Título: Esta PC está bien? | AYUDA CON UN HACKER MALICIOSO
Publicado por: Chuxxx en 10 Mayo 2010, 23:56 pm
Bueno, les cuento que un hacker nos esta metiendo mano a nuestras pc's... Aca tengo un log del hijackthis y de netstat -a Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:36:54, on 10/05/2010 Platform: Windows Vista SP2 (WinNT 6.00.1906) MSIE: Internet Explorer v8.00 (8.00.6001.18904) Boot mode: Normal
Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\SiS VGA Utilities\SiSTray.exe C:\Program Files\Elantech\KTP.EXE C:\Program Files\AVG\AVG9\avgtray.exe C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe C:\Windows\System32\WTClient.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Program Files\WinZip\WZQKPICK.EXE C:\Program Files\Yahoo!\Messenger\ymsgr_tray.exe C:\Program Files\AVG\AVG9\avgui.exe C:\Program Files\AVG\AVG9\avgscanx.exe C:\Program Files\AVG\AVG9\avgcsrvx.exe C:\Windows\system32\SearchProtocolHost.exe C:\Users\sandra\Desktop\Hijackthis\HiJackThis 2.0.2 Portable.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Preserve R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG9\avgssie.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Mega Manager IE Click Monitor - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - C:\Program Files\Megaupload\Mega Manager\MegaIEMn.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [SiSTray] %ProgramFiles%\SiS VGA Utilities\SiSTray.exe O4 - HKLM\..\Run: [Control Center] C:\Program Files\Control Center\CCenter.exe O4 - HKLM\..\Run: [KTPWare] C:\Program Files\Elantech\ktp.exe O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~1\AVG\AVG9\avgtray.exe O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [WTClient] WTClient.exe O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [Google Update] "C:\Users\sandra\AppData\Local\Google\Update\GoogleUpdate.exe" /c O4 - HKCU\..\Run: [ISUSPM Startup] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -startup O4 - HKCU\..\Run: [Speech Recognition] "C:\Windows\Speech\Common\sapisvr.exe" -SpeechUX -Startup O4 - HKCU\..\Run: [googletalk] C:\Users\sandra\AppData\Roaming\Google\Google Talk\googletalk.exe /autostart O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\PROGRA~1\Yahoo!\Messenger\YahooMessenger.exe" -quiet O4 - Global Startup: inicio.lnk = C:\Windows\System32\sysprep\BurnInTest\inicio.cmd O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program Files\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Download Link Using Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Program Files\Common Files\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O13 - Gopher Prefix: O15 - Trusted Zone: www.hotmail.com O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG9\avgpp.dll O20 - AppInit_DLLs: avgrsstx.dll O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgemc.exe O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files\AVG\AVG9\avgwdsvc.exe O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\Windows\System32\Drivers\WTSRV.EXE
-- End of file - 5672 bytes
Conexiones activas
Proto Direcci¢n local Direcci¢n remota Estado TCP 0.0.0.0:80 sandra1:0 LISTENING TCP 0.0.0.0:135 sandra1:0 LISTENING TCP 0.0.0.0:445 sandra1:0 LISTENING TCP 0.0.0.0:5357 sandra1:0 LISTENING TCP 0.0.0.0:5938 sandra1:0 LISTENING TCP 0.0.0.0:49152 sandra1:0 LISTENING TCP 0.0.0.0:49153 sandra1:0 LISTENING TCP 0.0.0.0:49154 sandra1:0 LISTENING TCP 0.0.0.0:49155 sandra1:0 LISTENING TCP 0.0.0.0:49156 sandra1:0 LISTENING TCP 127.0.0.1:9997 sandra1:0 LISTENING TCP 127.0.0.1:10110 sandra1:0 LISTENING TCP 192.168.1.35:139 sandra1:0 LISTENING TCP 192.168.1.35:49252 server853:5938 TIME_WAIT TCP 192.168.1.35:49253 ds87-230-74-43:5938 TIME_WAIT TCP 192.168.1.35:49254 server918:5938 ESTABLISHED TCP [::]:135 sandra1:0 LISTENING TCP [::]:445 sandra1:0 LISTENING TCP [::]:5357 sandra1:0 LISTENING TCP [::]:49152 sandra1:0 LISTENING TCP [::]:49153 sandra1:0 LISTENING TCP [::]:49154 sandra1:0 LISTENING TCP [::]:49155 sandra1:0 LISTENING TCP [::]:49156 sandra1:0 LISTENING UDP 0.0.0.0:123 *:* UDP 0.0.0.0:500 *:* UDP 0.0.0.0:3702 *:* UDP 0.0.0.0:3702 *:* UDP 0.0.0.0:4500 *:* UDP 0.0.0.0:5355 *:* UDP 0.0.0.0:49152 *:* UDP 0.0.0.0:49896 *:* UDP 127.0.0.1:1900 *:* UDP 127.0.0.1:49169 *:* UDP 127.0.0.1:49170 *:* UDP 127.0.0.1:63448 *:* UDP 192.168.1.35:137 *:* UDP 192.168.1.35:138 *:* UDP 192.168.1.35:1900 *:* UDP 192.168.1.35:63447 *:* UDP [::]:123 *:* UDP [::]:500 *:* UDP [::]:3702 *:* UDP [::]:3702 *:* UDP [::]:5355 *:* UDP [::]:49153 *:* UDP [::1]:1900 *:* UDP [::1]:63445 *:* UDP [fe80::c54:3f99:3f57:fedc%14]:1900 *:* UDP [fe80::c54:3f99:3f57:fedc%14]:63446 *:* UDP [fe80::1129:9e10:a41f:6599%13]:546 *:* UDP [fe80::1129:9e10:a41f:6599%13]:1900 *:* UDP [fe80::1129:9e10:a41f:6599%13]:63443 *:* UDP [fe80::e162:57d2:5e9a:404e%10]:1900 *:* UDP [fe80::e162:57d2:5e9a:404e%10]:63444 *:*
Hay algo mas que pueda hacer? Como puedo obtener la IP para poder hacer la denuncia? Yo pensaba con ingenieria social, mandandole un archivo x msn y sacarlo de ahi, pero algo mas pronto no se puede? Aparte de esto se ha hecho cuentas en Badoo con nuestros nombres y nuestros mails (Entro a nuestros mails y confirmo la cuenta) Lo sé porque despues nos llegaban mails que decian que nos hablaron, y quien mas podria ser que ese loco? pues nadie... que yo crea... Aparte de la otra que hizo, un caso de pedofilia, pero ya es otra historia...
Título: Re: Esta PC está bien?
Publicado por: Novlucker en 11 Mayo 2010, 03:39 am
En los procesos no veo nada, pero me llama la atención esos puertos altos en escucha :( , ejecuta un netstat -ab
Saludos
Título: Re: Esta PC está bien?
Publicado por: Chuxxx en 12 Mayo 2010, 18:06 pm
C:\Users\sandra>netstat -ab La operación solicitada requiere elevación Me salta eso, en las dos notebooks... Y soy administrador del equipo.. De seguro en esos puertos altos él entra.. Que hago?jajaja
Título: Re: Esta PC está bien?
Publicado por: Novlucker en 12 Mayo 2010, 18:54 pm
TCPView (http://technet.microsoft.com/en-us/sysinternals/bb897437.aspx) :P
Saludos
Título: Re: Esta PC está bien?
Publicado por: Chuxxx en 14 Mayo 2010, 01:27 am
avgemc.exe:2236 TCP sandra1:10110 sandra1:0 LISTENING explorer.exe:3544 UDP sandra1:49170 *:* iexplore.exe:2104 UDP sandra1:51829 *:* iexplore.exe:3220 UDP sandra1:59148 *:* lsass.exe:716 TCP sandra1:49156 sandra1:0 LISTENING lsass.exe:716 TCPV6 sandra1:49156 sandra1:0 LISTENING services.exe:704 TCP sandra1:49155 sandra1:0 LISTENING services.exe:704 TCPV6 sandra1:49155 sandra1:0 LISTENING svchost.exe:1192 TCP sandra1:epmap sandra1:0 LISTENING svchost.exe:1192 TCPV6 sandra1:135 sandra1:0 LISTENING svchost.exe:1332 TCP sandra1:49153 sandra1:0 LISTENING svchost.exe:1332 TCPV6 sandra1:49153 sandra1:0 LISTENING svchost.exe:1384 TCP sandra1:49154 sandra1:0 LISTENING svchost.exe:1384 UDP sandra1:isakmp *:* svchost.exe:1384 UDP sandra1:ipsec-msft *:* svchost.exe:1384 UDP sandra1:49169 *:* svchost.exe:1384 TCPV6 sandra1:49154 sandra1:0 LISTENING svchost.exe:1384 UDPV6 sandra1:500 *:* svchost.exe:1588 UDP sandra1:ntp *:* svchost.exe:1588 UDP sandra1:ssdp *:* svchost.exe:1588 UDP sandra1:ssdp *:* svchost.exe:1588 UDP sandra1:3702 *:* svchost.exe:1588 UDP sandra1:3702 *:* svchost.exe:1588 UDP sandra1:49152 *:* svchost.exe:1588 UDPV6 sandra1:123 *:* svchost.exe:1588 UDPV6 sandra1:1900 *:* svchost.exe:1588 UDPV6 [fe80:0:0:0:c76:1565:3f57:fedc]:1900 *:* svchost.exe:1588 UDPV6 sandra1:1900 *:* svchost.exe:1588 UDPV6 [fe80:0:0:0:e162:57d2:5e9a:404e]:1900 *:* svchost.exe:1588 UDPV6 sandra1:3702 *:* svchost.exe:1588 UDPV6 sandra1:3702 *:* svchost.exe:1588 UDPV6 sandra1:49153 *:* svchost.exe:1588 UDP sandra1:49793 *:* svchost.exe:1588 UDPV6 sandra1:49792 *:* svchost.exe:1780 UDP sandra1:llmnr *:* svchost.exe:1780 UDPV6 sandra1:5355 *:* System:4 TCP sandra1:netbios-ssn sandra1:0 LISTENING System:4 TCP sandra1:microsoft-ds sandra1:0 LISTENING System:4 TCP sandra1:5357 sandra1:0 LISTENING System:4 UDP sandra1:netbios-ns *:* System:4 UDP sandra1:netbios-dgm *:* System:4 TCPV6 sandra1:445 sandra1:0 LISTENING System:4 TCPV6 sandra1:5357 sandra1:0 LISTENING wininit.exe:576 TCP sandra1:49152 sandra1:0 LISTENING wininit.exe:576 TCPV6 sandra1:49152 sandra1:0 LISTENING
Ahi esta el log, ves algo fuera de lugar? :P
Título: Re: Esta PC está bien?
