi la correspondiente ginebra, y hoy me levante con ganas de vencer... No pude borrarlo, ni desde el msdos, ni nada, pero si entre en unos menus q ni sabia q existian, donde pregonaban no se q tipo de permisos, y aparecia esa bendita direccion (127.0.0.1) y se asociaba con merijin.org, asi q le di a unos cuantos botones y parece q se calmo... en el archivo host, aparentemente, no habia nada, pero si bajabas salian mas de 40 direcciones asociadas , todas de seguridad informatica, como bien habias profetizado. Borre todo, e incluso, hay otro archivo host, q pone "host.msn", y otro "host.bak". El bak me lo puedo tragar, pero el q pone msn, mmm.-.. de beria borrarlo? Bueno, ahi esta. En el registro entre recien, y dando bandazos, al fin di con el maldito rootkit, q estaba en otro sitio :hkey-current user/software/microsoft/windows/shellnoroam/MUIcache
 Borre esa entrada, y ahora en el netstat no aparecen tantas conexiones: vamos por el buen camino. Todavia no pase el antivirus, per o gracias a tu orientacion, ahora internet furula guay , q ayer me ponia mas trabas q la ONU. Intente de nuevo borrarlo, pero no hay manera. Cuando logre borrarlo del  todo (seguro q esta tarde) , dare el parte de buenas noticias. Gracias.

Edit: en el registro, hay muchas mas entradas por todos lados... suprimosuprimosuprimosurmano

Novlucker, si con esta explicacion, no soy capaz de borrarlo, te juro q me corto alguna protuberancia de mi cuerpo. Como siempre, me dejais sin palabras... Gracias de verdad.

Lo dicho: no sale, ni mostrando los archivos ocultos. Pero bueno, en este caso q hago? solo lo puede solucionar otro soft, o manualmente podria? Y prometo invitarte a un vino/chocolatada/agua mineral cara/etc. Gracias.