Autor
hace mucho que sospecho de rootkits que podrian estar ocultando conexiones en mi maquina, alguno me recomienda o me indica como podria buscar por este tipo de malware que ocultaria otras cosas en mi ordenador?
please help me looking specialy for rootkits
thanks
Hola,
queria saber si me podrian dar una mano, hace tiempo que estoy buscando por algo en mi pc pero nadie me da bola, leyendo el foro baje fing . miren lo que dice
-------------------------------------------------------------------------------
| Scan result for Hitokkiri-PC.fibertel.com.ar (190.193.155.4) |
|-----------------------------------------------------------------------------|
| Port | Service | Description |
|-----------------------------------------------------------------------------|
| 80 | http | World Wide Web HTTP |
| 135 | msrpc | Microsoft RPC services |
| 139 | netbios-ssn | NETBIOS Session Service |
| 443 | https | Secure World Wide Web HTTP (SSL) |
| 445 | microsoft-ds | SMB directly over IP |
| 1110 | nfsd-status | Cluster status info |
| 6881 | bittorrent-trac | BitTorrent tracker |
-------------------------------------------------------------------------------
lo primero que hice fue des activar netbios sobre tpc en servicios ni bien instale hace 2 semanas.
Me baje el wireshack
miren esto no me alcanzo 1 sola screen para tomarlo fueron 10 min de captura
http://subefotos.com/ver/?7509a1c6a68329844987c407d99276a2o.jpg
alguno que me de una mano en busca de rootkits que ocultan posibles conexiones ilegales, o sobre como escucharlas entre el trafico?
plese help =( nadie me cree! hay algo raro?
leyendo y bajandome las herramientas de el hacker, miren lo que encontre
ahi finalmente, SVCHOST.exe como una conexion establecida, e idle process con 22 conexiones man.
por favor denme bola miren esto
Svchost: http://subefotos.com/ver/?0a68bc00f9d75bac2e6110acf30e3b21o.jpg
System: http://subefotos.com/ver/?e96e404fd0cd92e6375d6b85f144151fo.jpg
Mod: Evita abrir 2 posts para el mismo tema, ambos se tratan de lo mismo, uni los 2 temas
http://subefotos.com/ver/?7c5e176dd21a62a89eaabf43a77a8ac1o.jpg
http://subefotos.com/ver/?788227e361a142ae207c14a82b98115ao.jpg
Sospecho que el esta aqui.
Código:
Ran by Hitokkiri (administrator) on 25-01-2015 at 11:14:40
Windows 7 (X64)
Running From: C:\Users\Hitokkiri\Downloads
Language: Español (España, internacional)
************************************************************
========================= Memory info ======================
Percentage of memory in use: 29%
Total physical RAM: 8155.89 MB
Available physical RAM: 5753.34 MB
Total Pagefile: 16309.96 MB
Available Pagefile: 13447.95 MB
Total Virtual: 8192 MB
Available Virtual: 8191.9 MB
======================= Partitions =========================
1 Drive c: () (Fixed) (Total:297.87 GB) (Free:201.02 GB) NTFS
N£m Disco Estado Tama¤o Disp Din Gpt
---------- ---------- ------- ------- --- ---
Disco 0 En l¡nea 298 GB 0 B *
Disco 1 No hay med 0 B 0 B
Disco 2 No hay med 0 B 0 B
Disco 3 No hay med 0 B 0 B
Disco 4 No hay med 0 B 0 B
Partitions of Disk 0:
===============
Identificador de disco: {4554A7D0-1ED5-4BF6-93A7-78B6668540EF}
N£m Partici¢n Tipo Tama¤o Desplazamiento
------------- ---------------- ------- ---------------
Partici¢n 1 Sistema 100 MB 1024 KB
Partici¢n 2 Reservado 128 MB 101 MB
Partici¢n 3 Principal 297 GB 229 MB
======================================================================================================
Disk: 0
Partici¢n 1
Tipo : c12a7328-f81f-11d2-ba4b-00a0c93ec93b
Oculta : S¡
Necesaria : No
Atrib. : 0X8000000000000000
N£m Volumen Ltr Etiqueta Fs Tipo Tama¤o Estado Info
----------- --- ----------- ----- ---------- ------- --------- --------
* Volumen 2 FAT32 Partici¢n 100 MB Correcto Sistema
======================================================================================================
Disk: 0
Partici¢n 2
Tipo : e3c9e316-0b5c-4db8-817d-f92df00215ae
Oculta : S¡
Necesaria : No
Atrib. : 0X8000000000000000
No hay volumen asociado con esta partici¢n.