Publicado por: portaro en 14 Mayo 2010, 02:45 am
yo no pillo el server por ahora con lo que has aportado no hay identificacion del vampiro.
en lo resto no veo absolutamente nada.
tu avg - LO haz bajado en el sitio del fabricante?
Es que no veo nada que pueda hilar al vampiro.
abrazote.
Título: Re: Esta PC está bien?
Publicado por: bomba1990 en 14 Mayo 2010, 05:28 am
quizas el enemigo no esta a fuera sino adentro. >:D >:D
Título: Re: Esta PC está bien?
Publicado por: Chuxxx en 14 Mayo 2010, 05:35 am
que raro :S entonces por donde puede entrar un supuesto hacker? si puse el Process Blocker y de la nada salio que el cmd.exe y el telnet.exe ha sido bloqueado (La cual la bloquea cuando el programa es abierto, que sale la pantalla y se cierra al instante). Es él, estoy seguro. Es EDIT. MEJOR BORRO EL NOMBRE. Pasa que no tengo pruebas para hacer la denuncia, porque uso el hacking éste para poder hacer otras cosas mucho mas malas (que no creo que a nadie les guste) la cual no tengo permiso de comentarlas. la que le puedo contar, es que entraba al mail, y mandaba tipos cachondos a la casa de la dueña del mail, y bueno, otras cosas mas. que puedo hacer? como logro tener una pista? algun otro programa, algo? quizas el enemigo no esta a fuera sino adentro. >:D >:D
Como adentro? Sigo insistiendo que es él, y él no tiene acceso fisico a las computadoras.. Solo lo tuvo una vez, en una de las 4, y pense que habia puesto un bot de alguna botnet, o algun troyano, pero el AV no encontro nada... tu avg - LO haz bajado en el sitio del fabricante? El AVG, por lo que vi, esta hasta registrado... la version full.. no te se decir si fue bajado por la pagina del fabricante, porque 2 pc no son mias. son 4 pc, 2 mias, una de una chica y otra de otra chica, la cual el mismo hacker entro (que de eso estoy muy muy seguro, esas chicas conocen al hacker personalmente, yo no, pero por lo que conto, yo tambien estoy seguro de que fue el...)
Título: Re: Esta PC está bien? | AYUDA CON UN HACKER MALICIOSO
Publicado por: dantemc en 14 Mayo 2010, 05:55 am
wmic process te dara los procesos y sus archivos wmic startup list full programas que se ejecutan al inicio + ubicaciones + llave del registro en caso de que este asociado de esa manera
todo wintendo trae wmic :)
Título: Re: Esta PC está bien? | AYUDA CON UN HACKER MALICIOSO
Publicado por: [L]ord [R]NA en 14 Mayo 2010, 16:49 pm
Ha faltado la pregunta mas importante... como sabes que un hacker le esta metiendo mano a tu pc?
Título: Re: Esta PC está bien? | AYUDA CON UN HACKER MALICIOSO
Publicado por: Chuxxx en 14 Mayo 2010, 19:43 pm
No te parecio suficiente lo del Process Blocker? Ps tambien saco fotos de la pc y entro a los correos Y LO CONOCEMOS, SABEMOS LA CLASE DE PERSONA QUE ES.... Sabemos que es él... La PC ya se la llevaron, solo resta sacarle la IP que aparecera en el mail que nos va a mandar, y confiar que no use proxy...
Saludos, cierren el tema por favor, y si puede, borrenlo...
gracias por su ayuda
|