Posts etiquetados ‘hackxan’

Logo Mundohackertv

Ver el video completo – Online

MUNDOHACKERTV – Análisis Forense Informático

Definición de Análisis Forense

1. El análisis forense se da cuando tienes la sospecha de que algo ha sucedido en un sistema o en un grupo de sistemas, y mediante una orden judicial  requieres extraer las suficientes evidencias para poder analizar qué ha pasado de una forma válida a ojos de un juez, para poder luego incriminar a una persona o entidad.

Lorenzo Martínez.

2. Es un proceso de recabar esas evidencias y preservarlas para que sean válidas ante un juzgado.

Jean Paul.

3. El análisis forense informático es el estudio de cuatro atributos:

  • Identificar
  • Preservar
  • Analizar
  • Presentar

Una serie de evidencias digitales que van a ser correctas a nivel judicial.

Jesus.

Preservar la evidencia

En cuanto a preservar la evidencia se recomienda que el analista forense no realice sus estudios en caliente, es decir; que el sistema comprometido no se encuentre en funcionamiento ya que es más cómodo preservar la evidencia mientras el sistema se encuentra apagado.

Para realizar estos análisis se cuenta con herramientas libres y privativas que  deberían brindar una copia igual y exacta de la evidencia. En esta situación la validez de la copia realizada con o sin certificado debe ser la misma.

¿Para qué se clonan los dispositivos?

La idea de clonar dispositivo es trastear, para después entrar al análisis de la información. Este clon o copia se realiza con el objetivo de que la evidencia original se mantenga. El clon de un dispositivo de almacenamiento se puede hacer bajo Software Libre, Software privativo o bien mediante la utilización de Hardware que se encuentre especializado para estos fines.

Cuando un bien es clonado es necesario que se le calcule su Hash – MD5, para comprobar frente a la evidencia original  que la clonación que se ha realizado es exacta. A partir de este momento es posible continuar trabajando en el análisis.

Recuperar la información 

Después de clonar la evidencia es necesario entrar a recuperar información perdida. Para ello se utilizan herramientas que logren identificar las cabeceras o indices de los archivos que esten perdidos y que  finalmente el sistema de recuperación logre reconstruir dichas cabeceras y por ende rescatar los ficheros extraviados.

Entrega del Informe

La entrega del informe debe ser entendible y con poco tecnisimo. Hay que tener en cuenta que el juez debe entender lo que se ha escrito el el informe forense.

Herramientas forenses

  • Distribución BackTrack
  • Distribución CAINE
  • Autopsy

Recomendaciones para usuarios de Iphone

Instalación de la herramienta Sysinfo Plus, que nos permitirá hacer seguimiento a los procesos que estén levantados en teléfonos Iphone, evitando de esta forma cualquier tipo de  actividad malintencionada.

Palabras del grupo de amigos MundoHackerTV  🙂

by Mauroxan

logo Hijackthis

A continuación se copia un log tomado con HijackThis en un Sistema Operativo Windows XP Profesional para su posterior estudio.

Nota: El Sistema Operativo es totalmente nuevo y  no tiene problemas de infección por Malware.

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 11:44:28, on 03/02/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\Archivos de programa\VMware\VMware Tools\vmacthlp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\VMware\VMware Tools\VMwareTray.exe
C:\Archivos de programa\VMware\VMware Tools\VMwareUser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\VMware\VMware Tools\vmtoolsd.exe
C:\Archivos de programa\VMware\VMware Tools\VMUpgradeHelper.exe
C:\Archivos de programa\VMware\VMware Tools\TPAutoConnSvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\VMware\VMware Tools\TPAutoConnect.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\msiexec.exe
C:\Archivos de programa\Trend Micro\HiJackThis\HiJackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [VMware Tools] "C:\Archivos de programa\VMware\VMware Tools\VMwareTray.exe"
O4 - HKLM\..\Run: [VMware User Process] "C:\Archivos de programa\VMware\VMware Tools\VMwareUser.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\archivos de programa\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\archivos de programa\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll
O20 - Winlogon Notify: TPSvc - TPSvc.dll (file missing)
O20 - Winlogon Notify: VMUpgradeAtShutdown - VMUpgradeAtShutdownWXP.dll (file missing)
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TP AutoConnect Service (TPAutoConnSvc) - ThinPrint AG - C:\Archivos de programa\VMware\VMware Tools\TPAutoConnSvc.exe
O23 - Service: TP VC Gateway Service (TPVCGateway) - ThinPrint AG - C:\Archivos de programa\VMware\VMware Tools\TPVCGateway.exe
O23 - Service: VMware Tools Service (VMTools) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Tools\vmtoolsd.exe
O23 - Service: Auxiliar de actualización de VMware (VMUpgradeHelper) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Tools\VMUpgradeHelper.exe
O23 - Service: Servicio auxiliar de disco físico de VMware (VMware Physical Disk Helper Service) - VMware, Inc. - C:\Archivos de programa\VMware\VMware Tools\vmacthlp.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 4834 bytes

