Banda Ancha EU

Comunidad de usuarios
de fibra, móvil y ADSL

hosting en interdominios
142 lecturas y 6 respuestas
  • Cerrado

    Troyano escurridizo

    Hola amig@s:

    Necesito ayuda con un caso de lo mas interesante. Desde hace unas tres semanas, mas o menos, he notado que los intentos de acceso a las cuentas de mi equipo se han disparado. Como quiera que uso habitualmente una cuenta limitada, no le di mayor importancia, a pesar de ser indicio claro de un problema de seguridad. Las contraseñas son fuertes, y como mucho la molestia era la de bloquear el acceso de la cuenta de unauario, pero accediendo como admin, desbloquedada y listo.

    He pasado varios antivirus y varios antispywares, con resultado negativo, pero estoy seguro de que algo no va bien, porque los intentos de acceso son continuos y metodicos. Los intentos son, sorpresa sorpresa, de modo local, de manera que mi primera sospecha, un ataque externo, quedaba descartada.

    Asi que configure el equipo (un XP SP2, para mas señas) en modo 'logueatodoloquesemenee' y he descubierto que el responsable de los intentos de acceso es el services.exe, lo que me daba una pista de por donde ir. El archivo en cuestion tiene 106k, y he visto por algun foro que debe ser de 83, lo que me indica que podria estar alterado. Aun asi, win no lo reconoce como fake, y ningun antivirus da señal de infeccion.

    Pero hoy el problema ha ido a peor; he descubierto que la cuenta limitada ha sido baneada para acceso local (su cuenta ha sido configurada para evitar que use este equipo), y a pesar de haber eliminado una llave de registro con la directiva CrashOnFailAudit, como he leido en MS, y haber declarado explicitamente el derecho de esa cuenta a loguearse localmente, sigo sin disponer de acceso limitado (sin fallo si soy administrador)

    Segun he leido, podria tratarse de varios bichos, desde Netsky.B hasta alguna variante de trojan, pero no hay rastro de los sintomas tipicos descritos en las paginas antivirus, y tampoco los antibicho online me dicen gran cosa.

    En resumidas, que pretendo evitar el format, y no es por falta de ganas, es cuestion de aprender, de localizar el problema y solucionarlo.

    Alguien puede echarme una mano?

    Un saludo

    Este tema es antiguo y puede contener información obsoleta. Abre un nuevo tema para publicar tu mensaje.
    • Cerrado

      6

      Tú crees que es un troyano? puede que sea un proceso del…

      Tú crees que es un troyano? puede que sea un proceso del sistema que intenta loguearse con alguna cuenta al haber eliminado su cuenta nativa. Sólo estoy especulando, aún asi parece interesante, así que cuentanos lo que averigues.

    • Cerrado

      No se que coños será lo que tenés en tu pc... pero antes que…

      No se que coños será lo que tenés en tu pc... pero antes que nada pongámonos las cartas sobre la mesa para ver que te pasa.

      Antes que nada, bajate un par de programas que te serán bastante utiles:

      + Antivirus Nod32 2.7
      + Varias herramientas de sysinternals
      -AccessEnum
      -AccessChk
      -Filemon (y mortadelo ^.^)
      -Process Monitor
      -Process Explorer
      -Rootkit Revealer

      + Una aplicacion más: usado normalmente para eliminar spyware manualmente muy nuevos o muy cabrones que no se desinstalan con ningun programa "anti spyware":
      Hijack This!

      Bueno, ahora con todo este arsenal de software puedes analizar mejor qué carajo hace el services.exe, qué procesos usa, qué procesos se cuelgan de otros, qué rutas, qué dlls, que privilegios tiene cada programa, cuál es el privilegio real de cada usuario, si tienes rootkits, comportamientos anomalos del registro... etc...
      Fijate, juega un rato y preguntame cosas puntuales, en lo posible...

      (Descarté varios programas que son muy muy utiles para networking pero como vos desconectaste internet y descartaste que sea algo remoto, no te los pastié aquí...)

      Suerte en tu busqueda...