Windows 98
Me gustaría que me dijeses como optimizar windows 98 para que se cargue lo más rápido posible. Tengo últimamente un problema y es que cuando se carga windows desaparece el tapiz de fondo de la pantalla además de los dibujos de los iconos (en lugar de estos aparecen los iconos típicos de windows cuando no reconoce el formato de un archivo ), pero esto dura unos tres segundos, luego vuelven a parecer los iconos y el fondo de escritorio correctamente.
1 Respuesta
Respuesta de albt2
1
Lo que más tardado hace la carga de windows, son los programas cargados al inicio, esto los puedes ver ejecutando msconfig, en inicio,
ademas un TSR programa residente en memoria, en el área de 640k, memoria convencional, estos se encuentran por lo general en el autoexec, bat, y la mayoría de antivirus, cargan ahí su TSR,
también haría falta un pequeño mantenimiento como
* desfragmentar el disco (antes pasale el sacndisk, para comprobar que la unidad esta libre de horrrores..
* elimina la carpeta applog, dentro de
c:\windows (aqui se lleva un log de todoas las aplicaciones que se cargan al iniciar sesión)
* arranca en modo msdos, y ejecuta deltree temp
le das que (y)
luego md temp (para volver a crear el subdirectorio=
* tambien puedes eliminar el archivo encargado de la paginación de memoria virtual , no hay problema si lo eliminas, es mas se recomienda para cuando tienes problemas en Kernel, entre otros eliminarlo, auto se vuelve a regenerar el archivo se llama win386.swp
*
* puede ser y sería bueno que le dieras un checada con tu antivirus
Si quieres y te interesa checar manualmente de virus ..
ya que ahorita los famosos troyanos, son la causa de estos comportamioentos"
puede hacerlo
para un virus de windows
busca en las sig claves en el registro
HKEY/LOCAL MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CURRENT VERSION/ RUN
/RUN SERVICES
/RUN SERVICES ONCE
HKLM\Software\CLASSES\exefile\shell\open debe tener un valor de
"%1" %* Cualquier valor como FILES32. VXD "%1" %*. O algo parecido es presencia de un virus
puede ser el virus pretty park aquí hay un enlace
http://www.getvirushelp.com/PrettyPark/
Para un virus TSR
puede usar el comando MEM /C o MEM/D
de preferencia que no sea en windows
un valor menor de 640 kb puede indicar un virus
tambien busca en
el System.Ini
en Boot ,Shell= Explorer "unicamente nada mas debe estar este valor"
en Win.ini , en run=
Para virus TSR
crear el siguiente fichero, este fichero es útil para crear un fichero .EXE /.COM
Cogeremos el editor que más nos guste y llenaremos todo el fichero de
instrucciones "nop", llena de instrucciones no y luego se rellena con la instrucción para salir al DOS,
en este caso es "mov 0,4ah" y después en otra linea "int 21h".
Con un editor queda ma o meno así
no
no
no
...
mov 0,4ah int 21h
Después se compila y crea el .exe o el .com, eso se efectúa
con debug de DOS o podemos escribirlo
en hexadecimal con el editor Hiew
ya que tenemos dicho fichero lo ejecutamos, y después con el l el hiew se vem que ha pasado, si se visualiza nuevas lineas de código que nosotros no hemos puesto puede ser presencia de un virus
Un troyano, ya que no aparece dentro de la lista de programas "buenos" cargados en el msconfig
si es un troyano usa un antivirus primero, si tienes cargado y actualizadas las firmas de anticirus checa ese archivo nombrado y dale escanear si es un troyano y necesitas eliminarlo, aquí hay un enlace para que bajas una utilería llamada mataprocesos
http://www.datafull.com/datahack/prog/mataprocesos.zip
si usas el mataproceso te vas a dar cuenta de todos los procesos cargados
* cierra todas tus conexiones a internet como ICQ, Imesh, etcInternet Explorer o Netscape - GetRight - Go!Zilla - Telnet - mIRC - MSChat - Outlook - Outlook Express - etc...
* vielve a dejarlo activo el programa en el msconfig el programa para que esto funcione
cuando este listo elimina ese proceso *
Te vas a la ventana de MSDOS ejecutas netstat -a (muestra todas las conexiones activas) o netstat -an (te muestra la dirección IP local y remoto así como el puerto usado) pero como necesitas el nombre usa netstat -a lista todos los puertos, copia la lista
aquí hay un listado de los puertos que usan los troyanos comúnmente
port 1 (UDP) - Sockets des Troie
port 2 Death
port 20 Senna Spy FTP server
port 21 Back Construction, Blade Runner, Cattivik FTP Server, CC Invader, Dark FTP, Doly Trojan, Fore, Invisible FTP, Juggernaut 42, Larva, MotIv FTP, Net Administrator, Ramen, Senna Spy FTP server, The Flu, Traitor 21, WebEx, WinCrash
port 22 Shaft
port 23 Fire HacKer, Tiny Telnet Server - TTS, Truva Atl
port 25 Ajan, Antigen, Barok, Email Password Sender - EPS, EPS II, Gip, Gris, Happy99, Hpteam mail, Hybris, I love you, Kuang2, Magic Horse, MBT (Mail Bombing Trojan), Moscow Email trojan, Naebi, NewApt worm, ProMail trojan, Shtirlitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
port 30 Agent 40421
port 31 Agent 31, Hackers Paradise, Masters Paradise
port 41 DeepThroat, Foreplay
port 48 DRAT
port 50 DRAT
port 58 DMSetup
port 59 DMSetup
port 79 CDK, Firehotcker
port 80 711 trojan (Seven Eleven), AckCmd, Back End, BackOrifice 2000 Plug-Ins, Cafeini, CGI Backdoor, Executor, God Message, God Message Creator, Hooker, IISworm, MTX, NCX, Reverse WWW Tunnel Backdoor, RingZero, Seeker, WAN Remote, Web Server CT, WebDownloader
port 81 RemoConChubo
port 99 Hidden Port, NCX
port 110 ProMail trojan
port 113 Invisible Identd Deamon, Kazimas
port 119 Happy99
port 121 Attack Bot, God Message, JammerKillah
port 123 Net Controller
port 133 Farnaz
port 137 Chode
port 137 (UDP) - Msinit
port 138 Chode
port 139 Chode, God Message worm, Msinit, Netlog, Network, Qaz
port 142 NetTaxi
port 146 Infector
port 146 (UDP) - Infector
port 170 A-trojan
port 334 Backage
port 411 Backage
port 420 Breach, Incognito
port 421 TCP Wrappers trojan
port 455 Fatal Connections
port 456 Hackers Paradise
port 513 Grlogin
port 514 RPC Backdoor
port 531 Net666, Rasmin
port 555 711 trojan (Seven Eleven), Ini-Killer, Net Administrator, Phase Zero, Phase-0, Stealth Spy
port 605 Secret Service
port 666 Attack FTP, Back Construction, BLA trojan, Cain & Abel, NokNok, Satans Back Door - SBD, ServU, Shadow Phyre, th3r1pp3rz (= Therippers)
port 667 SniperNet
port 669 DP trojan
port 692 GayOL
port 777 AimSpy, Undetected
port 808 WinHole
port 911 Dark Shadow
port 999 Deep Throat, Foreplay, WinSatan
port 1000 Der Späher / Der Spaeher, Direct Connection
port 1001 Der Späher / Der Spaeher, Le Guardien, Silencer, WebEx
port 1010 Doly Trojan
port 1011 Doly Trojan
port 1012 Doly Trojan
port 1015 Doly Trojan
port 1016 Doly Trojan
port 1020 Vampire
port 1024 Jade, Latinus, NetSpy
port 1025 Remote Storm
port 1025 (UDP) - Remote Storm
port 1035 Multidropper
port 1042 BLA trojan
port 1045 Rasmin
port 1049 /sbin/initd
port 1050 MiniCommand
port 1053 The Thief
port 1054 AckCmd
port 1080 WinHole
port 1081 WinHole
port 1082 WinHole
port 1083 WinHole
port 1090 Xtreme
port 1095 Remote Administration Tool - RAT
port 1097 Remote Administration Tool - RAT
port 1098 Remote Administration Tool - RAT
port 1099 Blood Fest Evolution, Remote Administration Tool - RAT
port 1150 Orion
port 1151 Orion
port 1170 Psyber Stream Server - PSS, Streaming Audio Server, Voice
port 1200 (UDP) - NoBackO
port 1201 (UDP) - NoBackO
port 1207 SoftWAR
port 1208 Infector
port 1212 Kaos
port 1234 SubSevenJavaclient, Ultors Trojan
port 1243 BackDoor-G, SubSeven, SubSevenApocalypse, Tiles
port 1245 VooDoo Doll
port 1255 Scarab
port 1256 Project nEXT
port 1269 Matrix
port 1272 TheMatrix
port 1313 NETrojan
port 1338 Millenium Worm
port 1349 Bo dll
port 1394 GoFriller, Backdoor G-1
port 1441 Remote Storm
port 1492 FTP99CMP
port 1524 Trinoo
port 1568 Remote Hack
port 1600 Direct Connection, Shivka-Burka
port 1703 Exploiter
port 1777 Scarab
port 1807 SpySender
port 1966 Fake FTP
port 1967 WM FTP Server
port 1969 OpC BO
port 1981 Bowl, Shockrave
port 1999 Back Door, SubSeven, TransScout
port 2000 Der Späher / Der Spaeher, Insane Network, Last 2000, Remote Explorer 2000, Senna Spy Trojan Generator
port 2001 Der Späher / Der Spaeher, Trojan Cow
port 2023 Ripper Pro
port 2080 WinHole
port 2115 Bugs
port 2130 (UDP) - Mini Backlash
port 2140 The Invasor
port 2140 (UDP) - Deep Throat, Foreplay
port 2155 Illusion Mailer
port 2255 Nirvana
port 2283 Hvl RAT
port 2300 Xplorer
port 2311 Studio 54
port 2330 Contact
port 2331 Contact
port 2332 Contact
port 2333 Contact
port 2334 Contact
port 2335 Contact
port 2336 Contact
port 2337 Contact
port 2338 Contact
port 2339 Contact, Voice Spy
port 2339 (UDP) - Voice Spy
port 2345 Doly Trojan
port 2565 Striker trojan
port 2583 WinCrash
port 2600 Digital RootBeer
port 2716 The Prayer
port 2773 Subseven, SubSeven2.1Gold
port 2774 SubSeven, Sub Seven 2.1 gold
port 2801 Phineas Phucker
port 2989 (UDP) - Remote Administration Tool - RAT
port 3000 Remote Shut
port 3024 WinCrash
port 3031 Microspy
port 3128 Reverse WWW Tunnel Backdoor, RingZero
port 3129 Masters Paradise
port 3150 The Invasor
port 3150 (UDP) - Deep Throat, Foreplay, Mini Backlash
port 3456 Terror trojan
port 3459 Eclipse 2000, Sanctuary
port 3700 Portal of Doom
port 3777 PsychWard
port 3791 Total Solar Eclypse
port 3801 Total Solar Eclypse
port 4000 SkyDance
port 4092 WinCrash
port 4242 Virtual Hacking Machine - VHM
port 4321 BoBo
port 4444 Prosiak, Swift Remote
port 4567 File Nail
port 4590 ICQ Trojan
port 4950 ICQ Trogen (Lm)
port 5000 Back Door Setup, Blazer5, Bubbel, ICKiller, Ra1d, Sockets des Troie
port 5001 Back Door Setup, Sockets des Troie
port 5002 cd00r, Shaft
port 5010 Solo
port 5011 One of the Last Trojans - OOTLT, One of the Last Trojans - OOTLT, modified
port 5025 WM Remote KeyLogger
port 5031 Net Metropolitan
port 5032 Net Metropolitan
port 5321 Firehotcker
port 5333 Backage, NetDemon
port 5343 wCrat - WC Remote Administration Tool
port 5400 Back Construction, Blade Runner
port 5401 Back Construction, Blade Runner
port 5402 Back Construction, Blade Runner
port 5512 Illusion Mailer
port 5534 The Flu
port 5550 Xtcp
port 5555 ServeMe
port 5556 BO Facil
port 5557 BO Facil
port 5569 Robo-Hack
port 5637 PC Crasher
port 5638 PC Crasher
port 5742 WinCrash
port 5760 Portmap Remote Root Linux Exploit
port 5880 Y3K RAT
port 5882 Y3K RAT
port 5882 (UDP) - Y3K RAT
port 5888 Y3K RAT
port 5888 (UDP) - Y3K RAT
port 5889 Y3K RAT
port 6000 The Thing
port 6006 Bad Blood
port 6272 Secret Service
port 6400 The Thing
port 6661 TEMan, Weia-Meia
port 6666 Dark Connection Inside, NetBus worm
port 6667 Dark FTP, ScheduleAgent, SubSeven, Subseven 2.1.4 DefCon 8, Trinity, WinSatan
port 6669 Host Control, Vampire
port 6670 BackWeb Server, Deep Throat, Foreplay, WinNuke eXtreame
port 6711 BackDoor-G, SubSeven, VP Killer
port 6712 Funny trojan, SubSeven
port 6713 SubSeven
port 6723 Mstream
port 6771 Deep Throat, Foreplay
port 6776 2000 Cracks, BackDoor-G, SubSeven, VP Killer
port 6838 (UDP) - Mstream
port 6883 Delta Source DarkStar (?)
Port 6912 Shit Heep
port 6939 Indoctrination
port 6969 GateCrasher, IRC 3, Net Controller, Priority
port 6970 GateCrasher
port 7000 Exploit Translation Server, Kazimas, Remote Grab, SubSeven, SubSeven 2.1 Gold
port 7001 Freak88, Freak2k
port 7215 SubSeven, SubSeven 2.1 Gold
port 7300 NetMonitor
port 7301 NetMonitor
port 7306 NetMonitor
port 7307 NetMonitor
port 7308 NetMonitor
port 7424 Host Control
port 7424 (UDP) - Host Control
port 7597 Qaz
port 7626 Glacier
port 7777 God Message, Tini
port 7789 Back Door Setup, ICKiller
port 7891 The ReVeNgEr
port 7983 Mstream
port 8080 Brown Orifice, RemoConChubo, Reverse WWW Tunnel Backdoor, RingZero
port 8787 Back Orifice 2000
port 8988 BacHack
port 8989 Rcon, Recon, Xcon
port 9000 Netministrator
port 9325 (UDP) - Mstream
port 9400 InCommand
port 9872 Portal of Doom
port 9873 Portal of Doom
port 9874 Portal of Doom
port 9875 Portal of Doom
port 9876 Cyber Attacker, Rux
port 9878 TransScout
port 9989 Ini-Killer
port 9999 The Prayer
port 10000 OpwinTRojan
port 10005 OpwinTRojan
port 10067 (UDP) - Portal of Doom
port 10085 Syphillis
port 10086 Syphillis
port 10100 Control Total, Gift trojan
port 10101 BrainSpy, Silencer
port 10167 (UDP) - Portal of Doom
port 10520 Acid Shivers
port 10528 Host Control
port 10607 Coma
port 10666 (UDP) - Ambush
port 11000 Senna Spy Trojan Generator
port 11050 Host Control
port 11051 Host Control
port 11223 Progenic trojan, Secret Agent
port 12076 Gjamer
port 12223 Hack´99 KeyLogger
port 12345 Ashley, cron / crontab, Fat Bitch trojan, GabanBus, icmp_client.c, icmp_pipe.c, Mypic, NetBus, NetBus Toy, NetBus worm, Pie Bill Gates, Whack Job, X-bill
port 12346 Fat Bitch trojan, GabanBus, NetBus, X-bill
port 12349 BioNet
port 12361 Whack-a-mole
port 12362 Whack-a-mole
port 12363 Whack-a-mole
port 12623 (UDP) - DUN Control
port 12624 ButtMan
port 12631 Whack Job
port 12754 Mstream
port 13000 Senna Spy Trojan Generator, Senna Spy Trojan Generator
port 13010 Hacker Brasil - HBR
port 13013 PsychWard
port 13014 PsychWard
port 13223 Hack´99 KeyLogger
port 13473 Chupacabra
port 14500 PC Invader
port 14501 PC Invader
port 14502 PC Invader
port 14503 PC Invader
port 15000 NetDemon
port 15092 Host Control
port 15104 Mstream
port 15382 SubZero
port 15858 CDK
port 16484 Mosucker
port 16660 Stacheldraht
port 16772 ICQ Revenge
port 16959 SubSeven, Subseven 2.1.4 DefCon 8
port 16969 Priority
port 17166 Mosaic
port 17300 Kuang2 the virus
port 17449 Kid Terror
port 17499 CrazzyNet
port 17500 CrazzyNet
port 17569 Infector
port 17593 Audiodoor
port 17777 Nephron
port 18753 (UDP) - Shaft
port 19864 ICQ Revenge
port 20000 Millenium
port 20001 Millenium, Millenium (Lm)
port 20002 AcidkoR
port 20005 Mosucker
port 20023 VP Killer
port 20034 NetBus 2.0 Pro, NetBus 2.0 Pro Hidden, NetRex, Whack Job
port 20203 Chupacabra
port 20331 BLA trojan
port 20432 Shaft
port 20433 (UDP) - Shaft
port 21544 GirlFriend, Kid Terror
port 21554 Exploiter, Kid Terror, Schwindler, Winsp00fer
port 22222 Donald Dick, Prosiak, Ruler, RUX The TIc. K
port 23005 NetTrash
port 23006 NetTrash
port 23023 Logged
port 23032 Amanda
port 23432 Asylum
port 23456 Evil FTP, Ugly FTP, Whack Job
port 23476 Donald Dick
port 23476 (UDP) - Donald Dick
port 23477 Donald Dick
port 23777 InetSpy
port 24000 Infector
port 25685 Moonpie
port 25686 Moonpie
port 25982 Moonpie
port 26274 (UDP) - Delta Source
port 26681 Voice Spy
port 27374 Bad Blood, Ramen, Seeker, SubSeven, SubSeven 2.1 Gold, Subseven 2.1.4 DefCon 8, SubSeven Muie, Ttfloader
port 27444 (UDP) - Trinoo
port 27573 SubSeven
port 27665 Trinoo
port 28678 Exploiter
port 29104 NetTrojan
port 29369 ovasOn
port 29891 The Unexplained
port 30000 Infector
port 30001 ErrOr32
port 30003 Lamers Death
port 30029 AOL trojan
port 30100 NetSphere
port 30101 NetSphere
port 30102 NetSphere
port 30103 NetSphere
port 30103 (UDP) - NetSphere
port 30133 NetSphere
port 30303 Sockets des Troie
port 30947 Intruse
port 30999 Kuang2
port 31335 Trinoo
port 31336 Bo Whack, Butt Funnel
port 31337 Back Fire, BackOrifice 1.20 patches, BackOrifice (Lm), BackOrifice russian, Baron Night, Beeone, BO client, BO Facil, BO spy, BO2, cron / crontab, Freak88, Freak2k, icmp_pipe.c, Sockdmini
port 31337 (UDP) - BackOrifice, Deep BO
port 31338 Back Orifice, Butt Funnel, NetSpy (DK)
port 31338 (UDP) - Deep BO
port 31339 NetSpy (DK)
port 31666 BOWhack
port 31785 Hack´a´Tack
port 31787 Hack´a´Tack
port 31788 Hack´a´Tack
port 31789 (UDP) - Hack´a´Tack
port 31790 Hack´a´Tack
port 31791 (UDP) - Hack´a´Tack
port 31792 Hack´a´Tack
port 32001 Donald Dick
port 32100 Peanut Brittle, Project nEXT
port 32418 Acid Battery
port 33270 Trinity
port 33333 Blakharaz, Prosiak
port 33577 Son of PsychWard
port 33777 Son of PsychWard
port 33911 Spirit 2000, Spirit 2001
port 34324 Big Gluck, TN
port 34444 Donald Dick
port 34555 (UDP) - Trinoo (for Windows)
port 35555 (UDP) - Trinoo (for Windows)
port 37237 Mantis
port 37651 Yet Another Trojan - YAT
port 40412 The Spy
port 40421 Agent 40421, Masters Paradise
port 40422 Masters Paradise
port 40423 Masters Paradise
port 40425 Masters Paradise
port 40426 Masters Paradise
port 41337 Storm
port 41666 Remote Boot Tool - RBT, Remote Boot Tool - RBT
port 44444 Prosiak
port 44575 Exploiter
port 47262 (UDP) - Delta Source
port 49301 OnLine KeyLogger
port 50130 Enterprise
port 50505 Sockets des Troie
port 50766 Fore, Schwindler
port 51966 Cafeini
port 52317 Acid Battery 2000
port 53001 Remote Windows Shutdown - RWS
port 54283 SubSeven, SubSeven 2.1 Gold
port 54320 Back Orifice 2000
port 54321 BackOrifice 2000, School Bus
port 55165 File Manager trojan, File Manager trojan, WM Trojan Generator
port 55166 WM Trojan Generator
port 57341 NetRaider
port 58339 Butt Funnel
port 60000 DeepThroat, Foreplay, Sockets des Troie
port 60001 Trinity
port 60068 Xzip 6000068
port 60411 Connection
port 61348 Bunker-Hill
port 61466 TeleCommando
port 61603 Bunker-Hill
port 63485 Bunker-Hill
port 64101 Taskman
port 65000 Devil, Sockets des Troie, Stacheldraht
port 65390 Eclypse
port 65421 Jade
port 65432 The Traitor (= th3tr41t0r)
port 65432 (UDP) - The Traitor (= th3tr41t0r)
port 65534 /sbin/initd
port 65535 RC1 trojan
despues cargas el mataprocesos y eliminas el programa RSCMPT. EXEQUE vuelves a dar un netstat para checar si ya no aparece
si asi es haz dado es un troyano, horita ya lo elimnaste pero en el momento que vuelvas a reinciar se vuelve a cargar para buscarlos te vas
con el DEBUG
puedes ejecutar
L 0 2 0 100
D 0 100
Y enter (muestra el DBR) busca alguna cadena o firma en la parte que esta en ASCII no la hexadecimal, en la parte hexadecimal, debe empezar con
EB 58 otro valor indicaría alteración
para un virus de MBR
también con el debug puedes ejecutar las sig. instrucciones para detectar un virus de MBR
* TEN CUIDADO EJECUTALO EXACTAMENTE COMO BIENE YA QUE EL LENGIAJE ES BAJO NIVEL, UN FALLO Y PUEDES ARRUINAR*
DEBUG
A 100
MOV AX,201
MOV BX,200
MOV CX,1
MOV DX,80
INT 13 (AQUI LLAMAMS LAS INTERUUPCION AL DISCO Y DISKETTE)
INT 3
G=100
DE 200
DE 210
DE 215
DE 220
DE 230 así hasta que encuentres los valores mencionados anteriormente, por ejemplo el "55AA" se encuentra abajo de Invalid Partitin.."mensaje en la parte ASCII
Q
De preferencia hazlo con un disco de arranque copias el debug y lo jalas
porque puede ser que te diga si lo haces desde cuando lo quieras abrir que falta memoria debido a que hay muchos TSR´s y obvio el virus que ocupa un rango de memoria
los valores de un MBR SANO
andan más o menos por en primer ligar busca ek boot signatura es decir "55AA" busca al principio un valor "FA 33 C0 8E " los primero 2 bytes de 80 "que quiere decir que hay partición activa " si no lo hay "puede que el virus ya te haya tocado las particiones " un valor de 80 01
01 00 " para una tabla de particiones estable, busca también en la parte en ASCII algo de basura "la mayoría de virus dejan su firma en esa parte"
Atte: A+ CompTIA Certified
ademas un TSR programa residente en memoria, en el área de 640k, memoria convencional, estos se encuentran por lo general en el autoexec, bat, y la mayoría de antivirus, cargan ahí su TSR,
también haría falta un pequeño mantenimiento como
* desfragmentar el disco (antes pasale el sacndisk, para comprobar que la unidad esta libre de horrrores..
* elimina la carpeta applog, dentro de
c:\windows (aqui se lleva un log de todoas las aplicaciones que se cargan al iniciar sesión)
* arranca en modo msdos, y ejecuta deltree temp
le das que (y)
luego md temp (para volver a crear el subdirectorio=
* tambien puedes eliminar el archivo encargado de la paginación de memoria virtual , no hay problema si lo eliminas, es mas se recomienda para cuando tienes problemas en Kernel, entre otros eliminarlo, auto se vuelve a regenerar el archivo se llama win386.swp
*
* puede ser y sería bueno que le dieras un checada con tu antivirus
Si quieres y te interesa checar manualmente de virus ..
ya que ahorita los famosos troyanos, son la causa de estos comportamioentos"
puede hacerlo
para un virus de windows
busca en las sig claves en el registro
HKEY/LOCAL MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CURRENT VERSION/ RUN
/RUN SERVICES
/RUN SERVICES ONCE
HKLM\Software\CLASSES\exefile\shell\open debe tener un valor de
"%1" %* Cualquier valor como FILES32. VXD "%1" %*. O algo parecido es presencia de un virus
puede ser el virus pretty park aquí hay un enlace
http://www.getvirushelp.com/PrettyPark/
Para un virus TSR
puede usar el comando MEM /C o MEM/D
de preferencia que no sea en windows
un valor menor de 640 kb puede indicar un virus
tambien busca en
el System.Ini
en Boot ,Shell= Explorer "unicamente nada mas debe estar este valor"
en Win.ini , en run=
Para virus TSR
crear el siguiente fichero, este fichero es útil para crear un fichero .EXE /.COM
Cogeremos el editor que más nos guste y llenaremos todo el fichero de
instrucciones "nop", llena de instrucciones no y luego se rellena con la instrucción para salir al DOS,
en este caso es "mov 0,4ah" y después en otra linea "int 21h".
Con un editor queda ma o meno así
no
no
no
...
mov 0,4ah int 21h
Después se compila y crea el .exe o el .com, eso se efectúa
con debug de DOS o podemos escribirlo
en hexadecimal con el editor Hiew
ya que tenemos dicho fichero lo ejecutamos, y después con el l el hiew se vem que ha pasado, si se visualiza nuevas lineas de código que nosotros no hemos puesto puede ser presencia de un virus
Un troyano, ya que no aparece dentro de la lista de programas "buenos" cargados en el msconfig
si es un troyano usa un antivirus primero, si tienes cargado y actualizadas las firmas de anticirus checa ese archivo nombrado y dale escanear si es un troyano y necesitas eliminarlo, aquí hay un enlace para que bajas una utilería llamada mataprocesos
http://www.datafull.com/datahack/prog/mataprocesos.zip
si usas el mataproceso te vas a dar cuenta de todos los procesos cargados
* cierra todas tus conexiones a internet como ICQ, Imesh, etcInternet Explorer o Netscape - GetRight - Go!Zilla - Telnet - mIRC - MSChat - Outlook - Outlook Express - etc...
* vielve a dejarlo activo el programa en el msconfig el programa para que esto funcione
cuando este listo elimina ese proceso *
Te vas a la ventana de MSDOS ejecutas netstat -a (muestra todas las conexiones activas) o netstat -an (te muestra la dirección IP local y remoto así como el puerto usado) pero como necesitas el nombre usa netstat -a lista todos los puertos, copia la lista
aquí hay un listado de los puertos que usan los troyanos comúnmente
port 1 (UDP) - Sockets des Troie
port 2 Death
port 20 Senna Spy FTP server
port 21 Back Construction, Blade Runner, Cattivik FTP Server, CC Invader, Dark FTP, Doly Trojan, Fore, Invisible FTP, Juggernaut 42, Larva, MotIv FTP, Net Administrator, Ramen, Senna Spy FTP server, The Flu, Traitor 21, WebEx, WinCrash
port 22 Shaft
port 23 Fire HacKer, Tiny Telnet Server - TTS, Truva Atl
port 25 Ajan, Antigen, Barok, Email Password Sender - EPS, EPS II, Gip, Gris, Happy99, Hpteam mail, Hybris, I love you, Kuang2, Magic Horse, MBT (Mail Bombing Trojan), Moscow Email trojan, Naebi, NewApt worm, ProMail trojan, Shtirlitz, Stealth, Tapiras, Terminator, WinPC, WinSpy
port 30 Agent 40421
port 31 Agent 31, Hackers Paradise, Masters Paradise
port 41 DeepThroat, Foreplay
port 48 DRAT
port 50 DRAT
port 58 DMSetup
port 59 DMSetup
port 79 CDK, Firehotcker
port 80 711 trojan (Seven Eleven), AckCmd, Back End, BackOrifice 2000 Plug-Ins, Cafeini, CGI Backdoor, Executor, God Message, God Message Creator, Hooker, IISworm, MTX, NCX, Reverse WWW Tunnel Backdoor, RingZero, Seeker, WAN Remote, Web Server CT, WebDownloader
port 81 RemoConChubo
port 99 Hidden Port, NCX
port 110 ProMail trojan
port 113 Invisible Identd Deamon, Kazimas
port 119 Happy99
port 121 Attack Bot, God Message, JammerKillah
port 123 Net Controller
port 133 Farnaz
port 137 Chode
port 137 (UDP) - Msinit
port 138 Chode
port 139 Chode, God Message worm, Msinit, Netlog, Network, Qaz
port 142 NetTaxi
port 146 Infector
port 146 (UDP) - Infector
port 170 A-trojan
port 334 Backage
port 411 Backage
port 420 Breach, Incognito
port 421 TCP Wrappers trojan
port 455 Fatal Connections
port 456 Hackers Paradise
port 513 Grlogin
port 514 RPC Backdoor
port 531 Net666, Rasmin
port 555 711 trojan (Seven Eleven), Ini-Killer, Net Administrator, Phase Zero, Phase-0, Stealth Spy
port 605 Secret Service
port 666 Attack FTP, Back Construction, BLA trojan, Cain & Abel, NokNok, Satans Back Door - SBD, ServU, Shadow Phyre, th3r1pp3rz (= Therippers)
port 667 SniperNet
port 669 DP trojan
port 692 GayOL
port 777 AimSpy, Undetected
port 808 WinHole
port 911 Dark Shadow
port 999 Deep Throat, Foreplay, WinSatan
port 1000 Der Späher / Der Spaeher, Direct Connection
port 1001 Der Späher / Der Spaeher, Le Guardien, Silencer, WebEx
port 1010 Doly Trojan
port 1011 Doly Trojan
port 1012 Doly Trojan
port 1015 Doly Trojan
port 1016 Doly Trojan
port 1020 Vampire
port 1024 Jade, Latinus, NetSpy
port 1025 Remote Storm
port 1025 (UDP) - Remote Storm
port 1035 Multidropper
port 1042 BLA trojan
port 1045 Rasmin
port 1049 /sbin/initd
port 1050 MiniCommand
port 1053 The Thief
port 1054 AckCmd
port 1080 WinHole
port 1081 WinHole
port 1082 WinHole
port 1083 WinHole
port 1090 Xtreme
port 1095 Remote Administration Tool - RAT
port 1097 Remote Administration Tool - RAT
port 1098 Remote Administration Tool - RAT
port 1099 Blood Fest Evolution, Remote Administration Tool - RAT
port 1150 Orion
port 1151 Orion
port 1170 Psyber Stream Server - PSS, Streaming Audio Server, Voice
port 1200 (UDP) - NoBackO
port 1201 (UDP) - NoBackO
port 1207 SoftWAR
port 1208 Infector
port 1212 Kaos
port 1234 SubSevenJavaclient, Ultors Trojan
port 1243 BackDoor-G, SubSeven, SubSevenApocalypse, Tiles
port 1245 VooDoo Doll
port 1255 Scarab
port 1256 Project nEXT
port 1269 Matrix
port 1272 TheMatrix
port 1313 NETrojan
port 1338 Millenium Worm
port 1349 Bo dll
port 1394 GoFriller, Backdoor G-1
port 1441 Remote Storm
port 1492 FTP99CMP
port 1524 Trinoo
port 1568 Remote Hack
port 1600 Direct Connection, Shivka-Burka
port 1703 Exploiter
port 1777 Scarab
port 1807 SpySender
port 1966 Fake FTP
port 1967 WM FTP Server
port 1969 OpC BO
port 1981 Bowl, Shockrave
port 1999 Back Door, SubSeven, TransScout
port 2000 Der Späher / Der Spaeher, Insane Network, Last 2000, Remote Explorer 2000, Senna Spy Trojan Generator
port 2001 Der Späher / Der Spaeher, Trojan Cow
port 2023 Ripper Pro
port 2080 WinHole
port 2115 Bugs
port 2130 (UDP) - Mini Backlash
port 2140 The Invasor
port 2140 (UDP) - Deep Throat, Foreplay
port 2155 Illusion Mailer
port 2255 Nirvana
port 2283 Hvl RAT
port 2300 Xplorer
port 2311 Studio 54
port 2330 Contact
port 2331 Contact
port 2332 Contact
port 2333 Contact
port 2334 Contact
port 2335 Contact
port 2336 Contact
port 2337 Contact
port 2338 Contact
port 2339 Contact, Voice Spy
port 2339 (UDP) - Voice Spy
port 2345 Doly Trojan
port 2565 Striker trojan
port 2583 WinCrash
port 2600 Digital RootBeer
port 2716 The Prayer
port 2773 Subseven, SubSeven2.1Gold
port 2774 SubSeven, Sub Seven 2.1 gold
port 2801 Phineas Phucker
port 2989 (UDP) - Remote Administration Tool - RAT
port 3000 Remote Shut
port 3024 WinCrash
port 3031 Microspy
port 3128 Reverse WWW Tunnel Backdoor, RingZero
port 3129 Masters Paradise
port 3150 The Invasor
port 3150 (UDP) - Deep Throat, Foreplay, Mini Backlash
port 3456 Terror trojan
port 3459 Eclipse 2000, Sanctuary
port 3700 Portal of Doom
port 3777 PsychWard
port 3791 Total Solar Eclypse
port 3801 Total Solar Eclypse
port 4000 SkyDance
port 4092 WinCrash
port 4242 Virtual Hacking Machine - VHM
port 4321 BoBo
port 4444 Prosiak, Swift Remote
port 4567 File Nail
port 4590 ICQ Trojan
port 4950 ICQ Trogen (Lm)
port 5000 Back Door Setup, Blazer5, Bubbel, ICKiller, Ra1d, Sockets des Troie
port 5001 Back Door Setup, Sockets des Troie
port 5002 cd00r, Shaft
port 5010 Solo
port 5011 One of the Last Trojans - OOTLT, One of the Last Trojans - OOTLT, modified
port 5025 WM Remote KeyLogger
port 5031 Net Metropolitan
port 5032 Net Metropolitan
port 5321 Firehotcker
port 5333 Backage, NetDemon
port 5343 wCrat - WC Remote Administration Tool
port 5400 Back Construction, Blade Runner
port 5401 Back Construction, Blade Runner
port 5402 Back Construction, Blade Runner
port 5512 Illusion Mailer
port 5534 The Flu
port 5550 Xtcp
port 5555 ServeMe
port 5556 BO Facil
port 5557 BO Facil
port 5569 Robo-Hack
port 5637 PC Crasher
port 5638 PC Crasher
port 5742 WinCrash
port 5760 Portmap Remote Root Linux Exploit
port 5880 Y3K RAT
port 5882 Y3K RAT
port 5882 (UDP) - Y3K RAT
port 5888 Y3K RAT
port 5888 (UDP) - Y3K RAT
port 5889 Y3K RAT
port 6000 The Thing
port 6006 Bad Blood
port 6272 Secret Service
port 6400 The Thing
port 6661 TEMan, Weia-Meia
port 6666 Dark Connection Inside, NetBus worm
port 6667 Dark FTP, ScheduleAgent, SubSeven, Subseven 2.1.4 DefCon 8, Trinity, WinSatan
port 6669 Host Control, Vampire
port 6670 BackWeb Server, Deep Throat, Foreplay, WinNuke eXtreame
port 6711 BackDoor-G, SubSeven, VP Killer
port 6712 Funny trojan, SubSeven
port 6713 SubSeven
port 6723 Mstream
port 6771 Deep Throat, Foreplay
port 6776 2000 Cracks, BackDoor-G, SubSeven, VP Killer
port 6838 (UDP) - Mstream
port 6883 Delta Source DarkStar (?)
Port 6912 Shit Heep
port 6939 Indoctrination
port 6969 GateCrasher, IRC 3, Net Controller, Priority
port 6970 GateCrasher
port 7000 Exploit Translation Server, Kazimas, Remote Grab, SubSeven, SubSeven 2.1 Gold
port 7001 Freak88, Freak2k
port 7215 SubSeven, SubSeven 2.1 Gold
port 7300 NetMonitor
port 7301 NetMonitor
port 7306 NetMonitor
port 7307 NetMonitor
port 7308 NetMonitor
port 7424 Host Control
port 7424 (UDP) - Host Control
port 7597 Qaz
port 7626 Glacier
port 7777 God Message, Tini
port 7789 Back Door Setup, ICKiller
port 7891 The ReVeNgEr
port 7983 Mstream
port 8080 Brown Orifice, RemoConChubo, Reverse WWW Tunnel Backdoor, RingZero
port 8787 Back Orifice 2000
port 8988 BacHack
port 8989 Rcon, Recon, Xcon
port 9000 Netministrator
port 9325 (UDP) - Mstream
port 9400 InCommand
port 9872 Portal of Doom
port 9873 Portal of Doom
port 9874 Portal of Doom
port 9875 Portal of Doom
port 9876 Cyber Attacker, Rux
port 9878 TransScout
port 9989 Ini-Killer
port 9999 The Prayer
port 10000 OpwinTRojan
port 10005 OpwinTRojan
port 10067 (UDP) - Portal of Doom
port 10085 Syphillis
port 10086 Syphillis
port 10100 Control Total, Gift trojan
port 10101 BrainSpy, Silencer
port 10167 (UDP) - Portal of Doom
port 10520 Acid Shivers
port 10528 Host Control
port 10607 Coma
port 10666 (UDP) - Ambush
port 11000 Senna Spy Trojan Generator
port 11050 Host Control
port 11051 Host Control
port 11223 Progenic trojan, Secret Agent
port 12076 Gjamer
port 12223 Hack´99 KeyLogger
port 12345 Ashley, cron / crontab, Fat Bitch trojan, GabanBus, icmp_client.c, icmp_pipe.c, Mypic, NetBus, NetBus Toy, NetBus worm, Pie Bill Gates, Whack Job, X-bill
port 12346 Fat Bitch trojan, GabanBus, NetBus, X-bill
port 12349 BioNet
port 12361 Whack-a-mole
port 12362 Whack-a-mole
port 12363 Whack-a-mole
port 12623 (UDP) - DUN Control
port 12624 ButtMan
port 12631 Whack Job
port 12754 Mstream
port 13000 Senna Spy Trojan Generator, Senna Spy Trojan Generator
port 13010 Hacker Brasil - HBR
port 13013 PsychWard
port 13014 PsychWard
port 13223 Hack´99 KeyLogger
port 13473 Chupacabra
port 14500 PC Invader
port 14501 PC Invader
port 14502 PC Invader
port 14503 PC Invader
port 15000 NetDemon
port 15092 Host Control
port 15104 Mstream
port 15382 SubZero
port 15858 CDK
port 16484 Mosucker
port 16660 Stacheldraht
port 16772 ICQ Revenge
port 16959 SubSeven, Subseven 2.1.4 DefCon 8
port 16969 Priority
port 17166 Mosaic
port 17300 Kuang2 the virus
port 17449 Kid Terror
port 17499 CrazzyNet
port 17500 CrazzyNet
port 17569 Infector
port 17593 Audiodoor
port 17777 Nephron
port 18753 (UDP) - Shaft
port 19864 ICQ Revenge
port 20000 Millenium
port 20001 Millenium, Millenium (Lm)
port 20002 AcidkoR
port 20005 Mosucker
port 20023 VP Killer
port 20034 NetBus 2.0 Pro, NetBus 2.0 Pro Hidden, NetRex, Whack Job
port 20203 Chupacabra
port 20331 BLA trojan
port 20432 Shaft
port 20433 (UDP) - Shaft
port 21544 GirlFriend, Kid Terror
port 21554 Exploiter, Kid Terror, Schwindler, Winsp00fer
port 22222 Donald Dick, Prosiak, Ruler, RUX The TIc. K
port 23005 NetTrash
port 23006 NetTrash
port 23023 Logged
port 23032 Amanda
port 23432 Asylum
port 23456 Evil FTP, Ugly FTP, Whack Job
port 23476 Donald Dick
port 23476 (UDP) - Donald Dick
port 23477 Donald Dick
port 23777 InetSpy
port 24000 Infector
port 25685 Moonpie
port 25686 Moonpie
port 25982 Moonpie
port 26274 (UDP) - Delta Source
port 26681 Voice Spy
port 27374 Bad Blood, Ramen, Seeker, SubSeven, SubSeven 2.1 Gold, Subseven 2.1.4 DefCon 8, SubSeven Muie, Ttfloader
port 27444 (UDP) - Trinoo
port 27573 SubSeven
port 27665 Trinoo
port 28678 Exploiter
port 29104 NetTrojan
port 29369 ovasOn
port 29891 The Unexplained
port 30000 Infector
port 30001 ErrOr32
port 30003 Lamers Death
port 30029 AOL trojan
port 30100 NetSphere
port 30101 NetSphere
port 30102 NetSphere
port 30103 NetSphere
port 30103 (UDP) - NetSphere
port 30133 NetSphere
port 30303 Sockets des Troie
port 30947 Intruse
port 30999 Kuang2
port 31335 Trinoo
port 31336 Bo Whack, Butt Funnel
port 31337 Back Fire, BackOrifice 1.20 patches, BackOrifice (Lm), BackOrifice russian, Baron Night, Beeone, BO client, BO Facil, BO spy, BO2, cron / crontab, Freak88, Freak2k, icmp_pipe.c, Sockdmini
port 31337 (UDP) - BackOrifice, Deep BO
port 31338 Back Orifice, Butt Funnel, NetSpy (DK)
port 31338 (UDP) - Deep BO
port 31339 NetSpy (DK)
port 31666 BOWhack
port 31785 Hack´a´Tack
port 31787 Hack´a´Tack
port 31788 Hack´a´Tack
port 31789 (UDP) - Hack´a´Tack
port 31790 Hack´a´Tack
port 31791 (UDP) - Hack´a´Tack
port 31792 Hack´a´Tack
port 32001 Donald Dick
port 32100 Peanut Brittle, Project nEXT
port 32418 Acid Battery
port 33270 Trinity
port 33333 Blakharaz, Prosiak
port 33577 Son of PsychWard
port 33777 Son of PsychWard
port 33911 Spirit 2000, Spirit 2001
port 34324 Big Gluck, TN
port 34444 Donald Dick
port 34555 (UDP) - Trinoo (for Windows)
port 35555 (UDP) - Trinoo (for Windows)
port 37237 Mantis
port 37651 Yet Another Trojan - YAT
port 40412 The Spy
port 40421 Agent 40421, Masters Paradise
port 40422 Masters Paradise
port 40423 Masters Paradise
port 40425 Masters Paradise
port 40426 Masters Paradise
port 41337 Storm
port 41666 Remote Boot Tool - RBT, Remote Boot Tool - RBT
port 44444 Prosiak
port 44575 Exploiter
port 47262 (UDP) - Delta Source
port 49301 OnLine KeyLogger
port 50130 Enterprise
port 50505 Sockets des Troie
port 50766 Fore, Schwindler
port 51966 Cafeini
port 52317 Acid Battery 2000
port 53001 Remote Windows Shutdown - RWS
port 54283 SubSeven, SubSeven 2.1 Gold
port 54320 Back Orifice 2000
port 54321 BackOrifice 2000, School Bus
port 55165 File Manager trojan, File Manager trojan, WM Trojan Generator
port 55166 WM Trojan Generator
port 57341 NetRaider
port 58339 Butt Funnel
port 60000 DeepThroat, Foreplay, Sockets des Troie
port 60001 Trinity
port 60068 Xzip 6000068
port 60411 Connection
port 61348 Bunker-Hill
port 61466 TeleCommando
port 61603 Bunker-Hill
port 63485 Bunker-Hill
port 64101 Taskman
port 65000 Devil, Sockets des Troie, Stacheldraht
port 65390 Eclypse
port 65421 Jade
port 65432 The Traitor (= th3tr41t0r)
port 65432 (UDP) - The Traitor (= th3tr41t0r)
port 65534 /sbin/initd
port 65535 RC1 trojan
despues cargas el mataprocesos y eliminas el programa RSCMPT. EXEQUE vuelves a dar un netstat para checar si ya no aparece
si asi es haz dado es un troyano, horita ya lo elimnaste pero en el momento que vuelvas a reinciar se vuelve a cargar para buscarlos te vas
con el DEBUG
puedes ejecutar
L 0 2 0 100
D 0 100
Y enter (muestra el DBR) busca alguna cadena o firma en la parte que esta en ASCII no la hexadecimal, en la parte hexadecimal, debe empezar con
EB 58 otro valor indicaría alteración
para un virus de MBR
también con el debug puedes ejecutar las sig. instrucciones para detectar un virus de MBR
* TEN CUIDADO EJECUTALO EXACTAMENTE COMO BIENE YA QUE EL LENGIAJE ES BAJO NIVEL, UN FALLO Y PUEDES ARRUINAR*
DEBUG
A 100
MOV AX,201
MOV BX,200
MOV CX,1
MOV DX,80
INT 13 (AQUI LLAMAMS LAS INTERUUPCION AL DISCO Y DISKETTE)
INT 3
G=100
DE 200
DE 210
DE 215
DE 220
DE 230 así hasta que encuentres los valores mencionados anteriormente, por ejemplo el "55AA" se encuentra abajo de Invalid Partitin.."mensaje en la parte ASCII
Q
De preferencia hazlo con un disco de arranque copias el debug y lo jalas
porque puede ser que te diga si lo haces desde cuando lo quieras abrir que falta memoria debido a que hay muchos TSR´s y obvio el virus que ocupa un rango de memoria
los valores de un MBR SANO
andan más o menos por en primer ligar busca ek boot signatura es decir "55AA" busca al principio un valor "FA 33 C0 8E " los primero 2 bytes de 80 "que quiere decir que hay partición activa " si no lo hay "puede que el virus ya te haya tocado las particiones " un valor de 80 01
01 00 " para una tabla de particiones estable, busca también en la parte en ASCII algo de basura "la mayoría de virus dejan su firma en esa parte"
Atte: A+ CompTIA Certified