A continuación se copia un log de Windows XP Profesional infectado por Malware.

Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 23:23:13, on 04/02/2012 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\Archivos de programa\VMware\VMware Tools\vmacthlp.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Archivos de programa\VMware\VMware Tools\vmtoolsd.exe C:\Archivos de programa\VMware\VMware Tools\VMUpgradeHelper.exe C:\Archivos de programa\VMware\VMware Tools\TPAutoConnSvc.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\Explorer.EXE C:\Archivos de programa\VMware\VMware Tools\VMwareTray.exe C:\Archivos de programa\VMware\VMware Tools\VMwareUser.exe C:\WINDOWS\system32\kernel32.dlI C:\WINDOWS\system32\wind.exe C:\WINDOWS\system32\ctfmon.exe C:\Archivos de programa\VMware\VMware Tools\TPAutoConnect.exe C:\downfull.exe C:\WINDOWS\system32\wuauclt.exe C:\Archivos de programa\Mozilla Firefox\firefox.exe C:\Archivos de programa\Trend Micro\HiJackThis\HiJackThis.exe R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos O4 – HKLM\..\Run: [VMware Tools] “C:\Archivos de programa\VMware\VMware Tools\VMwareTray.exe” O4 – HKLM\..\Run: [VMware User Process] “C:\Archivos de programa\VMware\VMware Tools\VMwareUser.exe” O4 – HKLM\..\Run: [kernel32] C:\WINDOWS\system32\kernel32.dlI O4 – HKLM\..\Run: [system] c:\WINDOWS\system32\wind.exe O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 – HKCU\..\Run: [WindowsUpdate] C:\\downfull.exe O4 – HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SERVICIO LOCAL’) O4 – HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Servicio de red’) O4 – HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’) O4 – HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’) O9 – Extra button: (no name) – {e2e2dd38-d088-4134-82b7-f2ba38496583} – C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 – Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 – {e2e2dd38-d088-4134-82b7-f2ba38496583} – C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 – Extra button: Messenger – {FB5F1910-F110-11d2-BB9E-00C04F795683} – C:\Archivos de programa\Messenger\msmsgs.exe O9 – Extra ‘Tools’ menuitem: Windows Messenger – {FB5F1910-F110-11d2-BB9E-00C04F795683} – C:\Archivos de programa\Messenger\msmsgs.exe O10 – Unknown file in Winsock LSP: c:\archivos de programa\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll O10 – Unknown file in Winsock LSP: c:\archivos de programa\vmware\vmware tools\vsock sdk\bin\win32\vsocklib.dll O20 – Winlogon Notify: TPSvc – TPSvc.dll (file missing) O20 – Winlogon Notify: VMUpgradeAtShutdown – VMUpgradeAtShutdownWXP.dll (file missing) O22 – SharedTaskScheduler: Precargador Browseui – {438755C2-A8BA-11D1-B96B-00A0C90312E1} – C:\WINDOWS\system32\browseui.dll O22 – SharedTaskScheduler: Demonio de caché de las categorías de componente – {8C7461EF-2B13-11d2-BE35-3078302C2030} – C:\WINDOWS\system32\browseui.dll O23 – Service: Servicio del administrador de discos lógicos (dmadmin) – Unknown owner – C:\WINDOWS\System32\dmadmin.exe O23 – Service: Registro de sucesos (Eventlog) – Unknown owner – C:\WINDOWS\system32\services.exe O23 – Service: Servicio COM de grabación de CD de IMAPI (ImapiService) – Unknown owner – C:\WINDOWS\system32\imapi.exe O23 – Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) – Unknown owner – C:\WINDOWS\system32\mnmsrvc.exe O23 – Service: Plug and Play (PlugPlay) – Unknown owner – C:\WINDOWS\system32\services.exe O23 – Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) – Unknown owner – C:\WINDOWS\system32\sessmgr.exe O23 – Service: Tarjeta inteligente (SCardSvr) – Unknown owner – C:\WINDOWS\System32\SCardSvr.exe O23 – Service: Registros y alertas de rendimiento (SysmonLog) – Unknown owner – C:\WINDOWS\system32\smlogsvc.exe O23 – Service: TP AutoConnect Service (TPAutoConnSvc) – ThinPrint AG – C:\Archivos de programa\VMware\VMware Tools\TPAutoConnSvc.exe O23 – Service: TP VC Gateway Service (TPVCGateway) – ThinPrint AG – C:\Archivos de programa\VMware\VMware Tools\TPVCGateway.exe O23 – Service: VMware Tools Service (VMTools) – VMware, Inc. – C:\Archivos de programa\VMware\VMware Tools\vmtoolsd.exe O23 – Service: Auxiliar de actualización de VMware (VMUpgradeHelper) – VMware, Inc. – C:\Archivos de programa\VMware\VMware Tools\VMUpgradeHelper.exe O23 – Service: Servicio auxiliar de disco físico de VMware (VMware Physical Disk Helper Service) – VMware, Inc. – C:\Archivos de programa\VMware\VMware Tools\vmacthlp.exe O23 – Service: Instantáneas de volumen (VSS) – Unknown owner – C:\WINDOWS\System32\vssvc.exe O23 – Service: Adaptador de rendimiento de WMI (WmiApSrv) – Unknown owner – C:\WINDOWS\system32\wbem\wmiapsrv.exe — End of file – 5084 bytes

