Toda mi red domestica hackeada

Muchas gracias por tu ayuda voy a intentar limpiar todas las particiones e instalar desde cero todos los pcs...👍

Buenas JosepMiles 

Ya te digo que no estoy allí para decirte exactamente que es lo que pasa :), de ahí a que si por tu mano no eres capaz, pues me temo necesitas a un buen informático. Otros equipos podrían estar infectados, pero si realmente limpias tu equipo, tu equipo debería de quedar limpio aunque tenga ataques de los otros. Así que a lo tocante al tuyo propio, o no lo estás limpiando bien, o al instalar Windows estás poniéndole algo (o el propio Windows) que esté infectado

Pues si tienes razon en teoria si formateo las particiones del sistema y actualizo el windows y cierro servicios y puertos mas comunes en teoria si tendria que star bien todo pero no es asi,no se de verdad como esta haciendo y tengo ese grave problema porque formatear ya lo hice como 3 veces y nada  el mismo dia ya me habia hackeado,

Buenas Ganjomoe 

Si el equipo se borra totalmente y se instala todo estando actualizado no puede acceder otra vez a menos que, o uses un OS no actual, o uses una versión descargada de sabe dios donde, o el malware siga residiendo en el equipo, por ejemplo en la firmware (UEFI), o en alguna partición de los HDD/SSD.

Respecto a la IP, de muchos modos diferentes. Por poner 3:

1º. Tiene acceso al Router, o configuró un cliente DDNS en él

2º. Tu equipo que sigue infectado, o cualquiera de tu red que lo esté, es quien hace la conexión hacia fuera a sus equipos, con lo que puede ver la IP inmediatamente.

3º. Cualquier equipo infectado, configura un cliente DDNS que le da también la IP

Bueno muchas gracias de verdad por tu ayuda,ya he formateado 3 veces este pc,lo que no entiendo es como averigua mi ip,la unica forma que creo puede hacer es por el chat al que entro y de ahi con algun link seguramente me metio el troyano o malware.

Muchas gracias .

Buenas JosepMiles 

Un escaner de puertos se puede realizar de mil formas diferentes. Por ejemplo, si lo haces desde tu red hacia cualquier dispositivo de tu propia red, tampoco tiene absolutamente nada que ver el Router, es el sistema operativo quien los tiene abiertos, ya sea porque tiene excepciones en el Firewall creadas o ya sea porque existe un servicio que los está usando, y solo accesibles desde dentro de la propia red. Es decir, uno puede usar un servidor SSH/FTP/Web dentro de su propia red, y jamás estarían expuestos hacia Internet. Para que eso fuese posible, sería necesario en el Router crear redirecciones de puertos, que obviamente si te infectan la red y logran la contraseña del Router, pueden configurarlo para abrir esos puertos.

El puerto 135 es de Windows, con lo que no es un puerto que un Router vaya a tener en uso. Es más, te equivocas con su uso. Su uso en Windows lo hace un servicio llamado "Llamada de procedimiento Remoto", que nada tiene que ver con control o acceso remoto. Y repito, es un servicio que cualquier equipo Windows tiene habilitado por defecto

Respecto que se puede acceder a Windows desde otros equipos... obviamente, si configuras Windows y el Router para ello claro que se puede. Yo por ejemplo necesito poder acceder no solo a mi equipo, sino a los recursos de mi red estando fuera. Puedo incluso apagar/encender completamente mi equipo. Pero para ello se requiere, de nuevo, tener el equipo configurado para ello, y el Router también. Si tienes tu equipo (o más de uno) infectado y realmente han tenido acceso total a ello, claro que han podido configurarlo para controlarlo de forma remota, es más, no requiere tocar siquiera el Router, si está infectado, se puede crear perfectamente un backdoor de conexión inversa.

No estoy en ese equipo para saber que está pasando, pero te puedo decir mil formas de hacerlo.

Para empezar, un Router, el que sea, actúa como dispositivo NAT, y como mucho puede tener alguna suite de protección integrada que detecte malware común. Pero como te he dicho, cualquier malware puede saltarse eso de forma simple, solo tiene que iniciar la conexión desde dentro de la red, nada más.

