Desocultar Keylogger

Todo sobre seguridad, exploits, vulnerabilidades, bug's, etc.

Moderador: Moderadores

Desocultar Keylogger

Notapor KF » Jue Abr 27, 2006 2:18 pm

Hola, hoy me ha saltado el panda y me dice que tengo un keylogger en archivos temporales....\content.ie5\i_bpk...
:shock: ¿perfect keylogger? Segun he mirado por la internet. :?
Pero resulta que su descripcion dice que se oculta perfectamente.

¿Como ver si hay algun proceso oculto?.
Me cagüen dié killo...que no puedo borrar el exe ese porque me dice que se esta ejecutando y no hay nada asociado que se vea. :evil:
KF
 

Notapor Círculo Maldito » Vie Abr 28, 2006 1:58 am

Siempre recomiendo el mismo programa para estos casos:

http://unlocker.softonic.com/ie/40696

Dale al enlace de Web (web oficial) para bajarte la última versión. Con éste podrás borrarlo seguro. De todas formas, por supuesto, ya sabes... pásale un antivirus (el SpySweeper tb viene muy bien para estos casos).

X cierto, que si lo tenías ahí metido (temporales de internet) y tú no lo instalaste es probable que te lo haya colao alguna web. Asegúrate de tener todos los parches y, si los tienes todos, entonces sube la seguridad del IE o instálate algo como el SpyWareBlaser.

Un saludo! Espero que lo resuelvas
Avatar de Usuario
Círculo Maldito
:-D
:-D
 
Mensajes: 88
Registrado: Vie Abr 14, 2006 11:44 pm

Desocultar Keylogger

Notapor saul_harmful » Jue May 04, 2006 3:39 pm

KF escribió:Hola, hoy me ha saltado el panda y me dice que tengo un keylogger en archivos temporales....\content.ie5\i_bpk...
:shock: ¿perfect keylogger? Segun he mirado por la internet. :?
Pero resulta que su descripcion dice que se oculta perfectamente.

¿Como ver si hay algun proceso oculto?.
Me cagüen dié killo...que no puedo borrar el exe ese porque me dice que se esta ejecutando y no hay nada asociado que se vea. :evil:



lO PUEDES DESACTIVAR HACIENDO JUEGOS DE LETRAS EJEMPLO: CRLT+P
AS JUEGOS DE LETRAS ASTA QUE EL KEYLOGER SALGA EL PERFEC KEYLOGGER TIENE ESTA OPCION :)
"Cuando Creiamos Tener Todas Las Respuestas....De Pronto Cambiaron Todas Las Preguntas"
saul_harmful
:-)
:-)
 
Mensajes: 10
Registrado: Jue May 04, 2006 3:31 pm
Ubicación: Republica Dominicana

Notapor KF » Vie May 19, 2006 12:07 pm

Hola, circulo_maldito, he usado el unlocker, me dice que borrará el archivo en el siguiente reinicio, pero no me lo borra. sigo igual.

Saul_harmful, he probado muchas combinaciones de teclas y no pasa nada. :-(

¿Alguna idea? Es algun fichero que me han enviado por entrar en alguna pagina pirata supongo, porque esta en archivos temporales de internet....

Un saludo.
KF
 

Notapor saul_harmful » Vie May 19, 2006 3:18 pm

KF escribió:Hola, circulo_maldito, he usado el unlocker, me dice que borrará el archivo en el siguiente reinicio, pero no me lo borra. sigo igual.

Saul_harmful, he probado muchas combinaciones de teclas y no pasa nada. :-(

¿Alguna idea? Es algun fichero que me han enviado por entrar en alguna pagina pirata supongo, porque esta en archivos temporales de internet....

Un saludo.


Bueno en tu caso Instalaria Un sniffer asi verificas a donde esta enviando los reportes ese Keylogger .. y muy extraño lo de la convinacion de Teclas por que deveria de aparecer si es "BlazingTools Perfect Keylogger" que es de los mas usados Deveria aparecer con convinacion de Teclas aunque si es como dices que esta en archivos temporales y crees que te infectaste en un sitio Web no creo que sea el Perfect Keylogger Pero as lo que te dije o sino o instala un Firewol y asi vez cuando blokee ese proceso y sabras que Key es :D
"Cuando Creiamos Tener Todas Las Respuestas....De Pronto Cambiaron Todas Las Preguntas"
saul_harmful
:-)
:-)
 
Mensajes: 10
Registrado: Jue May 04, 2006 3:31 pm
Ubicación: Republica Dominicana

Notapor Círculo Maldito » Vie May 19, 2006 8:18 pm

Jodé macho... ¿todavía sigues con el problema? :?

KF escribió:Hola, circulo_maldito, he usado el unlocker, me dice que borrará el archivo en el siguiente reinicio, pero no me lo borra. sigo igual.


Pues no sé que decirte. A mi siempre me ha funcionada el programilla ése. Creo que la respuesta más rápida sería: bájate el SpySweeper e intenta borrarlo con ése (suele ser bastante efectivo).

Si con éste tampoco puedes ya... quizá digo una tontería, pero puede ser porque los archivos temporales de internet está en una carpeta "oculta" (de sistema)? Yo probaría, entonces, a quitarle los atributos de sistema mediante una consola de dos (con lo de attrib). El problema es que (me parece) que automáticamente se reestablecen si vuelves a entrar en internet. La cosa sería quitarlos (estando fuera de internet) y probar, entonces, lo del programita y ver que tal. Pero, ya te digo... no tengo ni idea si éso funcionará o si, en cuanto reinicies, los atributos se reestablecen. Pero x probar...

No se me ocurre más. Mete el nombre exacto del programa en el regedit, x ejemplo, x si puedes ver alguna llamada que te de alguna "pista". Pero existen, mejor, programas (multimon, regmon...) que analizan y monitorean tu sistema. El filemon quizá te pueda servir. Y no me acuerdo ahora su nombre exacto, pero creo que era File Alyzer o algo así, que te permitía ver mucha info sobre un archivo en concreto que seleccionaras.

No sé qué más. Lo siento. Prueba con el SpySweeper 1º x si te puedes ahorrar todo lo demás.

Un saludo
Avatar de Usuario
Círculo Maldito
:-D
:-D
 
Mensajes: 88
Registrado: Vie Abr 14, 2006 11:44 pm

Notapor KF » Sab May 20, 2006 3:17 pm

Si. Aqui sigo con mi problema. Pensaba que se habia borrado pero el panda me devolvio a la realidad... ;)

Ok. Voy a probar todo eso que me habeis dicho...

Otra idea que tenía es usar un disco de sistema e ir a buscar el puñetero fichero ese y borrarlo a pelo. ;)

Un saludo. Muchas gracias. Comentaré el desenlace....
KF
 

Notapor Arakiss » Sab May 20, 2006 6:39 pm

Cuando "jugamos" con este tipo de cosas es muy conveniente saber con que "vivimos" bajos nuestro maquina es decir,saber primero todos los programas que tenemos en nuestro ordenador para que no nos confunda a la hora de matar el proceso,porque tambien se podria llamar el proceso msnmsgr...y resulta que tu a lo mejor no tienes el messenger instalado,que seria imposible :p .

Mi consejo:

1)Mira primero a ver que programas tienes instalados en tu ordenador.
2)Ahora presiona CTRL+ALTA+SUPRIMIR y intenta localizar ese proceso.
3)Seguramente no te dejara matarlo,aunque dudo mucho que lo encuetres,porque tendra algun nombre que sea asociado a algun archivo que forma parte de Windows.
4)Ahora vamos a deshabilitar todos los programas que se ejecutan al iniciar session en Windows.

a) Inicio--Ejecutar--Escribes "Msconfig".

Ahora te vas al apartado donde pone "Servicios" y picas en la opcion donde pone "Ocultar todos los servicios de Microsoft".Ahora deshabilita todo lo que haya alli.

b)Ahora te toca ir a "Inicio" y en este apartado intenta identificar al amigo que estas buscando que seguramente estara ahi ;) ,miralo en la ubicacion.

*Apunte: Escribe en un papel el nombre o la ruta donde esta tu "amiguito".

Si ves que no lo encuentras porque sea un "listillo" deshabilita todo,que es lo que yo haria para quitarme dolores de cabeza.

Ahora todos los procesos que sean "llamativos" matalos...y mira a ver si se vuelven a iniciar.

Ahora le das a cerrar y Reiniciar,y despues de todo esto deberia dejarte eliminarlo,pero ojo no basta con que elimines solamente el archivo tambien hay que eliminar las claves en el registro.

PD:Yo siempre que mi antivirus no consigue eliminarme los virus,trojans o lo que sea lo hago mas o menos de esta manera dependiendo de que amiguito estamos hablando. :roll:

Un saludo :roll:
//When I wrote this, only God and I understood that I was doing
//Now, God only knows

Imagen

// I dedicate all this code, all my work, to my wife, Darlene, who will

// have to support me and our three children and the dog once it gets

// released into the public
Avatar de Usuario
Arakiss
<|:-D
<|:-D
 
Mensajes: 1309
Registrado: Mié Ene 11, 2006 4:41 pm
Ubicación: Transilvania

Notapor akiru » Sab May 20, 2006 6:58 pm

Yo te recomiendo que consigas la ruta del keylogguer, y una vez que la tengas inicies en modo a prueba de fallos y lo intentes eliminar, si por cualquier razon no te deja prueba a iniciar desde una liveCD (te recomiendo knoppix y su version en DVD5 si tu sistema de ficheros es NTFS) y lo elimines.

Por cierto..cambia tus pass MUY frecuentemente hasta que consigas eliminarlo
Avatar de Usuario
akiru
<|:-)
<|:-)
 
Mensajes: 286
Registrado: Mar May 16, 2006 2:29 pm

Notapor KF » Lun May 22, 2006 12:50 pm

Hola, el puñetero fichero se llama:

D:\Documents and Settings\b0357\Configuración local\Archivos temporales de Internet\Content.IE5\BQK3B9KT\i_bpk2003[1].exe[bpk.exe]

El panda me dice:
Se ha detectado una herramienta hacking y se ha impedido el acceso al archivo.
Nombre:
Application/PerfectKeyLog.T

Voy hasta su ubicacion y no me deja borrarlo....


Y el otro: i_bpk2003[1].exe[bpkun.exe] --- Aplication/PerfectKeyLog.A
Y el tercero: i_bpk2003[1].exe[bpkhk.dll] -- Aplication/PerfectKeyLog.B

He mirado con el sweeper y no me detecta nada que haga referencia a este fichero.
Con el File Alyzer no puedo analizarlo porque no puedo abrirlo..."Acceso denegado"
Con el msconfig no parece que tenga un proceso asociado. Los que hay en inicio no hacen referencia a archivos temporales...

Comentarios? :roll:

¿Como me cargo ese fichero? ¿es peligroso? El panda esta muy cansino y me salta cada 2x3.
KF
 

Notapor AwOiSoAk » Lun May 22, 2006 2:49 pm

Prueba a dar un Ctrl+alt+L a ver si hay suerte...
AwOiSoAk
:-D
:-D
 
Mensajes: 111
Registrado: Dom Abr 17, 2005 6:49 pm

Notapor terror_zine » Lun May 22, 2006 4:40 pm

Has probado a iniciar el pc en modo a prueba de fallos y hacer todas las operaciones que aquí se comentan?
Divide y... tendras la mitad, un tercio....
------------------------------------------------------
This posting is provided "AS IS" with no warranties, and confers no rights. You assume all risk for your use.
------------------------------------------------------
GRIND YOUR MIND (Nasum)
Avatar de Usuario
terror_zine
:-D
:-D
 
Mensajes: 220
Registrado: Mié Ene 11, 2006 8:43 pm

Notapor ANELKAOS » Jue Jun 15, 2006 3:11 pm

Hola KF

En primer lugar asegurate de que el usuario b0357 es el tuyo y tienes privilegios de Administrador cuando lo borres.

En segundo dehabilita Restaurar sistema desde Inicio > Mi PC > boton derecho Propiedades > click en la pestaña Restaurar sistema > desmarca el checkbox Desactivar Restaurar sistema.

Una vez hecho esto y sin conexión yo revisaria los servicios, me huele a que se te ha instalado como tal y por eso aunque lo borres vuelve a aparecer. Te recomiendo RootKit Hook Analyzer para detectar de que servicio se trata ya que evidentemente no va a llamar SOY_UN_VIRUS_BORRAME pero posiblemete esté en algún svchost.exe

Por cierto apaga el pc TOTALMENTE en lugar de reiniciarlo, es habitual que algunos virus (tengo 4 de este tipo en mi colección) permanezcan almacenados en la RAM y se copien al reiniciar.

Espero que te sirva de ayuda. Un saludo.
Échame una firmita en: Imagen
Avatar de Usuario
ANELKAOS
:-)
:-)
 
Mensajes: 37
Registrado: Jue Ene 12, 2006 12:46 am

Notapor KF » Vie Jun 16, 2006 1:58 pm

Bueno, pues he hecho lo que has dicho.
He entrado con una cuenta de administrador.

Probado con Restaurar sistema activado y desactivado.

Me he bajado el RootKit Hook Analyzer que me has comentado, pero salen en rojo, que supongo son los peligrosos, archivos del panda.

He ido hasta el maldito fichero con "Permisos de admin" y me dice que se ha denegado el acceso.

Le doy tambien con unlocker y me dice que no esta bloqueado. Le digo que lo elimine y me dice el unlocker que no se ha podido eliminar el fichero.

El panda salta: Herramienta Hacking detectada en: .../configuracion local/archivos temporales de internet/content.ie5/bqk3b9kt/i_bpk2003[1].exe[bpk..exe]
KF
 

Notapor askrator » Dom Jul 02, 2006 12:27 am

puedes probar con el KL-DETECTOR, puedes probar :roll: (http://dewasoft.com/privacy/kldetector.html)
Avatar de Usuario
askrator
<|:-)
<|:-)
 
Mensajes: 265
Registrado: Sab Jul 01, 2006 6:31 pm
Ubicación: En todas partes

Siguiente

Volver a Seguridad

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 1 invitado