Pasa el tiempo y me llama la atención el siguiente log de la computadora de un amigo, por ello lo publico.
Este log fue tomado después de pasar un escaner de Malware con Avast 6, y lógicamente después de haber eliminado mucho código malicioso del ordenador.

Logfile of Trend Micro HijackThis v2.0.4
 Scan saved at 18:47:47, on 23/02/2012
 Platform: Windows 7  (WinNT 6.00.3504)
 MSIE: Internet Explorer v9.00 (9.00.8112.16421)
 Boot mode: Safe mode
Running processes:
 C:\Windows\SYSTEM32\WISPTIS.EXE
 C:\Program Files\Common Files\microsoft shared\ink\TabTip.exe
 C:\Windows\Explorer.EXE
 C:\Windows\system32\ctfmon.exe
 C:\Windows\helppane.exe
 C:\Users\carlos\Downloads\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.babylon.com/?babsrc=SP_ss&q={searchTerms}&mntrId=189246db0000000000000021866f6fd7&tlver=1.4.19.19&ss=1&affID=18028
 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
 R3 - URLSearchHook: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\5.0\pdfforgeToolbarIE.dll
 O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll
 O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
 O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll
 O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
 O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
 O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
 O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
 O2 - BHO: Windows Live Messenger Companion Helper - {9FDDE16B-836F-4806-AB1F-1455CBEFF289} - C:\Program Files\Windows Live\Companion\companioncore.dll
 O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\5.0\pdfforgeToolbarIE.dll
 O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
 O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Program Files\AVAST Software\Avast\aswWebRepIE.dll
 O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll
 O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files\pdfforge Toolbar\IE\5.0\pdfforgeToolbarIE.dll
 O4 - HKLM\..\Run: [avast] "C:\Program Files\AVAST Software\Avast\avastUI.exe" /nogui
 O4 - HKLM\..\Run: [SearchSettings] "C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe"
 O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
 O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
 O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
 O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICIO LOCAL')
 O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICIO LOCAL')
 O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Servicio de red')
 O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Servicio de red')
 O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\Windows\system32\GPhotos.scr/200
 O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
 O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
 O9 - Extra button: @C:\Program Files\Windows Live\Companion\companionlang.dll,-600 - {0000036B-C524-4050-81A0-243669A86B9F} - C:\Program Files\Windows Live\Companion\companioncore.dll
 O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
 O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
 O9 - Extra button: Mostrar u ocultar HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll
 O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
 O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
 O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
 O10 - Unknown file in Winsock LSP: c:\program files\common files\microsoft shared\windows live\wlidnsp.dll
 O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics
 O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
 O17 - HKLM\System\CCS\Services\Tcpip\..\{60C208C2-FDB6-44F6-AC2F-200333B43242}: NameServer = 192.168.2.4,172.17.3.157
 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
 O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll
 O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe
 O23 - Service: @%SystemRoot%\system32\aelupsvc.dll,-1 (AeLookupSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe
 O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
 O23 - Service: @%systemroot%\system32\appidsvc.dll,-100 (AppIDSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\appinfo.dll,-100 (Appinfo) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: Application Updater - Spigot, Inc. - C:\Program Files\Application Updater\ApplicationUpdater.exe
 O23 - Service: @appmgmts.dll,-3250 (AppMgmt) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-204 (AudioEndpointBuilder) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\audiosrv.dll,-200 (Audiosrv) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: avast! Antivirus - AVAST Software - C:\Program Files\AVAST Software\Avast\AvastSvc.exe