Por otro lado, cualquier suite AV/Fireawll que puedas instalar en tu equipo puede saltarse de forma sencilla. Hace mucho escribí al respecto. Las suite de seguridad funcionan buscando "huellas" concretas del malware. Pero un malware no es más realmente que un programa normal y corriente como pueda ser el Word, la calculadora de Windows... lo que pasa es que simplemente hace cosas no adecuadas, pero es un programa después de todo. Las suite de seguridad, la que sea, se basan en amenazas conocidas, se tarda 1 minuto en modificar cualquier amenaza conocida para que se salte todos los AV del mercado. Un AV es útil relativamente, y sólo para amenazas un poco a grandel que llamo yo.

Mas?? Cualquier malware de alto nivel, por ejemplo los famosos Rootkit, o si realmente han modificado particiones, se ejecutan a un nivel superior que los propios AV, son Drivers a nivel de kernel que tienen control completo del sistema, con lo que por mucho AV que tengas, le va a dar igual.

La única forma de tener un equipo realmente seguro es tener el OS y el software totalmente actualizado, de lo contrario cualquier exploit te puede dejar los sistemas totalmente expuestos. Quitando eso, el resto es solo tener un mínimo de cuidado.

En tu situación actual? Sin estar presente no te lo podría solucionar, pero es simple. Si han controlado tu equipo completamente, obviamente han podido robarte contraseñas de todo tipo, accesos a tus portales, crear sesiones y todo lo que les de la gana, eso no tiene ningún misterio.

1º. Ya te lo he dicho, y coincido con lo que te dijeron los de Movistar, desinfecta totalmente tus equipos y el problema desaparecerá, no es nada que pueda hacer ni Movistar ni nadie de forma remota de forma efectiva. Si es un Rootkit o algún malware de alto nivel, es posible incluso que tengas que formatear y partir de cero. Hay malware incluso que se instaura en la UEFI, siendo necesario resetear las variables de esta, e incluso re-flashear la profia firmware de la UEFI.

2º. Una vez toda la red esté limpia, empezar a cambiar contraseñas de todos tus servicios, asegurándote que los correos de recuperación, datos y otros son correctos, y habilitando en todos aquellos servicios que se pueda los sistemas de doble autentificación

3º. Asegurarse SIEMPRE que el OS y software de todos los equipos de tu red, sobre todo aquellos programas expuestos a internet, está siempre actualizados. Es decir, si usas Windows que sea un Windows al menos con soporte, y a poder ser obviamente Win10 totalmente actualizado. Los móviles importan menos en este sentido.

4º. El Router da un tanto igual,  siempre tener deshabilitado WPS en el Router, y si la seguridad es imperativa deshabilitar upnp.

------------------------------------------------

Dicho todo eso, te repito, posiblemente sin orden judicial Movistar no pueda facilitarte registro de conexiones, y aun cuando lo hiciese te digo que sería totalmente inservible, a menos que te quisieses pasar días, meses o años revisando conexiones salientes/entrantes. Dices que no son tantas... bien, en mi casa, en las últimas 24 horas, tengo registradas sólo en peticiones DNS más de 30.000, con: 1 TV, 2 PCs, 3-4 móviles. Multiplica ahora por los días que te gustaría saber.

Más a mi favor, dices además que tienes un Router propio, si es Asus es simple también crear un registro de conexiones, pero te sigo diciendo que para tu problema de nada te va a servir. Pongamos por ejemplo que lograses por un casual detectar e identificar todas las conexiones entrantes/salientes que te están perjudicando. ¿Que es lo que haces? Tendrías que configurar el Router a nivel de IPtables para bloquear rangos concretos de IPs remotas y dominios, ambas cosas, y que los otros no alterasen el malware que fuese para apuntar a otros dominios/IPs.

Limpia todos tus equipos, es lo que tienes que hacer, lo que necesitas es un informático decente, nada más, que por lo visto hasta la fecha no lo has tenido. Y si el problema te está causando realmente un agravio, denuncialo a delitos telemáticos de la guardia civil, que posiblemente no hagan mucho al respecto, pero queda registrado y siempre es bueno que sepan que se está cociendo. 

Hola primero muchas gracias por contestar y por tu ayuda...gracias.

Buneo eso de que los puertos estan cerrados por defecto no se no se,lo cierto es que he hecho varios escaner de puertos y algunos no estaban cerrados y no los abri yo claro, es decir por ejemplo tenia o tengo aun abierto el 135 que se usa para conexiones remotas RPC  en windows 10 y otros sistemas anteriores,tambien Telnet y FTp 23 o 22 y 21 repectivamente eso solo es algun ejemplo...y si se puede acceder a un sistema windows remotamente por ejemplo usando un cliente servidor linux(hay algunos programas para eso).Y si mis equipos por ejemplo si han estado infectados(el movil mio) en el cual han llegado a reenviarme mensajes y escribirme(no llegaron a llamar)numeros internacionales ,como por ejemplo uno de Turquia,lo comento para que veas hasta que nivel llegaron.Y asi muchisimas mas cosas(como cambiarme las contraseñas de paypal agregarme usarios en mi cuenta de paypal etc etc(tambien con la del banco).Ahora tengo los puertos cerrados y protegidos con un router que compre a Asus,tambien en windows instale Eset Intenet security con su firewall y bloquee algunos servicios y puertos del windows 10.Aun asi han logrado penetrar en el sistema,porque como explicas que en mi cuenta de administradopr de windows se creen una cuenta de usuario llamado Juan?...que yo no la cree y nadie mas toca este pc,la cual elimino cada vez que aparece y en cuanto reinicio y me conecto ahi esta de nuevo la cuenta de usario¿???puedo mandar capturas si deseas.Tambien estando Trabajando con mis archivos de windows han llegadoa cerrarme ventanas del escritorio manipularme programas y delante de mi cara editarme el genero dela cancion que estaba escuchando en mi reproductor....eso son algunos ejemplos deloq eu vengo sufriendo desde hace 2 o 3 semanas o mas.

Estoy de acuerdo contigo que tiene o tuvo algun tipo de malware /troyano,exploit o quizas lo haga por algun navegador...de todas formas lo que si em resulta extraño es que despues de formatear la particion del sistema varias veces (3) e instalar el Eset ,el bit defender internet security y el karspesky internet security respectivamente y por sepàrado,ninguno de ellos detectase nada,aparte tambien he usado muchisimas herramientas de desinfeccion,MRT de microsoft,superantispyware,Malware bytes antimalware,adware cleaner,rkill,spybot search and destroy,hitman pro, creo lo probe con todas las que hay disponibles(o casi todas).La verdad es raro pòr eso estoy pidiendo ayuda.

Y bueno que mas contar desde el primer minuto cuando llame a Movistar se desentendieron del problema y me remitieron a cambiar el router o buscar un informatico o bien mandar al tecnico a revisar todo.Vino el tecnico cambio el router dijo que ese router era el mas seguro que tenian y por la tarde ya tenia el mismo problema la red entera Hackeada y vulnerada.Compre un router Asus con firewalll y lo mismo al rato ya estab hackeado.

No s ela verdad que tanto puedan hacer los de Movistar pero creo que entregarme un reporte o hacer un seguimiento de mi conexion noces tan dificil y no creo que para un usuario normal de internet no hay tantisimas milkes de conexiones como tu dices porque yo msimo lo he estado testando y aparte de las que se conectan por http o https con los navegadoreslñas unicas que salen hacia fuera son las del windows y algun programa que actualiza aunque si he logrado ver alguna a algun servidor raro.

Mucha sgracias por toda la ayuda saludos

Buenas JosepMiles 

Por defecto un Router bloquea cualquier conexión remota no solicitada previamente desde dentro de la red. Aun cuando pudiesen [....] un Router, tus equipos de dentro no les afectaría en gran medida, mucho menos a como lo describes.

Eso nos deja con un problema mucho más sencillo. Si realmente sucede lo que dices que sucede, tu equipo (o varios de ellos) están infectados por cualquier tipo de malware, si puede existir control remoto de alguna clase sería del tipo backdoor/gusano/troyano.

En cualquier caso no es nada que el ISP pueda hacer, me temo. Por como funciona un Router, no es que ataquen a tu red, es que tu equipo infectado se conecta a los equipos que lo manejan, y no al contrario. Esto es importante, es tu equipo quien llama hacia fuera. Si la cosa es como dices, lo que necesitas es en todo caso si supera tus conocimientos, un informático que vaya a tu casa y limpie todos los equipos de tu casa, lo cual es infinitamente más importante que cambiar la contraseña al Router. Una vez tus equipos estén limpios, ya puedes cambiar tranquilamente los ajustes del Router como quieras. Mientras siga la infección, no hay mucho que hacer.

Respecto a conocer los registros de tu conexión... al margen de que posiblemente solo una orden judicial podría acceder a dichos datos, piensa que durante un solo día podrían existir miles o decenas de miles de conexiones desde tu red hacia el exterior, poco práctico 🙂