Hola, mi nombre es Alejandro Ruiz Hernández reconocido en minecraft como EXCITOSO aunque recien me cambié el nombre a LeeChunk. Hoy quiero enseñarles un poco mi especialidad y todo lo que sé a cerca de una Screenshare / SS, este post está realizado con total desinformación y cero vinculación con Administración dado que ya hay una guía existente explicada por un miembro del staff.
Inicio:
¿ Qué es una Screenshare ?
¿ Qué aplicaciones pueden instalarme en mi ordenador ?
¿ Cuanto es la duración de una revisión ?
¿ Qué aplicaciónes debo instalar a la hora en que me pidan una revisión ? ¿ Cómo instalo Anydesk ?
¿ Está prohibido grabar una Screenshare ?
¿ Dónde debo solicitar una Screenshare ?
¿ Cuanto tiempo he de esperar para que me atiendan la Screenshare ?
Si me desconecto en la Screenshare por mi internet ¿ Qué puedo hacer ?
¿ Qué es una Screenshare ?
Una Screenshare está basada en la revisión de tu ordenador por control remoto desde otro dispositivo ya sea un Móvil o un Ordenador, consiste en compartirle todo el acceso a tu ordenador a quien te lo solicite esto siempre lo hará un miembro del staff y deberá ser con derechos de Administrador Ampliados para tener acceso por completo a ejecutar programas sin tener que tocar tu el ordenador.
¿ Qué aplicaciones pueden instalarme en mi Ordenador ?
Existen cientos de programas que sirven para revisar tu ordenador, dependerá siempre del staff que te realice una Screenshare. Los más comunes siempre son;
Luyten,
Process Hacker 2,
Recent Files View.
Shell Bags View,
Executed Program List,
Everything,
Browser Download view,
Browsin history view..
Existen otra gran cantidad de Scanners que hacen la función de revisar tu ordenador de forma automática, completa y segura.
Paladin,
Avenge,
Echo,
Octova,
Safeshare..
En la Screenshare también se suele utilizar cmd & powershell y otros programas que no son necesarios de instalar ya que vienen por defecto de fábrica.
¿ Cuanto es la duración de una revisión ?
Si has sido sancionado de Universocraft y solicitas que se te haga una Screenshare debes tener total disponibilidad de tiempo, la Screenshare dura el tiempo que el staff determine para comprobar si estás utilizando una ventaja dentro del servidor o no. Suele oscilar desde 10 minutos hasta 3 horas de Screenshare dependiendo de que tan rápido vaya tu ordenador/wifi.
¿ Qué aplicaciónes debo instalar a la hora en que me pidan una revisión ? ¿ Cómo instalo Anydesk ?
La única aplicación solicita por un miembro del staff a la hora de proceder a realizar una Screenshare ( SS ) es Anydesk el método de instalación es muy fácil y básico, os adjuntaré esta mini-guía para quienes tengan duda, recuerda que el staff te dará un tiempo determinado ya que esta aplicación tarda muy poco en ejecutarse.
1- En el primer paso abriremos Google Chrome o su navegador determinado, buscaremos el siguiente url https://anydesk.com/es/downloads/windows.
2- En el segundo paso Iniciaremos una descarga en el cuadro que se indica de la foto url https://prnt.sc/9MHyZy-uES8t.
3- En el tercer paso nos indicará la carpeta donde queremos que se guarde la aplicación, en caso de no tener esto activado en tu navegador automáticamente te lo dejará en Descargas url https://prnt.sc/Wqi6GFtwsK0g.
4- Iniciamos la aplicación y nos aparecerá un código en el que aparece " Este puesto de trabajo XXX-XXX-XXX " ese código deberas copiarlo y cedérselo al miembro del staff que te esté solicitando la Screenshare url https://prnt.sc/oaiL-_Hl2Ayj.
5- Te llegará una notificación de que alguien está tratando de vincularse a tu ordenador, debes aceptar la solicitud y darle todos los permisos que el staff te solicite, recuerda que "Derechos Ampliados" es obligatorio para poder ejecutar cmd & .exe-.jar como Administrador.
¿ Está prohibido grabar una Screenshare ?
Está totalmente prohibido, de encontrarse una grabación o intento de ello el staff te ****** ******* ( sanción decidida por el staff).
Siempre se revisarán los programas que sean necesarios en busca de ver algun intento de grabación por protocolos de seguridad.
¿ Dónde debo solicitar una Screenshare ?
Las SS o Screenshare siempre se han de solicitar en el canal #ayuda_comunidad mediante la plataforma de Discord.
