elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a la Factorización De Semiprimos (RSA)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  ROOTKITS como encontrarlos
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ROOTKITS como encontrarlos  (Leído 3,543 veces)
Hitokkiri

Desconectado Desconectado

Mensajes: 3


Ver Perfil
ROOTKITS como encontrarlos
« en: 25 Enero 2015, 13:31 pm »

Hola,

hace mucho que sospecho de rootkits que podrian estar ocultando conexiones en mi maquina, alguno me recomienda o me indica como podria buscar por este tipo de malware que ocultaria otras cosas en mi ordenador?

please help me looking specialy for rootkits

thanks


Hola,

queria saber si me podrian dar una mano, hace tiempo que estoy buscando por algo en mi pc pero nadie me da bola, leyendo el foro baje fing . miren lo que dice

-------------------------------------------------------------------------------
| Scan result for Hitokkiri-PC.fibertel.com.ar (190.193.155.4)                |
|-----------------------------------------------------------------------------|
|  Port | Service         | Description                                       |
|-----------------------------------------------------------------------------|
|    80 | http            | World Wide Web HTTP                               |
|   135 | msrpc           | Microsoft RPC services                            |
|   139 | netbios-ssn     | NETBIOS Session Service                           |
|   443 | https           | Secure World Wide Web HTTP (SSL)                  |
|   445 | microsoft-ds    | SMB directly over IP                              |
|  1110 | nfsd-status     | Cluster status info                               |
|  6881 | bittorrent-trac | BitTorrent tracker                                |
-------------------------------------------------------------------------------

lo primero que hice fue des activar netbios sobre tpc en servicios ni bien instale hace 2 semanas.


Me baje el wireshack

miren esto no me alcanzo 1 sola screen para tomarlo fueron 10 min de captura



http://subefotos.com/ver/?7509a1c6a68329844987c407d99276a2o.jpg

alguno que me de una mano en busca de rootkits que ocultan posibles conexiones ilegales, o sobre como escucharlas entre el trafico?

plese help =( nadie me cree! hay algo raro?

leyendo y bajandome las herramientas de el hacker, miren lo que encontre

ahi finalmente, SVCHOST.exe como una conexion establecida, e idle process con 22 conexiones man.

por favor denme bola miren esto

Svchost: http://subefotos.com/ver/?0a68bc00f9d75bac2e6110acf30e3b21o.jpg

System: http://subefotos.com/ver/?e96e404fd0cd92e6375d6b85f144151fo.jpg

Mod: Evita abrir 2 posts para el mismo tema, ambos se tratan de lo mismo, uni los 2 temas

http://subefotos.com/ver/?7c5e176dd21a62a89eaabf43a77a8ac1o.jpg
http://subefotos.com/ver/?788227e361a142ae207c14a82b98115ao.jpg


Sospecho que el esta aqui.


Código:
Ran by Hitokkiri (administrator) on 25-01-2015 at 11:14:40
Windows 7 (X64)
Running From: C:\Users\Hitokkiri\Downloads
Language: Español (España, internacional)
************************************************************

========================= Memory info ======================

Percentage of memory in use: 29%
Total physical RAM: 8155.89 MB
Available physical RAM: 5753.34 MB
Total Pagefile: 16309.96 MB
Available Pagefile: 13447.95 MB
Total Virtual: 8192 MB
Available Virtual: 8191.9 MB

======================= Partitions =========================

1 Drive c: () (Fixed) (Total:297.87 GB) (Free:201.02 GB) NTFS

  N£m Disco  Estado      Tama¤o   Disp     Din  Gpt
  ---------- ----------  -------  -------  ---  ---
  Disco 0    En l¡nea     298 GB      0 B        *
  Disco 1    No hay med      0 B      0 B        
  Disco 2    No hay med      0 B      0 B        
  Disco 3    No hay med      0 B      0 B        
  Disco 4    No hay med      0 B      0 B        

Partitions of Disk 0:
===============

Identificador de disco: {4554A7D0-1ED5-4BF6-93A7-78B6668540EF}

  N£m Partici¢n  Tipo              Tama¤o   Desplazamiento
  -------------  ----------------  -------  ---------------
  Partici¢n 1    Sistema            100 MB  1024 KB
  Partici¢n 2    Reservado          128 MB   101 MB
  Partici¢n 3    Principal          297 GB   229 MB

======================================================================================================

Disk: 0
Partici¢n 1
Tipo          : c12a7328-f81f-11d2-ba4b-00a0c93ec93b
Oculta        : S¡
Necesaria     : No
Atrib.        : 0X8000000000000000

  N£m Volumen Ltr  Etiqueta     Fs     Tipo        Tama¤o   Estado     Info
  ----------- ---  -----------  -----  ----------  -------  ---------  --------
* Volumen 2                     FAT32  Partici¢n    100 MB  Correcto   Sistema

======================================================================================================

Disk: 0
Partici¢n 2
Tipo          : e3c9e316-0b5c-4db8-817d-f92df00215ae
Oculta        : S¡
Necesaria     : No
Atrib.        : 0X8000000000000000

No hay volumen asociado con esta partici¢n.

