Proceso oculto en W7 PID 5240

**jmtella** · 16/03/2015, 11:33:13

El PID es aleatorio...es un numero secuencial que asigna el sistema en orden creciente al arrancar tareas por lo que cada vez será diferente.
¿Cómo o con que ves ese PID?...¿Cómo sabes que existe? ¿Qué ese programa no te engaña?

**noSign** · 16/03/2015, 16:47:40

Originalmente publicado por jmtella Ver Mensaje

El PID es aleatorio...es un numero secuencial que asigna el sistema en orden creciente al arrancar tareas por lo que cada vez será diferente.
¿Cómo o con que ves ese PID?...¿Cómo sabes que existe? ¿Qué ese programa no te engaña?

Ejecuto el shell de windows (DOS) el comando winunhide sys (desde el directorio raiz c:\winunhide)

Unhide

http://sourceforge.net/projects/unhide/?source=typ_redirect

Download Unhide for free. Unhide is a forensic tool to find processes and TCP/UDP ports hidden by rootkits / LKMs or by another hiding technique. Note 1: Unhide-linux repo has migrated to https://github.com/YJesus/Unhide Please, report bugs or make pull requests on the new repo.

Y me aparece ese PID
Si es un primer sintoma, voy a buscar con otros rootkit.

**jmtella** · 16/03/2015, 20:11:38

GMER - Rootkit Detector and Remover

http://www.gmer.net/

**jmtella** · 16/03/2015, 21:21:35

Y este comando en una consola elevada:

wmic process get ProcessId

**noSign** · 17/03/2015, 17:45:38

Originalmente publicado por jmtella Ver Mensaje

Y este comando en una consola elevada:

wmic process get ProcessId

Voy a enloquecer , en la misma ventana el mismo comando sin levantar ningún nuevo servicio, es aleatorio como decias.
Aunque prefiero tasklist, pues se indica el servicio o consola y el ejecutable, cosa que con wmic process get ProcessId solo aparecen PID
Por cierto, sin reiniciar , ya no aparece el servicio oculto. Raro, raro...
El Gmer deja sin recursos el sistema, casi lo congela.

**jmtella** · 17/03/2015, 17:53:43

He estado mirando el código fuente del WinUnHide y como que no me termina de parecer correcto. Hace algunas suposiciones sobre donde encontrar un procces ID que no me parecen de libro... Desde luego si hay un bicho, tiene que estar entre lo que indica como candidato, pero el que le coincida no implica que el bicho de verdad exista.

**cbatetr** · 18/03/2015, 18:16:36

Originalmente publicado por jmtella Ver Mensaje

http://www.gmer.net/

¿Como interpreto la salida de este programa? Por ejemplo, con lo que adjunto ¿qué hay que hacer para limpiarlo?

**jmtella** · 18/03/2015, 18:50:11

Originalmente publicado por cbatetr Ver Mensaje

¿Como interpreto la salida de este programa? Por ejemplo, con lo que adjunto ¿qué hay que hacer para limpiarlo?
[ATTACH=CONFIG]n8482[/ATTACH]

Son correctos, procesos de Windows en este caso.

Proceso oculto en W7 PID 5240

Proceso oculto en W7 PID 5240

Comentario

Comentario

Comentario

Comentario

Comentario

Comentario

Comentario

Comentario