Página 1 de 1
creo que e sido infectado
Publicado: 13 Abr 2022, 04:57
por fredomks
hola e leido el indice de analisis de malware me e descargado sysinternals pero buscando en la web e encontrado poca informacion y vieja de una decada.
mi pregunta es con que programas y como puedo saber si realmente e sido infectado y donde esta el archivo para eliminarlo
alguna guia para usar sysinternal o otra guia para ver si hay una conexion inversa en mi computadora.
gracias
Re: creo que e sido infectado
Publicado: 13 Abr 2022, 05:19
por Flight embedded
Hola fredomks.
Cerrá todas las conexiones a internet (ventanas, aplicaciones, etc) Salí a la consola de comandos y tipeá:
netstat -a -n -o
Si no tenés ningún antivirus instalado y aparece un conexión en estado establecido ( o establishment) entonces hay una intrusión.
También podés correr la aplicación Tcpview.exe para tal fin.
Luego con el Autoruns de Systernalsuite fijate qué aplicaciones se ejecutan al iniciar el sistema operativo desde local/machine/run o Currentuser/run.
Si hay un .exe que no es genuino seleccionalo y eliminalo ya sea con la tecla suprimir del teclado o con el mouse.
Publicado: 13 Abr 2022, 05:20
por DSR!
Siffea el trafico de red desde otra pc de la misma red (hasta usando envenenamiento de trafico) y podes sacar concluciones.rapidamente asi.
Sino formatea y ya.
Publicado: 14 Abr 2022, 18:41
por fredomks
Flight embedded" escribió: 13 Abr 2022, 05:19
Hola fredomks.
Cerrá todas las conexiones a internet (ventanas, aplicaciones, etc) Salí a la consola de comandos y tipeá:
netstat -a -n -o
Si no tenés ningún antivirus instalado y aparece un conexión en estado
establecido ( o
establishment) entonces hay una intrusión.
También podés correr la aplicación Tcpview.exe para tal fin.
Luego con el Autoruns de Systernalsuite fijate qué aplicaciones se ejecutan al iniciar el sistema operativo desde local/machine/run o Currentuser/run.
Si hay un .exe que no es genuino seleccionalo y eliminalo ya sea con la tecla suprimir del teclado o con el mouse.
hola use el tcpview y me sale el svchost (wpn service) y el search app de cortana y aveces el iexplorer
con autoruns elimine los que me salian en amarillo y no me han vuelto a aparecer, el mscories.dll no puedo eliminarlo. crees que significa algo?
Publicado: 14 Abr 2022, 18:43
por fredomks
DSR! escribió: 13 Abr 2022, 05:20
Siffea el trafico de red desde otra pc de la misma red (hasta usando envenenamiento de trafico) y podes sacar concluciones.rapidamente asi.
Sino formatea y ya.
hola ayer me instale el kali en virtual box y aprendi a hacer el envenenamiento pero no entiendo como puedo sacar conclusiones con eso.
Publicado: 14 Abr 2022, 19:07
por Flight embedded
Hola. Ese
svchost es un proceso legítimo del sistema operativo. Abrí el Processexplorer de Systernalsuite, luego hacé clic en dicho proceso y fijate si establece alguna conexión. En cuanto a
mscories.dll es una librería que pertenece a :
Microsoft® .NET Framework
"app de cortana y aveces el iexplorer" también son aplicaciones genuinas del sistema operativo.
Espero haber ayudado.
Publicado: 14 Abr 2022, 20:20
por DSR!
fredomks escribió: 14 Abr 2022, 18:43
hola ayer me instale el kali en virtual box y aprendi a hacer el envenenamiento pero no entiendo como puedo sacar conclusiones con eso.
Arrancas la pc limpia con todo cerrado y si por ejemplo encontrás que genera tráfico con un server de China... es que estas mega infectado.
Por el tipo de tráfico vas sacando conclusiones. Puertos raros y servidores que no tendrian que estar conectando.
Añadido en 15 minutos 10 segundos:
Re: creo que e sido infectado
Ah otra cosa, tenes que validar que los procesos sean legítimos. Fijate las rutas, igual la rutas puede estar bien y lo que esta mal es una dll inyectada en el mismo.
Por ejemplo si vos no estas usando ningun navegador iexplorer y esta el proceso abierto solo..... eso es una típica inyección para fwb.