======================================================================================================

Disk: 0
Partici¢n 3
Tipo          : ebd0a0a2-b9e5-4433-87c0-68b6b72699c7
Oculta        : No
Necesaria     : No
Atrib.        : 0000000000000000

  N£m Volumen Ltr  Etiqueta     Fs     Tipo        Tama¤o   Estado     Info
  ----------- ---  -----------  -----  ----------  -------  ---------  --------
* Volumen 1     C               NTFS   Partici¢n    297 GB  Correcto   Arranque

======================================================================================================
============================== MBR Partition Table ==================

==============================
Partitions of Disk 0:
===============
Disk ID: 6119AD95

Partition : GPT Partition Type

Administrador de arranque de firmware
-----------------------------------
Identificador           {fwbootmgr}
displayorder            {bootmgr}
                        {42d256df-947a-11e4-9c6c-be23ca736625}
                        {42d256e0-947a-11e4-9c6c-be23ca736625}
                        {42d256e1-947a-11e4-9c6c-be23ca736625}
timeout                 1

Administrador de arranque de Windows
----------------------------------
Identificador           {bootmgr}
device                  partition=\Device\HarddiskVolume1
path                    \EFI\Microsoft\Boot\bootmgfw.efi
description             Windows Boot Manager
locale                  es-ES
inherit                 {globalsettings}
default                 {current}
resumeobject            {42d256e3-947a-11e4-9c6c-be23ca736625}
displayorder            {current}
toolsdisplayorder       {memdiag}
timeout                 30

Aplicaci¢n de firmware (101fffff)
---------------------------------
Identificador           {42d256df-947a-11e4-9c6c-be23ca736625}
description             Hard Drive

Aplicaci¢n de firmware (101fffff)
---------------------------------
Identificador           {42d256e0-947a-11e4-9c6c-be23ca736625}
description             CD/DVD Drive

Aplicaci¢n de firmware (101fffff)
---------------------------------
Identificador           {42d256e1-947a-11e4-9c6c-be23ca736625}
description             Removable Drive

Cargador de arranque de Windows
-----------------------------
Identificador           {current}
device                  partition=C:
path                    \Windows\system32\winload.efi
description             Windows 7
locale                  es-ES
inherit                 {bootloadersettings}
recoverysequence        {42d256e5-947a-11e4-9c6c-be23ca736625}
recoveryenabled         Yes
osdevice                partition=C:
systemroot              \Windows
resumeobject            {42d256e3-947a-11e4-9c6c-be23ca736625}
nx                      OptIn

Cargador de arranque de Windows
-----------------------------
Identificador           {42d256e5-947a-11e4-9c6c-be23ca736625}
device                  ramdisk=[C:]\Recovery\42d256e5-947a-11e4-9c6c-be23ca736625\Winre.wim,{42d256e6-947a-11e4-9c6c-be23ca736625}
path                    \windows\system32\winload.efi
description             Windows Recovery Environment
inherit                 {bootloadersettings}
osdevice                ramdisk=[C:]\Recovery\42d256e5-947a-11e4-9c6c-be23ca736625\Winre.wim,{42d256e6-947a-11e4-9c6c-be23ca736625}
systemroot              \windows
nx                      OptIn
winpe                   Yes

Reanudar tras hibernaci¢n
-------------------------
Identificador           {42d256e3-947a-11e4-9c6c-be23ca736625}
device                  partition=C:
path                    \Windows\system32\winresume.efi
description             Windows Resume Application
locale                  es-ES
inherit                 {resumeloadersettings}
filedevice              partition=C:
filepath                \hiberfil.sys
debugoptionenabled      No

Herramienta de comprobaci¢n de memoria de Windows
-------------------------------------------------
Identificador           {memdiag}
device                  partition=\Device\HarddiskVolume1
path                    \EFI\Microsoft\Boot\memtest.efi
description             Herramienta de diagn¢stico de memoria de Windows
locale                  es-ES
inherit                 {globalsettings}
badmemoryaccess         Yes

Configuraci¢n de EMS
--------------------
Identificador           {emssettings}
bootems                 Yes

Configuraci¢n del depurador
---------------------------
Identificador           {dbgsettings}
debugtype               Serial
debugport               1
baudrate                115200

Defectos de RAM
---------------
Identificador           {badmemory}

Configuraci¢n global
--------------------
Identificador           {globalsettings}
inherit                 {dbgsettings}
                        {emssettings}
                        {badmemory}

Configuraci¢n del cargador de arranque
------------------------------------
Identificador           {bootloadersettings}
inherit                 {globalsettings}
                        {hypervisorsettings}

Configuraci¢n de hipervisor
-------------------
Identificador           {hypervisorsettings}
hypervisordebugtype     Serial
hypervisordebugport     1
hypervisorbaudrate      115200

Reanudar la configuraci¢n del cargador
--------------------------------------
Identificador           {resumeloadersettings}
inherit                 {globalsettings}

Opciones de dispositivo
-----------------------
Identificador           {42d256e6-947a-11e4-9c6c-be23ca736625}
description             Ramdisk Options
ramdisksdidevice        partition=C:
ramdisksdipath          \Recovery\42d256e5-947a-11e4-9c6c-be23ca736625\boot.sdi