Url Discord Comunidad: https://discord.gg/universocraft
El paso a seguir es realizar una Captura de pantalla sobre su sanción, vas a Discord y la mandas adjuntada de tu nick de usuario.
¿ Cuanto tiempo he de esperar para que me atienda un Staff ?
El tiempo de espera es totalmente indefinido esto quiere decir que si en caso de haber sido sancionado tu baneo acaba expirando podrás ingresar nuevamente al servidor sin problema, recuerda que con solo mandar una vez la captura de pantalla & nick de usuario es suficiente entorpecer el chat de #Ayuda_Comunidad puede acarrear una sanción en Discord.
Si me desconecto en la Screenshare por problemas de Internet ¿ Se puede hacer algo ?
No, no se podría hacer nada. De hecho conllevaria la expulsión permanente dentro del servidor ( A criterio del staff ). A día de hoy esta suele ser una de las mayores quejas comunes entre los usuarios, las caidas de internet o que tu ordenador no soporta las descargas. En este caso la sanción seria exactamente igual ( Acriterio del staff) Expulsión permanente de Universocraft.
<---------- MiniGuía de Screenshare -------- EXCITOSO 2022 ----------->
---> Sistema de Grabación <---
--->>> 1-)
1.1-) Fijate si está grabando con Anydesk (revisale las grabaciones también)
1.2-) Fijate si está grabando con AMD (RéLive) comprueba si tiene AMD Radeon entra ve a inicio fijate que a la izquierd abajo no aparezca que anda grabando ajustes, general y en grabar escritorio desactivalo.
1.2-) Fijate si está grabando con NVIDEA (Shadow Play) dale click a la flecha de la barra de tareas y fijate si tiene "Nvidea Experience" si es asi abrelo ve a ajustes a general arriba a la izquierda y fijate que tenga desactivado superposición dentro del juego.
1.3-) Fijate si está grabando con XGAME-BAR busca desde la búsqueda "gamebar" hazle click en "configuracion de control de barra de juegos" entras y lo desactivas.
1.4-) Fijate si está utilizando con OBS desde administrador de tareas, la flecha de la barra de tareas y desde Process hacker. Para realizarlo desde process hacker has de abrir la aplicacion como administrador situarte arriba y buscar "View" lo deslizas y accedes a "Windows" lo abres, buscas la aplicación y te fijas si lo tiene ahí oculto.
Para revisar el segundo Escritorio manten las teclas Windows + TAB (segundo escritorio).
---> Sistema de Atajos <---
--->>> 2-)
2.1-) Papelera de reciclaje: (Windows + r) "C:\$Recycle.Bin" (Desactivar todo lo que pone en Ocultar)
2.2-) Elementos Recientes: (Windows + r) shell:recent (Es para ver si ha abierto un autoclick o algo recientemente)
2.3-) Prefetch: (Windows +r) Prefetch (Fijarte ya que ahí quedan registros de .exe)
2.4-) Archivos temporales (Tempdata): (Windows + r) %temp% (Buscar "JNATIVEHOOK")
2.5-) Abrimos (Windows+R) colocamos "Services.msc" y buscamos la opcion “Servicio Asistente para la compatibilidad de programas” esta opción deberá estar "En Ejecución", de esta manera verificaremos que el PcaClient no esté activado.
2.6-) Abrimos (Windows+R) colocamos "shell:::{05d7b0f4-2121-4eff-bf6b-ed3f69b894d9}" revisar por si tiene algún icono modificado.
2.7-) Abrimos (Windows+R) colocamos "eventvwr" --> registro de windows --> seguridad ---> filtrar registro actual --> 4616 -- > Colocamos esto arriba de categoria de la tarea (ESTO NO SERVIRÁ PARA VER SI EDITÓ LA HORA ANTES DE SS).
---> Sistema de Regedit <---
3.1-) Abres "Regedit" y coloca la siguiente ruta Equipo\HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store una vez estas ahí debes revisar uno por uno los programas que veamos raros o .exe
3.2-) Abres "Regedit" y coloca la siguiente ruta HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist una vez estas ahí fijate si hay un archivo "NotLog" esta carpeta sirve para no dejar ningún rastro de un programa dentro de ahí.
3.3-) Abres "Regedit" y coloca la siguiente ruta HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer una vez estas ahí fijate si hay un arhivo "NoRecentDocsHistory" este es para desactivar la lista de los archivos usados recientemente.
---> Sistema de Powershell <---
4.1-) Abres "Powershell" y coloca el siguiente comando "MMAGENT" si los siguientes apartados “ApplicationLaunchPrefetching” o “MemoryCompressive” se situa en "false" significa que el usuario ha desactivado memoria comprimida y no guarda logs/registros de los los .exe/dll/jar etcétera.
4.2-) Abres "Powershell" y colocas el siguiente comando "gci -recurse -filter *.exe/jar/dll/ahk/xyz"
4.3-) Abres "Powershell" y colocas el siguiente comando “Get-DnsClientCache" para comprobar los dominios y webs que el usuario ha accedido mientras más abajo este significará que mas reciente es.
---> Sistema de Process Hacker 2 <---
(Revisar si tiene algún DLL injectado)
5.1-) Iniciamos la aplicación como administrador buscamos el proceso "Explorer.exe", vamos a "General" y buscamos Autoclick, Koid, Itami, Bape, Icetea, Vape, Dream etcetera.
5.2-) Iniciamos la aplicación como administrador buscamos el proceso "Explorer.exe", vamos a "Memory" desmarcamos la opción de "Hide free regions" y hacemos click en "String" ponemos 4 "image y mapped" tras esto seleccionamos "Filter" y la segunda opción. Buscaremos "File://" ahora nuevamente seleccionamos filter, segunda opción y colocas ".exe"
5.3-) Iniciamos la aplicacion como administrador buscamos el proceso "Explorer.exe", vamos a "Memory" desmarcamos la opción de "Hide free regions" y hacemos click en "String" ponemos 4 "image y mapped" tras esto seleccionamos "Filter" y la segunda opción.Buscaremos "Pcaclient" y le damos a buscar, una vez encuentre a el que aparezca como "TRACE,000" y lo guardaremos en el escritorio para revisar los .exe ejecutados recientemente.
5.4-) Iniciamos la aplicacion como administrador buscamos el proceso "Discord", vamos a "Memory" desmarcamos la opción de "Hide free regions" y hacemos click en "String" ponemos 4 "image y mapped" tras esto seleccionamos "Filter" y la segunda opción. Buscaremos "cdn.discordapp.com" nuevamente seleccionamos "Filter" y la segunda opción para buscar ".exe/.jar/.dll/.ahk /.gg, /.wtf,/.xyz/.gg" esto son las terminales de algunos ghost clients/hack clients de webs más comunes. Es importante siempre revisar los Discords ya que muchos ghost clients se descargan desde esta plataforma mediante la comunidad de Discord.
5.5-) Iniciamos la aplicacion como administrador buscamos el proceso "Csrss" vamos a "Memory" desmarcamos la opción de "Hide free regions" y hacemos click en "String" ponemos 4 "image y mapped" tras esto seleccionamos "Filter" y la segunda opción. Buscaremos ".exe, .jar, .dll, .bat, .xyz" esto servirá para (Buscar .exe abiertos recientemente).
5.6-) Iniciamos la aplicacion como administrador buscamos el proceso "dnscache" vamos a "Memory" desmarcamos la opción de "Hide free regions" y hacemos click en "String" ponemos 4 "image y mapped" tras esto seleccionamos "Filter" y la segunda opción. Buscaremos .xyz, vape, .lol, .exe, .gg, .wtf esto servirá para ver páginas visitadas recientemente.
5.7-) Iniciamos la aplicacion como administrador buscamos el proceso "pcasvc" vamos a "Memory" desmarcamos la opción de "Hide free regions" y hacemos click en "String" ponemos 4 "image y mapped" tras esto seleccionamos "Filter" y la segunda opción. Buscaremos primeramente "c:" luego "Filter" segunda opción y buscamos "users" repetimos el mismo proceso y ".exe", esto servirá para los .exe que sean sospechosos o maliciosos los detecta todos.
5.
Iniciamos la aplicacion como administrador buscamos el proceso "MsMpEng" lo tenemos que abrir y (revisar si fue finalizado o reiniciado, esto es para todos los programas de bypassear SS).
5.9-) Iniciamos la aplicacion como administrador buscamos el proceso "SearchIndexer.exe" si realizamos los pasos de siempre y colocamos como string "file:c:" si aparece algun archivo lo mas posible es que se haya renombrado o ejecutado (No se banea por esto pero te hará guiarte sobre lo que puede tener).
---> Sistema de Macros <---
Logitech:
Windows+ R > appdata > Local > LGHub si sale el settings.json modificado recientemente puedes banearlo por que modificó los macros o eliminó su perfil, tambien puede que tenga una carpeta llamada "Profiles" en esa tambien revisa si se modificó algo recientemente.
Razer:
Windows+R C:\ProgramData\Razer\Synapse\Accounts nos fijamos en la fecha de modificación de la carpeta "Macros" si esta esta modificada recientemente banealo ya que modificó los macros o eliminó su perfil.
Appdata > Local > Razer > Synapse3 > Logs > Macros > Revisar folders editados en carpeta macros y fecha en caso de tenerlos modificados sancionalo igualmente ya que habria modificado los macros y eliminado su perfil.
---> Sistema para detectar .JPG o .PNG archivos <---
6.1-) Abres regedit y copias en la ruta HKEY_CURRENT_USER\SOFTWARE\WinRAR\ArcHistory
6.2-) Le damos click derecho a ArcHistory pinchando en "exportar" (OBLIGATORIO SELECCIONAR GUARDAR EN .TXT) y seleccionamos el escritorio poniendole el nombre que queramos.
6.3-) luego abrimos el txt y buscamos las rutas nada más. (Para comprobar si es un hack deben darle a la imagen click derecho "abrir con" y seleccionas winrar) en caso de ser un .exe se ejecutará solo.
---> Sistema para detectar archivos/programas renombrados <---
7.1-) Abrimos el CMD como administrador.
7.2-) Colocamos la ruta con "cd "ruta que deseemos encontrar"".
7.3-) Ahora colocamos el comando: fsutil usn readjournal c: csv | findstr /i /c:.exe | findstr /i /c:rename >> filesrename.txt
Esperamos a que cargue y vamos a la ruta abrimos el TXT y vemos los .exe renombrados
---> Detectar archivos/programas reemplazados <---
8.1- ) Abrimos el process hacker 2 como "Administrador"
8.2- ) Buscamos el proceso "DPS" le damos click derecho al que más consume ya que nos aparecerán 3 y luego a "Propierts" desmarcamos "hide free regions" le damos a "String" marcamos "maped y image" colocamos 4 y le damos a buscar. Luego en "Filter" a "case (intensive-case)" y colocamos "!!" o ".exe" volvemos a darle a "Filter" a "case (intensive-case)" y luego buscamos AnyDesk, Spotify, Obs, etcétera.
---> Detectar archivos eliminados con shift-delete <---
9.1- ) Abrimos el CMD como administrador (MUY IMPORTANTE)
9.2- ) Ahora copiamos la ruta y colocamos en el cmd " cd ruta " a continuación colocaremos los comandos
9.3- ) Comandos-->
fsutil usn readjournal c: csv | findstr /i /c:.exe | findstr /i /c:0x80000200 >> DeletedExe.txt
fsutil usn readjournal c: csv | findstr /i /C:delete >> AllFilesDelete.txt
fsutil usn readjournal c: csv | findstr /i /c:.dll | findstr /i /c:0x80000200 >> DeletedDLLFiles.txt
fsutil usn readjournal c: csv | findstr /i /c:.ahk | findstr /i /c:0x80000200 >> DeletedAHKFiles.txt
fsutil usn readjournal c: csv | findstr /i /c:.bat | findstr /i /c:0x80000200 >> DeletedBatFiles.txt
9.4- ) Ahora abriremos el .TXT que nos dejó el la ruta seleccionada y revisaremos con profundidad los elementos borrados.
( SI SOSPECHAS DE QUE EL USUARIO ESTA TRATANDO DE BYPASSEAR RECUPERALE LOS ARCHIVOS CON ESTE PROGRAMA
( https://www.nirsoft.net/utils/previous_files_recovery.html )
( RECUERDA CAMBIARLES LA DIRECCIÓN OSEA EL /C: SI ES QUE OCUPA POR EJEMPLO EL /D: ).
---> NOTAS: <---
lOBIT Unlocker (Cualquier residuo es ban directo)
StartisBack (Cualquier residuo es ban directo)
---> Screensharers Automaticos no inician, sanción permanente directa ya que tendrá un AntiSS y si es de paga es imposible encontrarlo a menos que el usuario no sea tan listo <---
Anti Tamper:
En inicio de windows buscar y abrir “Anti tamper”
Si está activado desmarcarlo y avenge / otras apps automaticas deberan de abrirse
SmartScreen:
El antimalware (desactivarlo) buscar en inicio: Smartscreen e ir a “Control de aplicaciones y
navegador" lo segundo que haremos será desactivar las primeras 2 opciones
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Recuerden que este post está creado con total desinformación, quería ampliar un poco más la guía de SS y darle un toque especial a los clientes que utilizamos para realizar las Screenshare.
Sin más, espero que les guste.
Un saludo
Inicio:
¿ Qué es una Screenshare ?
¿ Qué aplicaciones pueden instalarme en mi ordenador ?
¿ Cuanto es la duración de una revisión ?
¿ Qué aplicaciónes debo instalar a la hora en que me pidan una revisión ? ¿ Cómo instalo Anydesk ?
¿ Está prohibido grabar una Screenshare ?
¿ Dónde debo solicitar una Screenshare ?
¿ Cuanto tiempo he de esperar para que me atiendan la Screenshare ?
Si me desconecto en la Screenshare por mi internet ¿ Qué puedo hacer ?
¿ Qué es una Screenshare ?
Una Screenshare está basada en la revisión de tu ordenador por control remoto desde otro dispositivo ya sea un Móvil o un Ordenador, consiste en compartirle todo el acceso a tu ordenador a quien te lo solicite esto siempre lo hará un miembro del staff y deberá ser con derechos de Administrador Ampliados para tener acceso por completo a ejecutar programas sin tener que tocar tu el ordenador.
¿ Qué aplicaciones pueden instalarme en mi Ordenador ?
Existen cientos de programas que sirven para revisar tu ordenador, dependerá siempre del staff que te realice una Screenshare. Los más comunes siempre son;
Luyten,
Process Hacker 2,
Recent Files View.
Shell Bags View,
Executed Program List,
Everything,
Browser Download view,
Browsin history view..
Existen otra gran cantidad de Scanners que hacen la función de revisar tu ordenador de forma automática, completa y segura.
Paladin,
Avenge,
Echo,
Octova,
Safeshare..
En la Screenshare también se suele utilizar cmd & powershell y otros programas que no son necesarios de instalar ya que vienen por defecto de fábrica.
¿ Cuanto es la duración de una revisión ?
Si has sido sancionado de Universocraft y solicitas que se te haga una Screenshare debes tener total disponibilidad de tiempo, la Screenshare dura el tiempo que el staff determine para comprobar si estás utilizando una ventaja dentro del servidor o no. Suele oscilar desde 10 minutos hasta 3 horas de Screenshare dependiendo de que tan rápido vaya tu ordenador/wifi.
¿ Qué aplicaciónes debo instalar a la hora en que me pidan una revisión ? ¿ Cómo instalo Anydesk ?
La única aplicación solicita por un miembro del staff a la hora de proceder a realizar una Screenshare ( SS ) es Anydesk el método de instalación es muy fácil y básico, os adjuntaré esta mini-guía para quienes tengan duda, recuerda que el staff te dará un tiempo determinado ya que esta aplicación tarda muy poco en ejecutarse.
1- En el primer paso abriremos Google Chrome o su navegador determinado, buscaremos el siguiente url https://anydesk.com/es/downloads/windows.
2- En el segundo paso Iniciaremos una descarga en el cuadro que se indica de la foto url https://prnt.sc/9MHyZy-uES8t.
3- En el tercer paso nos indicará la carpeta donde queremos que se guarde la aplicación, en caso de no tener esto activado en tu navegador automáticamente te lo dejará en Descargas url https://prnt.sc/Wqi6GFtwsK0g.
4- Iniciamos la aplicación y nos aparecerá un código en el que aparece " Este puesto de trabajo XXX-XXX-XXX " ese código deberas copiarlo y cedérselo al miembro del staff que te esté solicitando la Screenshare url https://prnt.sc/oaiL-_Hl2Ayj.
5- Te llegará una notificación de que alguien está tratando de vincularse a tu ordenador, debes aceptar la solicitud y darle todos los permisos que el staff te solicite, recuerda que "Derechos Ampliados" es obligatorio para poder ejecutar cmd & .exe-.jar como Administrador.
¿ Está prohibido grabar una Screenshare ?
Está totalmente prohibido, de encontrarse una grabación o intento de ello el staff te ****** ******* ( sanción decidida por el staff).
Siempre se revisarán los programas que sean necesarios en busca de ver algun intento de grabación por protocolos de seguridad.
¿ Dónde debo solicitar una Screenshare ?
Las SS o Screenshare siempre se han de solicitar en el canal #ayuda_comunidad mediante la plataforma de Discord.
Url Discord Comunidad: https://discord.gg/universocraft
El paso a seguir es realizar una Captura de pantalla sobre su sanción, vas a Discord y la mandas adjuntada de tu nick de usuario.
¿ Cuanto tiempo he de esperar para que me atienda un Staff ?
El tiempo de espera es totalmente indefinido esto quiere decir que si en caso de haber sido sancionado tu baneo acaba expirando podrás ingresar nuevamente al servidor sin problema, recuerda que con solo mandar una vez la captura de pantalla & nick de usuario es suficiente entorpecer el chat de #Ayuda_Comunidad puede acarrear una sanción en Discord.
Si me desconecto en la Screenshare por problemas de Internet ¿ Se puede hacer algo ?
No, no se podría hacer nada. De hecho conllevaria la expulsión permanente dentro del servidor ( A criterio del staff ). A día de hoy esta suele ser una de las mayores quejas comunes entre los usuarios, las caidas de internet o que tu ordenador no soporta las descargas. En este caso la sanción seria exactamente igual ( Acriterio del staff) Expulsión permanente de Universocraft.
<---------- MiniGuía de Screenshare -------- EXCITOSO 2022 ----------->
---> Sistema de Grabación <---
--->>> 1-)
1.1-) Fijate si está grabando con Anydesk (revisale las grabaciones también)
1.2-) Fijate si está grabando con AMD (RéLive) comprueba si tiene AMD Radeon entra ve a inicio fijate que a la izquierd abajo no aparezca que anda grabando ajustes, general y en grabar escritorio desactivalo.
1.2-) Fijate si está grabando con NVIDEA (Shadow Play) dale click a la flecha de la barra de tareas y fijate si tiene "Nvidea Experience" si es asi abrelo ve a ajustes a general arriba a la izquierda y fijate que tenga desactivado superposición dentro del juego.
1.3-) Fijate si está grabando con XGAME-BAR busca desde la búsqueda "gamebar" hazle click en "configuracion de control de barra de juegos" entras y lo desactivas.
1.4-) Fijate si está utilizando con OBS desde administrador de tareas, la flecha de la barra de tareas y desde Process hacker. Para realizarlo desde process hacker has de abrir la aplicacion como administrador situarte arriba y buscar "View" lo deslizas y accedes a "Windows" lo abres, buscas la aplicación y te fijas si lo tiene ahí oculto.
Para revisar el segundo Escritorio manten las teclas Windows + TAB (segundo escritorio).
---> Sistema de Atajos <---
--->>> 2-)
2.1-) Papelera de reciclaje: (Windows + r) "C:\$Recycle.Bin" (Desactivar todo lo que pone en Ocultar)
2.2-) Elementos Recientes: (Windows + r) shell:recent (Es para ver si ha abierto un autoclick o algo recientemente)
2.3-) Prefetch: (Windows +r) Prefetch (Fijarte ya que ahí quedan registros de .exe)
2.4-) Archivos temporales (Tempdata): (Windows + r) %temp% (Buscar "JNATIVEHOOK")
2.5-) Abrimos (Windows+R) colocamos "Services.msc" y buscamos la opcion “Servicio Asistente para la compatibilidad de programas” esta opción deberá estar "En Ejecución", de esta manera verificaremos que el PcaClient no esté activado.
2.6-) Abrimos (Windows+R) colocamos "shell:::{05d7b0f4-2121-4eff-bf6b-ed3f69b894d9}" revisar por si tiene algún icono modificado.
2.7-) Abrimos (Windows+R) colocamos "eventvwr" --> registro de windows --> seguridad ---> filtrar registro actual --> 4616 -- > Colocamos esto arriba de categoria de la tarea (ESTO NO SERVIRÁ PARA VER SI EDITÓ LA HORA ANTES DE SS).
---> Sistema de Regedit <---
3.1-) Abres "Regedit" y coloca la siguiente ruta Equipo\HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store una vez estas ahí debes revisar uno por uno los programas que veamos raros o .exe
3.2-) Abres "Regedit" y coloca la siguiente ruta HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist una vez estas ahí fijate si hay un archivo "NotLog" esta carpeta sirve para no dejar ningún rastro de un programa dentro de ahí.
3.3-) Abres "Regedit" y coloca la siguiente ruta HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer una vez estas ahí fijate si hay un arhivo "NoRecentDocsHistory" este es para desactivar la lista de los archivos usados recientemente.
---> Sistema de Powershell <---
4.1-) Abres "Powershell" y coloca el siguiente comando "MMAGENT" si los siguientes apartados “ApplicationLaunchPrefetching” o “MemoryCompressive” se situa en "false" significa que el usuario ha desactivado memoria comprimida y no guarda logs/registros de los los .exe/dll/jar etcétera.
4.2-) Abres "Powershell" y colocas el siguiente comando "gci -recurse -filter *.exe/jar/dll/ahk/xyz"
4.3-) Abres "Powershell" y colocas el siguiente comando “Get-DnsClientCache" para comprobar los dominios y webs que el usuario ha accedido mientras más abajo este significará que mas reciente es.
---> Sistema de Process Hacker 2 <---
(Revisar si tiene algún DLL injectado)
5.1-) Iniciamos la aplicación como administrador buscamos el proceso "Explorer.exe", vamos a "General" y buscamos Autoclick, Koid, Itami, Bape, Icetea, Vape, Dream etcetera.
5.2-) Iniciamos la aplicación como administrador buscamos el proceso "Explorer.exe", vamos a "Memory" desmarcamos la opción de "Hide free regions" y hacemos click en "String" ponemos 4 "image y mapped" tras esto seleccionamos "Filter" y la segunda opción. Buscaremos "File://" ahora nuevamente seleccionamos filter, segunda opción y colocas ".exe"
5.3-) Iniciamos la aplicacion como administrador buscamos el proceso "Explorer.exe", vamos a "Memory" desmarcamos la opción de "Hide free regions" y hacemos click en "String" ponemos 4 "image y mapped" tras esto seleccionamos "Filter" y la segunda opción.Buscaremos "Pcaclient" y le damos a buscar, una vez encuentre a el que aparezca como "TRACE,000" y lo guardaremos en el escritorio para revisar los .exe ejecutados recientemente.
5.4-) Iniciamos la aplicacion como administrador buscamos el proceso "Discord", vamos a "Memory" desmarcamos la opción de "Hide free regions" y hacemos click en "String" ponemos 4 "image y mapped" tras esto seleccionamos "Filter" y la segunda opción. Buscaremos "cdn.discordapp.com" nuevamente seleccionamos "Filter" y la segunda opción para buscar ".exe/.jar/.dll/.ahk /.gg, /.wtf,/.xyz/.gg" esto son las terminales de algunos ghost clients/hack clients de webs más comunes. Es importante siempre revisar los Discords ya que muchos ghost clients se descargan desde esta plataforma mediante la comunidad de Discord.
5.5-) Iniciamos la aplicacion como administrador buscamos el proceso "Csrss" vamos a "Memory" desmarcamos la opción de "Hide free regions" y hacemos click en "String" ponemos 4 "image y mapped" tras esto seleccionamos "Filter" y la segunda opción. Buscaremos ".exe, .jar, .dll, .bat, .xyz" esto servirá para (Buscar .exe abiertos recientemente).
5.6-) Iniciamos la aplicacion como administrador buscamos el proceso "dnscache" vamos a "Memory" desmarcamos la opción de "Hide free regions" y hacemos click en "String" ponemos 4 "image y mapped" tras esto seleccionamos "Filter" y la segunda opción. Buscaremos .xyz, vape, .lol, .exe, .gg, .wtf esto servirá para ver páginas visitadas recientemente.
5.7-) Iniciamos la aplicacion como administrador buscamos el proceso "pcasvc" vamos a "Memory" desmarcamos la opción de "Hide free regions" y hacemos click en "String" ponemos 4 "image y mapped" tras esto seleccionamos "Filter" y la segunda opción. Buscaremos primeramente "c:" luego "Filter" segunda opción y buscamos "users" repetimos el mismo proceso y ".exe", esto servirá para los .exe que sean sospechosos o maliciosos los detecta todos.
5.
Iniciamos la aplicacion como administrador buscamos el proceso "MsMpEng" lo tenemos que abrir y (revisar si fue finalizado o reiniciado, esto es para todos los programas de bypassear SS).5.9-) Iniciamos la aplicacion como administrador buscamos el proceso "SearchIndexer.exe" si realizamos los pasos de siempre y colocamos como string "file:c:" si aparece algun archivo lo mas posible es que se haya renombrado o ejecutado (No se banea por esto pero te hará guiarte sobre lo que puede tener).
---> Sistema de Macros <---
Logitech:
Windows+ R > appdata > Local > LGHub si sale el settings.json modificado recientemente puedes banearlo por que modificó los macros o eliminó su perfil, tambien puede que tenga una carpeta llamada "Profiles" en esa tambien revisa si se modificó algo recientemente.
Razer:
Windows+R C:\ProgramData\Razer\Synapse\Accounts nos fijamos en la fecha de modificación de la carpeta "Macros" si esta esta modificada recientemente banealo ya que modificó los macros o eliminó su perfil.
Appdata > Local > Razer > Synapse3 > Logs > Macros > Revisar folders editados en carpeta macros y fecha en caso de tenerlos modificados sancionalo igualmente ya que habria modificado los macros y eliminado su perfil.
---> Sistema para detectar .JPG o .PNG archivos <---
6.1-) Abres regedit y copias en la ruta HKEY_CURRENT_USER\SOFTWARE\WinRAR\ArcHistory
6.2-) Le damos click derecho a ArcHistory pinchando en "exportar" (OBLIGATORIO SELECCIONAR GUARDAR EN .TXT) y seleccionamos el escritorio poniendole el nombre que queramos.
6.3-) luego abrimos el txt y buscamos las rutas nada más. (Para comprobar si es un hack deben darle a la imagen click derecho "abrir con" y seleccionas winrar) en caso de ser un .exe se ejecutará solo.
---> Sistema para detectar archivos/programas renombrados <---
7.1-) Abrimos el CMD como administrador.
7.2-) Colocamos la ruta con "cd "ruta que deseemos encontrar"".
7.3-) Ahora colocamos el comando: fsutil usn readjournal c: csv | findstr /i /c:.exe | findstr /i /c:rename >> filesrename.txt
Esperamos a que cargue y vamos a la ruta abrimos el TXT y vemos los .exe renombrados
---> Detectar archivos/programas reemplazados <---
8.1- ) Abrimos el process hacker 2 como "Administrador"
8.2- ) Buscamos el proceso "DPS" le damos click derecho al que más consume ya que nos aparecerán 3 y luego a "Propierts" desmarcamos "hide free regions" le damos a "String" marcamos "maped y image" colocamos 4 y le damos a buscar. Luego en "Filter" a "case (intensive-case)" y colocamos "!!" o ".exe" volvemos a darle a "Filter" a "case (intensive-case)" y luego buscamos AnyDesk, Spotify, Obs, etcétera.
---> Detectar archivos eliminados con shift-delete <---
9.1- ) Abrimos el CMD como administrador (MUY IMPORTANTE)
9.2- ) Ahora copiamos la ruta y colocamos en el cmd " cd ruta " a continuación colocaremos los comandos
9.3- ) Comandos-->
fsutil usn readjournal c: csv | findstr /i /c:.exe | findstr /i /c:0x80000200 >> DeletedExe.txt
fsutil usn readjournal c: csv | findstr /i /C:delete >> AllFilesDelete.txt
fsutil usn readjournal c: csv | findstr /i /c:.dll | findstr /i /c:0x80000200 >> DeletedDLLFiles.txt
fsutil usn readjournal c: csv | findstr /i /c:.ahk | findstr /i /c:0x80000200 >> DeletedAHKFiles.txt
fsutil usn readjournal c: csv | findstr /i /c:.bat | findstr /i /c:0x80000200 >> DeletedBatFiles.txt
9.4- ) Ahora abriremos el .TXT que nos dejó el la ruta seleccionada y revisaremos con profundidad los elementos borrados.
( SI SOSPECHAS DE QUE EL USUARIO ESTA TRATANDO DE BYPASSEAR RECUPERALE LOS ARCHIVOS CON ESTE PROGRAMA
( https://www.nirsoft.net/utils/previous_files_recovery.html )
( RECUERDA CAMBIARLES LA DIRECCIÓN OSEA EL /C: SI ES QUE OCUPA POR EJEMPLO EL /D: ).
---> NOTAS: <---
lOBIT Unlocker (Cualquier residuo es ban directo)
StartisBack (Cualquier residuo es ban directo)
---> Screensharers Automaticos no inician, sanción permanente directa ya que tendrá un AntiSS y si es de paga es imposible encontrarlo a menos que el usuario no sea tan listo <---
Anti Tamper:
En inicio de windows buscar y abrir “Anti tamper”
Si está activado desmarcarlo y avenge / otras apps automaticas deberan de abrirse
SmartScreen:
El antimalware (desactivarlo) buscar en inicio: Smartscreen e ir a “Control de aplicaciones y
navegador" lo segundo que haremos será desactivar las primeras 2 opciones
---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Recuerden que este post está creado con total desinformación, quería ampliar un poco más la guía de SS y darle un toque especial a los clientes que utilizamos para realizar las Screenshare.
Sin más, espero que les guste.
Un saludo
Última edición:
