Foro de elhacker.net

Buenas:

Tengo la mala sensación de que me han pirateado el pc y que han mandado correos desde él. La preguna es que si esto es posible (he pasado el antivirus y nada, el superantispyware y nada y el spyboot y nada), lo formateé en su día...pero me sigue dando malas sensaciones.

Además de esto, no se si se podrá clonar la ip del pc para usarla y ligarla a un e-mail....como averiguar esto?

Agradecido por la ayuda, un saludo.

envía un log de hijackthis, y un log de tcp view.
si, se llama ip spoofing.
saludos

Como es eso de que te han pirateado el pc?

esperamos el log de hijackthis y un log de TCPView.

:xD Winroot vas aprendiendo rapido...

Ok, en cuanto tenga eso lo cuelgo y a ver que tal.
Muchas Gracias por todo.

Ok, esto es lo que me sale: hijackthis

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 8:38:34, on 07/08/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe
C:\Archivos de programa\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Documents and Settings\Crom!!!\Mis documentos\Descargas\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Archivos de programa\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=032610 serial=DR12WEX-1504397-KTY lang=EN
O4 - HKLM\..\Run: [C-Media Speaker Configuration] C:\PROGRA~1\C-Media\WIN_ME\Setup.exe /SPEAKER
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio Google Update (gupdate) (gupdate) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 5984 bytes

y con el tcpview:

[System Process]   0   TCP   tu-165d5dde0680   1080   localhost   1079   TIME_WAIT                              
[System Process]   0   TCP   tu-165d5dde0680   1089   wy-in-f99.1e100.net   http   TIME_WAIT                              
[System Process]   0   TCP   tu-165d5dde0680   1093   wy-in-f99.1e100.net   http   TIME_WAIT                              
[System Process]   0   TCP   tu-165d5dde0680   1087   mozilla3.snt.utwente.nl   http   TIME_WAIT                              
[System Process]   0   TCP   tu-165d5dde0680   1090   localhost   30606   TIME_WAIT                              
[System Process]   0   TCP   tu-165d5dde0680   1086   localhost   30606   TIME_WAIT                              
[System Process]   0   TCP   tu-165d5dde0680   1094   localhost   30606   TIME_WAIT                              
[System Process]   0   TCP   tu-165d5dde0680   1095   209.85.227.138   http   TIME_WAIT                              
[System Process]   0   TCP   tu-165d5dde0680   1091   wy-in-f99.1e100.net   http   TIME_WAIT                              
[System Process]   0   TCP   tu-165d5dde0680   30606   localhost   1083   TIME_WAIT                              
[System Process]   0   TCP   tu-165d5dde0680   1088   localhost   30606   TIME_WAIT                              
[System Process]   0   TCP   tu-165d5dde0680   1092   localhost   30606   TIME_WAIT                              
alg.exe   456   TCP   tu-165d5dde0680   1026   tu-165d5dde0680   0   LISTENING                              
ekrn.exe   1716   TCP   tu-165d5dde0680   30606   tu-165d5dde0680   0   LISTENING                              
jqs.exe   1776   TCP   tu-165d5dde0680   5152   localhost   1085   CLOSE_WAIT                              
jqs.exe   1776   TCP   tu-165d5dde0680   5152   tu-165d5dde0680   0   LISTENING                              
lsass.exe   736   UDP   tu-165d5dde0680   isakmp   *   *                                 
lsass.exe   736   UDP   tu-165d5dde0680   4500   *   *                                 
svchost.exe   948   TCP   tu-165d5dde0680   epmap   tu-165d5dde0680   0   LISTENING                              
svchost.exe   1088   UDP   tu-165d5dde0680   1031   *   *                                 
svchost.exe   1088   UDP   tu-165d5dde0680   1032   *   *                                 
svchost.exe   1040   UDP   tu-165d5dde0680   ntp   *   *                                 
svchost.exe   1040   UDP   tu-165d5dde0680   ntp   *   *                                 
svchost.exe   1152   UDP   tu-165d5dde0680   1900   *   *                                 
svchost.exe   1152   UDP   tu-165d5dde0680   1900   *   *                                 
svchost.exe   1088   UDP   tu-165d5dde0680   1054   *   *                                 
System   4   TCP   tu-165d5dde0680   microsoft-ds   tu-165d5dde0680   0   LISTENING                              
System   4   TCP   tu-165d5dde0680   netbios-ssn   tu-165d5dde0680   0   LISTENING                              
System   4   UDP   tu-165d5dde0680   netbios-ns   *   *                                 
System   4   UDP   tu-165d5dde0680   netbios-dgm   *   *                                 
System   4   UDP   tu-165d5dde0680   microsoft-ds   *   *                                 

Espero haberlo hecho bien porque como comenté antes, poca idea tengo.
Gracias.

Los logs estan limpios, ¿a que se debe esa "mala sensación" que tienes? :-\

Saludos

Pues no sé, me va super despacio, muy a menudo se queda "pillao" y de repente empiezan a salir ventanas de todos los lados, tengo un problema con unos correos que no sé de donda han salido....no se, cosas raras.

De todas formas me quedo mas tranquilo, porque llegaba al punto de cada vez que me salía de internet apagar el router y desconectar el cable y todo, supongo que me emparanoíé sobremanera.

Aun con todo, de que manera podría saber si me han hackeado, es decir, hay algún botoncito para averiguarlo o parecido?

Gracias por todo

Mmh, yo digo, tenés todo actualizado? Osea, todos los parches aplicados? Hacete un windows update x las dudas.
Tenés un anti virus? Firewall?

APOKLIPTICO, Si lees el log veras que tiene el NOD32 de antivirus y ademas el spybot. No parece que tenga firewall a parte del de windows.

Argui, En algunos correos (como gmail) puedes ver las ultimas direcciones ip desde los que has visitado el webmail. En las cabeceras de los correos también sale la ip. Puedes contrastar a ver si derrepente te sale una ip de otro país que no es el tuyo.

El tema de los correos a tu nombre no tiene porque ser problema de tu ordenador, hay muchos tipos de malware/spam capaçes de generar direcciónes falsas y enviar correos.

Por otra parte, si el ordenador te va lento puede darse muchas causas, no siempre tiene que ser problema de malware. Ultimamente he visto en compañeros mios ordenadores con la capacidad de disco rozando el límite y muchos pensando que se podía tratar de cualquier tipo de malware.

Errores para que un disco funcione lento puede deberse a muchos, por ejemplo discos con bastante tiempo o mala calidad donde los cabezales se fastidian, discos con la capacidad casi llena a base de juegos,peliculas o porqueria...

No siempre tiene que ser malware, revisa la capacidad de tu disco duro y podrías utilizar un programa por ejemplo para desfragmentar el disco haber si mejora un poco esa velocidad.

Aún así, si no tiene firewall y no tiene los parches, puede tener todo los anti virus que quiera, pero se le va a infectar igual...
Todavía hay máquinas sin el parche ms03-26 y ms04-11 (sasser y blaster).

Ok, en cuanto a actualizaciones se supone que todo está actualizado (tanto windows como el antivirus). Sobre firewall tengo el que viene por defecto en windows y ahí se queda, pero viendo comentarios y tal veré otras posibilidades en otros foros sobre el tema.

Y en cuanto al sasser y blaster, según tengo entendido, el Service Pack 2 de Windows ya lo tiene solucionado, no? o al  menos eso pensaba yo.

Al final he desfragmentado el disco duro, pasado y repasado regcleaner, eliminado historiales, cookies,....y todo lo habido y por haber. Tal vez se me haya quedado pequeño el pc porque de ram tengo 768 MB (o al menos eso pone), y es un AMD Athlon a 1.66 Ghz y lo mismo la casualidad y mi occecación por que tenga un "bicho" metido me ha llevado a error (aunque el rollo de las cositas raras que pasaban y que nunca me habían pasado me hicieron dudar). Compraré una tarjeta de Ram de 1 Gb y eso que mejoro el ordenador.

Muchísimas gracias por la ayuda prestada por todos y procuraré meterme mas en páginas como esta, que veo que tengo mucho mucho que aprender.

Un saludo y ya os leere por aqui.