****** End Of Log ******


« Última modificación: 4 Febrero 2015, 01:42 am por engel lex » En línea

r32
Moderador
***
Desconectado Desconectado

Mensajes: 1.299



Ver Perfil WWW
Re: ROOTKITS como encontrarlos
« Respuesta #1 en: 26 Enero 2015, 02:42 am »

Hola veo tienes Kaspersky instalado, intenta resolver los problemas que te marca GFI Languard.
Aunque puedes echarle un ojo al tema por si necesitas algun a tool más, en este tema lo tienes:

http://foro.elhacker.net/seguridad/guia_rapida_para_descarga_de_herramientas_gratuitas_de_seguridad_y_desinfeccion-t382090.0.html

Aquí los anti-rootkit:

Gmer:
- Web: http://www.gmer.net/
- D.Directa: http://www2.gmer.net/gmer.zip

TDSSKiller:
- Web: http://support.kaspersky.com/sp/faq/?qid=208283366
- D.Directa: http://support.kaspersky.com/downloads/utils/tdsskiller.exe

Bitdefender Rootkit Remover:
- Web: http://labs.bitdefender.com/projects/rootkit-remover/rootkit-remover/
- D.Directa (32 bits): http://download.bitdefender.com/removal_tools/BootkitRemoval_x86.exe
- D.Directa (64 bits): http://download.bitdefender.com/removal_tools/BootkitRemoval_x64.exe
- FAQ: http://labs.bitdefender.com/wp-content/uploads/2013/02/rootkitremoverFAQ.txt

Malwarebytes Anti-Rootkit:
Web: http://www.malwarebytes.org/products/mbar/
D.Directa: http://downloads.malwarebytes.org/file/mbar

Rootkit Revealer:
- Web: http://technet.microsoft.com/es-es/sysinternals/bb897445.aspx
- D.Directa: http://download.sysinternals.com/files/RootkitRevealer.zip

SpyDLLRemover:
- Web: http://securityxploded.com/spydllremover.php
- D.Directa: http://securityxploded.com/getfile_plus.php?id=3351

Mcafee-avert:
- Web: http://www.mcafee.com/es/downloads/free-tools/rootkitremover.aspx
- D.Directa: http://downloadcenter.mcafee.com/products/mcafee-avert/rr/rootkitremover.exe
                   http://downloadcenter.mcafee.com/products/mcafee-avert/rr/rootkitremover.exe
- Guía: http://www.mcafee.com/es/downloads/free-tools/how-to-use-rootkitremover.aspx

Dr.Web:
Web: http://www.freedrweb.com/cureit/?lng=es
Descarga: http://download.geo.drweb.com/pub/drweb/cureit/
D.Directa: http://download.geo.drweb.com/pub/drweb/cureit/1415105362.793/9ri6n2aq.exe
Guía: http://download.geo.drweb.com/pub/drweb/cureit/doc/drweb-800-cureit-free-en.pdf

PD: Olvidé comentarte, ya que usas Kaspersky, hay una tool que extrae mucha info y funciona muy bien, incluso te podrían dar soporte con esos logś en el foro de kaspersky específico de esa tool:

Echale un ojo, si te gusta:

http://foro.elhacker.net/seguridad/tutorial_de_analisis_de_sistemas_con_avz_antiviral_toolkit_de_kaspersky-t367418.0.html

Saludos.


« Última modificación: 26 Enero 2015, 02:47 am por r32 » En línea

Hitokkiri

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: ROOTKITS como encontrarlos
« Respuesta #2 en: 4 Febrero 2015, 01:43 am »

Cabe destacar el error que me dio GMER, al inicio y al final del proceso de scan.

System el proceso no tiene acceso al archivo por que esta siendo utilizado por otro proceso.

Screen 1:
http://subefotos.com/ver/?29c220aab7c49674735d4a63a44afe8bo.jpg

Screen 2 :

http://subefotos.com/ver/?19b52bbb32f95c223fc6103de6cb4d8do.jpg

Screen 3 :
http://subefotos.com/ver/?13400e936270641cfa1097f2476b29a5o.jpg

Screen 4 :

http://subefotos.com/ver/?84c423d8023350b4aebcf7a4f67da1aao.jpg

gracias!
En línea

Hitokkiri

Desconectado Desconectado

Mensajes: 3


Ver Perfil
Re: ROOTKITS como encontrarlos
« Respuesta #3 en: 4 Febrero 2015, 17:15 pm »

Aqui les dejo el log de Gmer.

http://pastebin.com/ErNdrtcd

gracias
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Eliminar Rootkits
Análisis y Diseño de Malware
inverse 6 5,651 Último mensaje 13 Julio 2011, 09:40 am
por skapunky
Cómo podemos detectar rootkits bajo Mac OS X
Noticias
wolfbcn 0 1,558 Último mensaje 26 Septiembre 2013, 13:34 pm
por wolfbcn
PoC - Android rootkits
Análisis y Diseño de Malware
r32 0 4,531 Último mensaje 7 Julio 2022, 21:33 pm
por r32
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines