Bueno, pues puede que me haya infectado con un Stealer o algo parecido. He encontrado los siguientes Archivos en la carpeta temporal:

- UuU.uUu
- xXx.xXx o algo similar (lo borré sin querer)
- IEPASS.abc
- MSN.abc
- NOIP.abc
- teste.vbs

Supongo que al tener la extensión .abc y que se guarde en temp, es facil localizar de qué Stealer/Troyano se trata.
Estube haciendo Tests con CyberGate, y con el Troyan de Poison, (Poison, confirmame que tu troyano no hace eso.)

El teste.vbs tiene lo siguiente:

Código: Seleccionar todo

Set objSecurityCenter = GetObject("winmgmts:\\.\root\SecurityCenter")
Set colFirewall = objSecurityCenter.ExecQuery("Select * From FirewallProduct",,48)
Set colAntiVirus = objSecurityCenter.ExecQuery("Select * From AntiVirusProduct",,48)
Set objFileSystem = CreateObject("Scripting.fileSystemObject")
Set objFile = objFileSystem.CreateTextFile("C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\teste.txt", True)
Enter = Chr(13) + Chr(10)
CountFW = 0
CountAV = 0
For Each objFirewall In colFirewall
CountFW = CountFW + 1
Info = Info & "F" & CountFw & ") " & objFirewall.displayName & " v" & objFirewall.versionNumber & Enter
Next
For Each objAntiVirus In colAntiVirus
CountAV = CountAV + 1
Info = Info & "A" & CountAV & ") " & objAntiVirus.displayName & " v" & objAntiVirus.versionNumber & Enter
Next
objFile.WriteLine(Info)
objFile.Close
Creo que es para determinar el Av y el AntiVirus.
He cambiado mi Pass de Indetectables, y he cambiado de Mail, con un Stealer no puede hacer nada, pero si es un troyano tal vez si.

Espero que sea un falsa alarme, sino tendré que formatear y analizar cuidadosamente 1 a 1 todos los Exes de mi disco auxiliar.

He detectado hace un tiempo que tenía en puerto 5354 a la escucha, pero como tengo router, no le di importancia, ya que la conexión directa es muy dificil, por que no tengo ese puerto puesto en el router...

Saludos!
github.com/Slek-Z
Claro!, eso es lo que me preocupa, si manda esa info.

Muchas gracias osnaraus, me podrías decir si mi pass peligra, o no?

Saludos!
github.com/Slek-Z
obvio que peligra!!! (siempre y cuando no sea tarde)
Es imposible saber (ahora) si los logs han sido enviados con anterioridad
los archivos fundamentales a borrar son:
%System% \Services\svchost.exe
%Application Data% \Services\svchost.exe
(luego el stealer quedará desafectado)

Pero como dice el link que te mandé, lo mejor es la limpieza completa.
Inicia a modo prueba de fallos - restaura el sistema (hasta algún día "seguro")
y limpia (por las dudas) el registro.
Saludos
%System% \Services\svchost.exe
%Application Data% \Services\svchost.exe

No encuentro ninguno de esos dos.

EDIT: No encuentro nada en el registro. Solo he encontrado esto sospechoso:

En HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

Nombre -> Valor
%windir%\system32\sessmgr.exe -> %windir%\system32\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019

C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe -> C:\Archivos de programa\VMware\VMware Workstation\vmware-authd.exe:*:Enabled:VMware Authd

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe -> C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe:*:Enabled:Windows Live Messenger

C:\Archivos de programa\Windows Live\Messenger\wlcsdk.exe -> C:\Archivos de programa\Windows Live\Messenger\wlcsdk.exe:*:Enabled:Windows Live Call

Los voy a eliminar todos.

Saludos!
github.com/Slek-Z
UuU.uUu y xXx.xXx son los temporales que crea Spy-Net.
No importa cuan rápida y avanzada sea la tecnología, la mente humana aún es el procesador más versátil y creativo que hay.
y si formateas la pc? xD

Código: Seleccionar todo

{******************************************************************************}
{** WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING  **}
{******************************************************************************}
{**                                                                          **}
{** The prototypes, declarations and information in this file has been       **}
{** compiled from various sources as well as through reverse engineering     **}
{** techniques. We make no guarantee as to the correctness of the contents.  **}
{** Caution is recommended, USE AT YOUR OWN RISK.                            **}
{**                                                                          **}
{******************************************************************************}
y si restauras?
<Josh> y bueno hermano,tu hermana q me dijo q estaba cansada de tenerle el orto como la bandera de japon y bueno la pobre me quizo hacer un masaje prostatico nada mas pero era tanto su recelo y venganza acumulada q se esmero un poco mas de lo normal,pero bue,estuivo bien amorizado por la de dias horas años y lagrimas q echo la pobre de tanto culearla
Sólo falta alguno que le diga: y si cambiás todos tus datos y contaseñas? (aparte de comprarte otra pc y hacerte un dni con una identidad falsa ? )...

faaaaaaaaa ...

Imagen
Todos somos muy ignorantes, lo que ocurre es que no todos ignoramos lo mismo.-Albert Einstein
No nos atrevemos a muchas cosas porque son difíciles, pero son difíciles porque no nos atrevemos a hacerlas.-Séneca

http://iFile.it/ 100% FREE /Reanuda descargas/Usa aceleradores de descargas/ No límita hora ni país / Dos descargas paralelas/NO banners/No Adwares
Basta de filehosts restrictivos: NO a rapidshare, NO a megaupload, NO a multiupload,... decantemonos x FileHostings que den más beneficios!!!
hack-x escribió:Sólo falta alguno que le diga: y si cambiás todos tus datos y contaseñas? (aparte de comprarte otra pc y hacerte un dni con una identidad falsa ? )...

faaaaaaaaa ...

Imagen
+1...

Restaurar es la opción más fácil,
Imagen

Imagen

Imagen

"The only thing they can't take from us are our minds."
Como dice 4n0nym0us, UuU.uUu y xXx.xXx las crea spy-net y cybergate. Si alguna vez te has autoinfectado con alguno de sdos dos, esto no debe de preocuparte, pero si no lo has hecho mal vamos. También ese .abc creo que los crean estos troyanos... Creo, asique estaria bien saber si lo has hecho. Aunque ya vi tus conexiones, y la única sospechosa que viimos no parecía de estos troyanos.

Tu dirás, te autoinfectaste?
¡Atención! LuisN2.com ha caido, pero el blog sigue estando en www.luisn2indetectables.blogspot.com o www.LuisN2.cz.cc
¿Podrías subir a algún sitio un log de hickjackthis?
aparte la mierda del vbs tambien la usaba el spynet.

Código: Seleccionar todo

{******************************************************************************}
{** WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING  **}
{******************************************************************************}
{**                                                                          **}
{** The prototypes, declarations and information in this file has been       **}
{** compiled from various sources as well as through reverse engineering     **}
{** techniques. We make no guarantee as to the correctness of the contents.  **}
{** Caution is recommended, USE AT YOUR OWN RISK.                            **}
{**                                                                          **}
{******************************************************************************}
Nunca confie en ese rat, demasiados archivos que no se para que estaban.
La felicidad es una cualidad evasiva. Si la buscas, no la encuentras.
Imagen
Cerrado

Volver a “Mensajes Entre Nosotros”