 O23 - Service: @%SystemRoot%\system32\AxInstSV.dll,-103 (AxInstSV) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\bdesvc.dll,-100 (BDESVC) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\bfe.dll,-1001 (BFE) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\qmgr.dll,-1000 (BITS) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\browser.dll,-100 (Browser) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\bthserv.dll,-101 (bthserv) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\certprop.dll,-11 (CertPropSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\cryptsvc.dll,-1001 (CryptSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\cscsvc.dll,-200 (CscService) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @oleres.dll,-5012 (DcomLaunch) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\defragsvc.dll,-101 (defragsvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\dhcpcore.dll,-100 (Dhcp) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\dnsapi.dll,-101 (Dnscache) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\dot3svc.dll,-1102 (dot3svc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\dps.dll,-500 (DPS) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\eapsvc.dll,-1 (EapHost) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\ehome\ehrecvr.exe,-101 (ehRecvr) - Unknown owner - C:\Windows\ehome\ehRecvr.exe
 O23 - Service: @%SystemRoot%\ehome\ehsched.exe,-101 (ehSched) - Unknown owner - C:\Windows\ehome\ehsched.exe
 O23 - Service: @%SystemRoot%\system32\wevtsvc.dll,-200 (eventlog) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @comres.dll,-2450 (EventSystem) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\fdPHost.dll,-100 (fdPHost) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\fdrespub.dll,-100 (FDResPub) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\FntCache.dll,-100 (FontCache) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @gpapi.dll,-112 (gpsvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: Servicio Google Update (gupdate) (gupdate) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
 O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Program Files\Google\Update\GoogleUpdate.exe
 O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
 O23 - Service: @%SystemRoot%\System32\hidserv.dll,-101 (hidserv) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\kmsvc.dll,-6 (hkmsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\ListSvc.dll,-100 (HomeGroupListener) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\provsvc.dll,-100 (HomeGroupProvider) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: hpqcxs08 - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: Servicio HP CUE DeviceDiscovery (hpqddsvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
 O23 - Service: @%SystemRoot%\system32\ikeext.dll,-501 (IKEEXT) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\IPBusEnum.dll,-102 (IPBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\iphlpsvc.dll,-500 (iphlpsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @comres.dll,-2946 (KtmRm) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\srvsvc.dll,-100 (LanmanServer) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\wkssvc.dll,-100 (LanmanWorkstation) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\lltdres.dll,-1 (lltdsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\lmhsvc.dll,-101 (lmhosts) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\mmcss.dll,-100 (MMCSS) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\FirewallAPI.dll,-23090 (MpsSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe
 O23 - Service: @%SystemRoot%\system32\iscsidsc.dll,-5000 (MSiSCSI) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\msimsg.dll,-27 (msiserver) - Unknown owner - C:\Windows\system32\msiexec.exe
 O23 - Service: @%SystemRoot%\system32\qagentrt.dll,-6 (napagent) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: Net Driver HPZ12 - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\netman.dll,-109 (Netman) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\netprofm.dll,-202 (netprofm) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\nlasvc.dll,-1 (NlaSvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\nsisvc.dll,-200 (nsi) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\pnrpsvc.dll,-8004 (p2pimsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\p2psvc.dll,-8006 (p2psvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\pcasvc.dll,-1 (PcaSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\peerdistsvc.dll,-9000 (PeerDistSvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\pla.dll,-500 (pla) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\umpnpmgr.dll,-100 (PlugPlay) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: Pml Driver HPZ12 - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\pnrpauto.dll,-8002 (PNRPAutoReg) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\pnrpsvc.dll,-8000 (PNRPsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\polstore.dll,-5010 (PolicyAgent) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\umpo.dll,-100 (Power) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\profsvc.dll,-300 (ProfSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\qwave.dll,-1 (QWAVE) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%Systemroot%\system32\rasauto.dll,-200 (RasAuto) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%Systemroot%\system32\rasmans.dll,-200 (RasMan) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @regsvc.dll,-1 (RemoteRegistry) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: Roxio UPnP Renderer 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUPnPRenderer9.exe
 O23 - Service: Roxio Upnp Server 9 - Sonic Solutions - C:\Program Files\Roxio\Digital Home 9\RoxioUpnpService9.exe