======================================================================================================
Disk: 0
Partici¢n 3
Tipo : ebd0a0a2-b9e5-4433-87c0-68b6b72699c7
Oculta : No
Necesaria : No
Atrib. : 0000000000000000
N£m Volumen Ltr Etiqueta Fs Tipo Tama¤o Estado Info
----------- --- ----------- ----- ---------- ------- --------- --------
* Volumen 1 C NTFS Partici¢n 297 GB Correcto Arranque
======================================================================================================
============================== MBR Partition Table ==================
==============================
Partitions of Disk 0:
===============
Disk ID: 6119AD95
Partition : GPT Partition Type
Administrador de arranque de firmware
-----------------------------------
Identificador {fwbootmgr}
displayorder {bootmgr}
{42d256df-947a-11e4-9c6c-be23ca736625}
{42d256e0-947a-11e4-9c6c-be23ca736625}
{42d256e1-947a-11e4-9c6c-be23ca736625}
timeout 1
Administrador de arranque de Windows
----------------------------------
Identificador {bootmgr}
device partition=\Device\HarddiskVolume1
path \EFI\Microsoft\Boot\bootmgfw.efi
description Windows Boot Manager
locale es-ES
inherit {globalsettings}
default {current}
resumeobject {42d256e3-947a-11e4-9c6c-be23ca736625}
displayorder {current}
toolsdisplayorder {memdiag}
timeout 30
Aplicaci¢n de firmware (101fffff)
---------------------------------
Identificador {42d256df-947a-11e4-9c6c-be23ca736625}
description Hard Drive
Aplicaci¢n de firmware (101fffff)
---------------------------------
Identificador {42d256e0-947a-11e4-9c6c-be23ca736625}
description CD/DVD Drive
Aplicaci¢n de firmware (101fffff)
---------------------------------
Identificador {42d256e1-947a-11e4-9c6c-be23ca736625}
description Removable Drive
Cargador de arranque de Windows
-----------------------------
Identificador {current}
device partition=C:
path \Windows\system32\winload.efi
description Windows 7
locale es-ES
inherit {bootloadersettings}
recoverysequence {42d256e5-947a-11e4-9c6c-be23ca736625}
recoveryenabled Yes
osdevice partition=C:
systemroot \Windows
resumeobject {42d256e3-947a-11e4-9c6c-be23ca736625}
nx OptIn
Cargador de arranque de Windows
-----------------------------
Identificador {42d256e5-947a-11e4-9c6c-be23ca736625}
device ramdisk=[C:]\Recovery\42d256e5-947a-11e4-9c6c-be23ca736625\Winre.wim,{42d256e6-947a-11e4-9c6c-be23ca736625}
path \windows\system32\winload.efi
description Windows Recovery Environment
inherit {bootloadersettings}
osdevice ramdisk=[C:]\Recovery\42d256e5-947a-11e4-9c6c-be23ca736625\Winre.wim,{42d256e6-947a-11e4-9c6c-be23ca736625}
systemroot \windows
nx OptIn
winpe Yes
Reanudar tras hibernaci¢n
-------------------------
Identificador {42d256e3-947a-11e4-9c6c-be23ca736625}
device partition=C:
path \Windows\system32\winresume.efi
description Windows Resume Application
locale es-ES
inherit {resumeloadersettings}
filedevice partition=C:
filepath \hiberfil.sys
debugoptionenabled No
Herramienta de comprobaci¢n de memoria de Windows
-------------------------------------------------
Identificador {memdiag}
device partition=\Device\HarddiskVolume1
path \EFI\Microsoft\Boot\memtest.efi
description Herramienta de diagn¢stico de memoria de Windows
locale es-ES
inherit {globalsettings}
badmemoryaccess Yes
Configuraci¢n de EMS
--------------------
Identificador {emssettings}
bootems Yes
Configuraci¢n del depurador
---------------------------
Identificador {dbgsettings}
debugtype Serial
debugport 1
baudrate 115200
Defectos de RAM
---------------
Identificador {badmemory}
Configuraci¢n global
--------------------
Identificador {globalsettings}
inherit {dbgsettings}
{emssettings}
{badmemory}
Configuraci¢n del cargador de arranque
------------------------------------
Identificador {bootloadersettings}
inherit {globalsettings}
{hypervisorsettings}
Configuraci¢n de hipervisor
-------------------
Identificador {hypervisorsettings}
hypervisordebugtype Serial
hypervisordebugport 1
hypervisorbaudrate 115200
Reanudar la configuraci¢n del cargador
--------------------------------------
Identificador {resumeloadersettings}
inherit {globalsettings}
Opciones de dispositivo
-----------------------
Identificador {42d256e6-947a-11e4-9c6c-be23ca736625}
description Ramdisk Options
ramdisksdidevice partition=C:
ramdisksdipath \Recovery\42d256e5-947a-11e4-9c6c-be23ca736625\boot.sdi
****** End Of Log ******
En línea
