hola e leido el indice de analisis de malware me e descargado sysinternals pero buscando en la web e encontrado poca informacion y  vieja de una decada.
mi pregunta es con que programas y como puedo saber si realmente e sido infectado y donde esta el archivo para eliminarlo 
alguna guia para usar sysinternal o otra guia para ver si hay una conexion inversa en mi computadora.
gracias
Hola fredomks. 
Cerrá todas las conexiones a internet (ventanas, aplicaciones, etc) Salí a la consola de comandos y tipeá:

netstat -a -n -o 

Si no tenés ningún antivirus instalado y aparece un conexión en estado  establecido ( o establishment) entonces hay una intrusión.

También podés correr la aplicación Tcpview.exe para tal fin.

Luego con el Autoruns de Systernalsuite fijate qué aplicaciones se ejecutan al iniciar el sistema operativo desde local/machine/run o Currentuser/run.
Si hay un .exe que no es genuino seleccionalo y eliminalo ya sea con la tecla suprimir del teclado o con el mouse. 
 
Imagen
Imagen
Siffea el trafico de red desde otra pc de la misma red (hasta usando envenenamiento de trafico) y podes sacar concluciones.rapidamente asi.
Sino formatea y ya.

Código: Seleccionar todo

{******************************************************************************}
{** WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING  **}
{******************************************************************************}
{**                                                                          **}
{** The prototypes, declarations and information in this file has been       **}
{** compiled from various sources as well as through reverse engineering     **}
{** techniques. We make no guarantee as to the correctness of the contents.  **}
{** Caution is recommended, USE AT YOUR OWN RISK.                            **}
{**                                                                          **}
{******************************************************************************}
Flight embedded" escribió: 13 Abr 2022, 05:19 Hola fredomks. 
Cerrá todas las conexiones a internet (ventanas, aplicaciones, etc) Salí a la consola de comandos y tipeá:

netstat -a -n -o 

Si no tenés ningún antivirus instalado y aparece un conexión en estado  establecido ( o establishment) entonces hay una intrusión.

También podés correr la aplicación Tcpview.exe para tal fin.

Luego con el Autoruns de Systernalsuite fijate qué aplicaciones se ejecutan al iniciar el sistema operativo desde local/machine/run o Currentuser/run.
Si hay un .exe que no es genuino seleccionalo y eliminalo ya sea con la tecla suprimir del teclado o con el mouse. 


 
hola use el tcpview y me sale el svchost (wpn service) y el search app de cortana y aveces el iexplorer  
con autoruns elimine los que me salian en amarillo y no me han vuelto a aparecer, el mscories.dll no puedo eliminarlo. crees que significa algo?
Última edición por fredomks el 14 Abr 2022, 18:43, editado 1 vez en total.
DSR! escribió: 13 Abr 2022, 05:20 Siffea el trafico de red desde otra pc de la misma red (hasta usando envenenamiento de trafico) y podes sacar concluciones.rapidamente asi.
Sino formatea y ya.
hola ayer me instale el kali en virtual box y aprendi a hacer el envenenamiento pero no entiendo como puedo sacar conclusiones  con eso.
Hola. Ese svchost es un proceso legítimo del sistema operativo.  Abrí el Processexplorer de Systernalsuite, luego hacé clic en dicho proceso y fijate si establece alguna conexión. En cuanto a mscories.dll es una librería que pertenece a :
Microsoft® .NET Framework

"app de cortana y aveces el iexplorer" también son aplicaciones genuinas del sistema operativo.

Espero haber ayudado. 👍
Imagen
Imagen
fredomks escribió: 14 Abr 2022, 18:43
hola ayer me instale el kali en virtual box y aprendi a hacer el envenenamiento pero no entiendo como puedo sacar conclusiones  con eso.
Arrancas la pc limpia con todo cerrado y si por ejemplo encontrás que genera tráfico con un server de China... es que estas mega infectado.
Por el tipo de tráfico vas sacando conclusiones. Puertos raros y servidores que no tendrian que estar conectando.
Añadido en 15 minutos 10 segundos:
Re: creo que e sido infectado
Ah otra cosa, tenes que validar que los procesos sean legítimos. Fijate las rutas, igual la rutas puede estar bien y lo que esta mal es una dll inyectada en el mismo.
Por ejemplo si vos no estas usando ningun navegador iexplorer y esta el proceso abierto solo..... eso es una típica inyección para fwb.

Código: Seleccionar todo

{******************************************************************************}
{** WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING WARNING  **}
{******************************************************************************}
{**                                                                          **}
{** The prototypes, declarations and information in this file has been       **}
{** compiled from various sources as well as through reverse engineering     **}
{** techniques. We make no guarantee as to the correctness of the contents.  **}
{** Caution is recommended, USE AT YOUR OWN RISK.                            **}
{**                                                                          **}
{******************************************************************************}
Responder

Volver a “Dudas y Preguntas”