 O23 - Service: LiveShare P2P Server 9 (RoxLiveShare9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxLiveShare9.exe
 O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
 O23 - Service: Roxio Hard Drive Watcher 9 (RoxWatch9) - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe
 O23 - Service: @%windir%\system32\RpcEpMap.dll,-1001 (RpcEptMapper) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe
 O23 - Service: @oleres.dll,-5010 (RpcSs) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe
 O23 - Service: @%SystemRoot%\System32\SCardSvr.dll,-1 (SCardSvr) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\schedsvc.dll,-100 (Schedule) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\certprop.dll,-13 (SCPolicySvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\sdrsvc.dll,-107 (SDRSVC) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\seclogon.dll,-7001 (seclogon) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\Sens.dll,-200 (SENS) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\sensrsvc.dll,-1000 (SensrSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\SessEnv.dll,-1026 (SessionEnv) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\shsvcs.dll,-12288 (ShellHWDetection) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe
 O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe
 O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe
 O23 - Service: @%SystemRoot%\system32\sppuinotify.dll,-103 (sppuinotify) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\ssdpsrv.dll,-100 (SSDPSRV) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\sstpsvc.dll,-200 (SstpSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\wiaservc.dll,-9 (StiSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\StorSvc.dll,-100 (StorSvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\swprv.dll,-103 (swprv) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\sysmain.dll,-1000 (SysMain) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\TabSvc.dll,-100 (TabletInputService) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\tapisrv.dll,-10100 (TapiSrv) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\tbssvc.dll,-100 (TBS) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\termsrv.dll,-268 (TermService) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\themeservice.dll,-8192 (Themes) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\mmcss.dll,-102 (THREADORDER) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\trkwks.dll,-1 (TrkWks) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\servicing\TrustedInstaller.exe,-100 (TrustedInstaller) - Unknown owner - C:\Windows\servicing\TrustedInstaller.exe
 O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe
 O23 - Service: @%SystemRoot%\system32\umrdp.dll,-1000 (UmRdpService) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\upnphost.dll,-213 (upnphost) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\dwm.exe,-2000 (UxSms) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe
 O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe
 O23 - Service: @%SystemRoot%\system32\w32time.dll,-200 (W32Time) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe
 O23 - Service: @%systemroot%\system32\wbiosrvc.dll,-100 (WbioSrvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\wcncsvc.dll,-3 (wcncsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\WcsPlugInService.dll,-200 (WcsPlugInService) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%systemroot%\system32\wdi.dll,-502 (WdiServiceHost) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\wdi.dll,-500 (WdiSystemHost) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\webclnt.dll,-100 (WebClient) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\wecsvc.dll,-200 (Wecsvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\wercplsupport.dll,-101 (wercplsupport) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\wersvc.dll,-100 (WerSvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%ProgramFiles%\Windows Defender\MsMpRes.dll,-103 (WinDefend) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\winhttp.dll,-100 (WinHttpAutoProxySvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%Systemroot%\system32\wbem\wmisvc.dll,-205 (Winmgmt) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%Systemroot%\system32\wsmsvc.dll,-101 (WinRM) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\wlansvc.dll,-257 (Wlansvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe
 O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\wmpnetwk.exe
 O23 - Service: @%SystemRoot%\system32\wpcsvc.dll,-100 (WPCSvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\wpdbusenum.dll,-100 (WPDBusEnum) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\wscsvc.dll,-200 (wscsvc) - Unknown owner - C:\Windows\System32\svchost.exe
 O23 - Service: @%systemroot%\system32\SearchIndexer.exe,-103 (WSearch) - Unknown owner - C:\Windows\system32\SearchIndexer.exe
 O23 - Service: @%systemroot%\system32\wuaueng.dll,-105 (wuauserv) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\system32\wudfsvc.dll,-1000 (wudfsvc) - Unknown owner - C:\Windows\system32\svchost.exe
 O23 - Service: @%SystemRoot%\System32\wwansvc.dll,-257 (WwanSvc) - Unknown owner - C:\Windows\system32\svchost.exe
--
 End of file - 23766 bytes

by Mauroxan

Logo HijackThis

Hoy quiero hablar un poco de HijackThis

HijackThis es un  software que le permitirá encontrar los ajustes modificados por  spyware, malware u otros programas no deseados. Trend Micro HijackThis genera un informe en profundidad para que pueda analizar y reparar su computadora infectada.

HijackThis puede ser instalado en:

  • Microsoft™ Windows™ XP
  • Microsoft™ Windows™ 2000
  • Microsoft™ Windows™ Me
  • Microsoft™ Windows™ 98
  • Microsoft™ Windows™ Vista
  • Microsoft™ Windows™ 7

Es importante resaltar que es necesario tener conocimientos básicos para poder eliminar las entradas infectadas.

Si no  ha utilizado antes este aplicativo, se le recomienda leer el tutorial que han publicado en su foro  los amigos de elhacker.net

Primer Tutorial

Si aun no estás satisfecho y quieres aprender más… entonces puedes leer el Tutorial publicado por los amigos de infospyware.com en su foro.

Segundo Tutorial

Instalación de HijackThis Version 2.0.5 (Beta) en Windows XP

1. Inicialmente se debe ingresar  a la página de Trend Micro para descargar el HijackThis desde la siguiente URL: http://free.antivirus.com/hijackthis/

2. Se presiona el vínculo Installer para descargar el Software.

3. Se mostrará una nueva ventana para ejecutar o guardar el HijackThis, se presiona el botón de Guardar.

4. Se selecciona la ubicación donde se guardará el HijackThis en la computadora.

5. Se ha guardado el HijackThis en el escritorio del computador.

6. Se hace doble click al instalador de HijackThis para que empiece la instalación y finalmente presionar el botón Ejecutar

7. En la nueva ventana de instalación debe presionar el botón Next.

8. Se debe colocar el chulo  para aceptar los términos de licencia y nuevamente  se presiona el botón Next.

9. En esta ventana se muestra la ubicación donde se instalará HijackThis, se deja la ubicación  por defecto y se presiona el botón Next.

10. En esta última etapa se presiona el botón Install.

11. No queda mas que presionar el botón Finish. La instalación ha culminado con éxito.

12. En el escritorio se encontrará un nuevo icono que dice Hijackthis, y que debe ejecutar presionando doble click.

13. En esta ventana se presiona el botón Do a system scan and save a logfile para que se realice el scaneo del sistema y se muestren los resultados en pantalla.

Por último se debería guardar el informe que se muestra y ejecuta con el bloc de notas para su posterior estudio.

by Mauroxan

THC-Hydra es un práctico Software con licencia GPLv3, que permite realizar auditoria por medio de fuerza bruta a las cuentas de  usuarios y contraseñas de los diferentes servicios que se estén  implementando en un sistema de información.

Existe otro tipo de software con funcionalidad parecida,  pero, de THC-Hydra podemos destacar las siguiente características:

  • Licencia que permite el uso y descarga con total libertad.
  • Soporte a gran cantidad de protocolos ( detalles en Currently this tool supports)
  • Flexible en cuanto al uso, y rápido al auditar los sistemas de información.
  • Multiplataforma (Windows, Linux, Solaris, FreeBSD, etc)

Actualmente se está implementando de forma estable la versión 7.1. En BackTrack 5 R1, se encuentra la versión 6.5 instalada y funcional.

