Como detectar TROYANOS de lammers que tengamos dentro

unnamed032 · Mensajes: 7 Registrado: 17 Nov 2008, 21:47

por unnamed032 Sin síntomas

n/a quiere decir q el archivo no existe, si de verdad queres saber si estas infectado anda a esta clave:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\

si encontras alguna clave que contenga el valor StubPath apuntando a una ruta de algun ejecutable, posiblemente estes enfectad@

el bifrost por ejemplo siempre corre el server asi: C:\Windows\Server.exe -s (pasandole ese parametro)

hay otras maneras, TcpView por ejemplo...

leos_79 · Mensajes: 220 Registrado: 04 Mar 2008, 07:22

por leos_79 Se medica

[offtopic]
es tan capo thor que hasta su martillo postea :P
[/offtopic]
jaja no me cuelguen por esto

No hay éxito como el fracaso, pero el fracaso no es ningun éxito...

SkuNCk · Mensajes: 3 Registrado: 06 Feb 2009, 02:00

por SkuNCk Sin síntomas

Exelente!!

Nect

por Nect Sin síntomas

Hola, muchas gracias este ya lo probe resulta de gran utilidad.

Saludos

Milo_EscorpioN

por Milo_EscorpioN Esquizofrénico

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\

esa clave aparece en el autorun

pod: ¿Quieren que haga un videotutorial del autorun?

Blog de Seguridad Informática => ShikataGanaiSeguridad.blogspot.com

SoKe · Mensajes: 7 Registrado: 23 Feb 2009, 17:17

por SoKe Sin síntomas

Muchas gracias tio
Siempre he sospechado de tener algun troyano y ahora podre mirar

Deunder_Talker

por Deunder_Talker Sin síntomas

ta bueno pero podrias arreglar la imagenes ?

Sky is not the limit, the limit is the universe, that infinite universe !!!
Radagast BackDoor 20 %

rdj

por rdj Sin síntomas

JRD escribió:Hola a tod@s en primer lugar no acuso a nadie ¿oK? bueno resulta que me descarge el archivo utileria y dentro ay filemon, autorun y procesXP bueno la cosa es que 2s de ellos lleban adozado, joineado o como kieran llamarle varios archivos me resulto un tanto sospexozo asin ke los extraje y cual fue mi sorpreza que dos de ellos son stub.exe aki las direcciones de memoria y pruebas

procexp.exe... EDITO: el Stud.exe este tiene un algoritmo aPlib compresion
=====================================================
Stub.exe: 0x0 - 0xabb38 (703288 bytes) <-----------Por lo menos podia averle cambiao el nombre SecureWeb-Gateway 6.7.6 2009.01.10 Win32.Malware.dam (suspicious)
ExtractedFile1.exe: 0xabb38 - 0xaec50 (12568 bytes)
ExtractedFile2.exe: 0xaec50 - 0xb2398 (14152 bytes)
ExtractedFile3.exe: 0xb2398 - 0xb43d0 (8248 bytes)
ExtractedFile4.exe: 0xb43d0 - 0x180c48 (837752 bytes)
ExtractedFile5.exe: 0x180c48 - 0x188cd8 (32912 bytes)
ExtractedFile6.exe: 0x188cd8 - 0x35b828 (1911632 bytes)

Filemon.exe...
=================================================
Stub.exe: 0x0 - 0x3d3f8 (250872 bytes)
ExtractedFile1.exe: 0x3d3f8 - 0x50598 (78240 bytes)suspected of Win32.BrokenEmbeddedSignature
ExtractedFile2.exe: 0x50598 - 0x98508 (294768 bytes)
ExtractedFile3.exe: 0x98508 - 0xacfd8 (84688 bytes)
ExtractedFile4.exe: 0xacfd8 - 0xb6b38 (39776 bytes)

Un gran s@1u2 y no acuso a nadie solo digo que lo revize alguien mas que yoo y diga, yo demomento voy a extraer mas info de esto

Entonces esta infectado o no? Alguien lo ha pasado por novirusthanks?

JRD

por JRD Sin síntomas

Entonces esta infectado o no? Alguien lo ha pasado por novirusthanks?

No tio no esta infectado, solo me presipite en postear. Ya que los archivos que incluye vienen joineados por mocosoft y claro dudo que ellos agan infect o quien sabe xD

http://www.SEViLLATEAM.COM Tu comunidad Libre!!
Deme un pez y comeré un día, enseñeme a pescar y comeré pescado todos los días

physicx

por physicx Sin síntomas

unnamed032 escribió:n/a quiere decir q el archivo no existe, si de verdad queres saber si estas infectado anda a esta clave:
Código: Seleccionar todo
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\
si encontras alguna clave que contenga el valor StubPath apuntando a una ruta de algun ejecutable, posiblemente estes enfectad@

el bifrost por ejemplo siempre corre el server asi: C:\Windows\Server.exe -s (pasandole ese parametro)

hay otras maneras, TcpView por ejemplo...

Entonces si en HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\ veo algun stubpath apuntando con un exe, que yo me he visto lo menos 7 ya.... con hacer click izquierdo y eliminar se eliminan los troyanos ???

InTRuDer^ · Mensajes: 2 Registrado: 09 Mar 2009, 17:34

por InTRuDer^ Sin síntomas

si borras algunos de esos valores se te puede joder wl windows, lo recomendable es hacerlo como lo dice en el tutorial

saludos!!

Negal · Mensajes: 5 Registrado: 09 Mar 2009, 05:22

por Negal Sin síntomas

hijo de puta, tenés 3 msn abiertos jaja

buena onda el post ;D

Darkensser

por Darkensser Sin síntomas

Super aportaso man sigue asi .... me gusto mucho tu utilidad me sirvio de mucho!

Grax!

bacardi-seven

por bacardi-seven Sin síntomas

Como detectar TROYANOS de lammers que tengamos dentro...
Entonces practicamente todo el que entra aqui es lammer

alber95

por alber95 Sin síntomas

graxias siemprre sospexe

Como detectar TROYANOS de lammers que tengamos dentro

Temas similares

Links sobre el tema

Variantes de tema

Como detectar TROYANOS de lammers que tengamos dentro

Mostrar mensajes previos

Ordenar por

Temas similares

Links sobre el tema

Variantes de tema