Currently this tool supports:
	  AFP, Cisco AAA, Cisco auth, Cisco enable, CVS, Firebird, FTP, HTTP-FORM-GET, HTTP-FORM-POST,
	  HTTP-GET, HTTP-HEAD, HTTP-PROXY, HTTPS-FORM-GET, HTTPS-FORM-POST, HTTPS-GET, HTTPS-HEAD,
	  HTTP-Proxy, ICQ, IMAP, IRC, LDAP, MS-SQL, MYSQL, NCP, NNTP, Oracle Listener, Oracle SID, Oracle,
	  PC-Anywhere, PCNFS, POP3, POSTGRES, RDP, Rexec, Rlogin, Rsh, SAP/R3, SIP, SMB, SMTP, SMTP Enum,
	  SNMP, SOCKS5, SSH (v1 and v2), Subversion, Teamspeak (TS2), Telnet, VMware-Auth, VNC and XMPP.
Tomado de http://www.thc.org/thc-hydra/
 

Opciones para uso de la versión 6.5 implementada en BackTrack 5 R1

Options:
  -R        restore a previous aborted/crashed session
  -S        connect via SSL
  -s PORT   if the service is on a different default port, define it here
  -l LOGIN or -L FILE login with LOGIN name, or load several logins from FILE
   -p PASS  or -P FILE try password PASS, or load several passwords from FILE
  -x MIN:MAX:CHARSET  password bruteforce generation, type "-x -h" to get help
  -e ns     additional checks, "n" for null password, "s" try login as pass
   -C FILE   colon separated "login:pass" format, instead of -L/-P options
  -M FILE   server list for parallel attacks, one entry per line
  -o FILE   write found login/password pairs to FILE instead of stdout
   -f        exit after the first found login/password pair (per host if -M)
  -t TASKS  run TASKS number of connects in parallel (default: 16)
  -W TIME   defines the wait time between connects for one thread in seconds
   -w TIME   defines the max wait time in seconds for responses (default: 20)
  -4 / -6   prefer IPv4 (default) or IPv6 addresses
  -v / -V   verbose mode / show login+pass combination for each attempt
  -U        service module usage details
Tomado de las ayudas del software que se imprimen por el terminal

THC-Hydra en la Práctica.

Ejemplo 1.

Práctica realizada desde una  distribución BackTrack 5 R1 y con la versión 6.5 de THC-Hydra.

En el siguiente ejemplo atacaremos por fuerza bruta y éticamente con THC-Hydra al servicio SSH instalado en un servidor con IP 172.16.66.219 instalado para estos fines.

En el terminal se escribe el siguiente código:

# hydra -l david -P acronym  172.16.66.219 ssh -s 22 -w 99999999

Donde:

-l hace referencia al nombre de la cuenta del usuario que utiliza el servicio SSH, en el ejemplo es: david.

-P Hace referencia al archivo (diccionario) donde estará el listado de las posibles contraseñas a adivinar, en el ejemplo es: acronym.

ssh Se refiere al servicio que será auditado y se encuentra activo.

-s Hace referencia al puerto del servicio a auditar, en el ejemplo es el 22 correspondiente al servicio SSH.

-w Esta propiedad es muy importante, y hace referencia al tiempo que tomará la auditoría.

 
 Hydra v6.5 (c) 2011 by van Hauser / THC and David Maciejak - use allowed only for legal purposes.
 Hydra (http://www.thc.org/thc-hydra) starting at 2012-01-22 12:45:56
 WARNING: Restorefile (./hydra.restore) from a previous session found, to prevent overwriting, you have 10 se..
 [DATA] 16 tasks, 1 servers, 19195 login tries (l:1/p:19195), ~1199 tries per task
 [DATA] attacking service ssh on port 22
 [STATUS] 152.00 tries/min, 152 tries in 00:01h, 19043 todo in 02:06h
 [22][ssh] host: 172.16.66.219   login: david   password: ADDICT-L
 [STATUS] attack finished for 172.16.66.219 (waiting for children to finish)
 Hydra (http://www.thc.org/thc-hydra) finished at 2012-01-22 12:48:53

Finalmente el THC-Hydra arroja los resultados, se puede constatar que la contraseña ha sido adivinada, ya que se encontraba dentro del diccionario utilizado como prueba.

Ejemplo 2.

En este ejemplo buscamos a todos los de usuarios que tienen como contraseña 123456 en el  servidor SSH y además se encuentre dentro del diccionario llamado dic.

#hydra -L dic -p 123456 172.16.66.219 ssh -s 22 -w 99999

Hydra v6.5 (c) 2011 by van Hauser / THC and David Maciejak - use allowed only for legal purposes.
Hydra (http://www.thc.org/thc-hydra) starting at 2012-01-22 21:53:18
 WARNING: Restorefile (./hydra.restore) from a previous session found, to prevent overwriting, you have 10 se..
[DATA] 16 tasks, 1 servers, 133 login tries (l:133/p:1), ~8 tries per task
[DATA] attacking service ssh on port 22
 [22][ssh] host: 172.16.66.219   login: laura   password: 123456
[STATUS] 74.00 tries/min, 74 tries in 00:01h, 59 todo in 00:01h
[STATUS] 46.00 tries/min, 92 tries in 00:02h, 41 todo in 00:01h
[22][ssh] host: 172.16.66.219   login: carlos   password: 123456
 [STATUS] attack finished for 172.16.66.219 (waiting for children to finish)
Hydra (http://www.thc.org/thc-hydra) finished at 2012-01-22 21:56:27

Vemos los únicos 2 nombres de usuarios que cumplen con la contraseña 123456.

Hasta una próxima.

by Mauroxan

Los Sistemas Operativos consumen parte de la memoria al ejecutar los sistemas de ventanas, conocidos como Sistemas X. Para aprovechar toda las virtudes de Centos 6 como servidor, se aconseja iniciar el Sistema Operativo sin entorno gráfico.

Para realizar esta tarea, tan solo bastaría con la modificación de una linea de código por terminal.

Estando con privilegios de administración escribimos el siguiente comando, para editar el archivo inittab:

# nano /etc/inittab

Presionamos Enter

Al final del archivo se encuentra la siguiente línea:

id:5:initdefault:

Se edita esta línea remplazando el número 5 por el 3, quedando de la siguiente forma:

id:3:initdefault:

Ahora se reinicia el Sistema Operativo Centos 6, para que se ejecute en modo comando desde su inicio.

El uso de las redes sociales poco a poco ha tomado nuevos objetos de estudio, en cuanto al manejo de la información. Hay quienes utilizan estas para el reclutamiento de personal, estudio de las hojas de vida en el ámbito profesional y comportamiento de los candidatos. La filosofía de conseguir amigos, contar con grandes grupos de discusión y colgar fotografías personales, ha tomado múltiples rumbos generando nuevas formas de estudio, oportunidades a las personas y también exitosos negocios para algunas empresas.

Estamos frente a un diario movimiento de información, que no se achica ni se detiene, por el contrario, cada día se hace mas grande, influenciando a más gente que adoptarán nuevas formas de comunicarse utilizando las Tecnologías de la Información y de las Comunicaciones.

El artículo titulado El 40% de los usuarios utiliza las redes sociales con fin profesional y publicado por el diario LA VANGUARDIA en su sitio http://www.lavanguardia.com, muestra las cifras y resultados de un estudio realizado que enseña la realidad actual, el movimiento y el sin número de afinidades que tienen los internautas al acceder y ser parte de redes sociales.

Lo que este artículo no resalta y que todas las personas que interactúan dentro de redes sociales deben conocer; es el rumbo que en un momento dado podría tomar su información personal o de perfil. Las redes sociales son excelentes herramientas virtuales comunicativas, pero, quién se ha detenido a pensar y preguntar ¿Qué puede estar pasando con mi información? ¿Será que estas redes sociales aprovechan el gran número de perfiles que tienen en sus enormes Bases de Datos? ¿Para qué podría servir toda esta información?

Nos encontramos en la era de la información y quien tiene y hace parte de esta, puede controlar, maniobrar y manipular muchos medios físicos o virtuales, por tanto se debería reflexionar en las preguntas anteriores y sobre todo aprender a ser cuidadoso con su información personal, que podría estar en manos de personas o empresas que de alguna u otra forma podrían utilizarla con fines no deseados y hostiles.

Para entender detalladamente el comportamiento y tratamiento de la información en las redes sociales los invito a  leer el siguiente artículo titulado A Web Pioneer Profiles Users by Name

by Mauroxan

Abrimos un terminal y nos autenticamos como root

$ su root

Estando como root escribimos el siguiente comando:

# yum install ant

Me ha pedido instalar varias dependencias con un peso total de 82M

Total download size: 82 M

Aceptamos el total de la instalación presionando la letra ‘y’ seguida de un Enter

Is this ok [y/N]: y