Título: Consulta keylogger - admn. publica Publicado por: ykus en 28 Octubre 2011, 15:15 pm Buenos dias,
Trabajo en una adm. publica y tengo sospechas de que en mi pc me han instalado un Keylogger, que logicamente no encuentro en adm. de tareas. Mi usuario no es administrador ni local ni de red y no puedo ejecutar nada, hay alguna forma (me lo pide mi abogado) de demostrar que lo tengo instalado? Con algun livecd como backtrack o similar? Muchas gracias!!! Título: Re: Consulta keylogger - admn. publica Publicado por: Pablo Videla en 28 Octubre 2011, 15:27 pm Buenos dias, Trabajo en una adm. publica y tengo sospechas de que en mi pc me han instalado un Keylogger, que logicamente no encuentro en adm. de tareas. Mi usuario no es administrador ni local ni de red y no puedo ejecutar nada, hay alguna forma (me lo pide mi abogado) de demostrar que lo tengo instalado? Con algun livecd como backtrack o similar? Muchas gracias!!! Bajate algo llamado hijackthis http://www.google.cl/search?gcx=w&sourceid=chrome&ie=UTF-8&q=hijackthis ejecutalo y pega los datos que te salieron aca, tambien pega un pantallazo de lo que te sale en el msnconfig para hacer eso debes entrar a ejecutar escribes msnconfig, luego enter y ver la pestaña inicio, de la aplicacion que se abrio, el pantallazo lo envias aca y analizamos de poco. Título: Re: Consulta keylogger - admn. publica Publicado por: ykus en 28 Octubre 2011, 15:29 pm Mi user esta blocado, no tengo permisos para ejecutar nada de nada :(
Os pego los pantallazos a ver si m podeis ayudar. Mil gracias. Título: Re: Consulta keylogger - admn. publica Publicado por: ykus en 29 Octubre 2011, 16:02 pm Alguna idea para instalar el hijackthis sin ser administrador? Muchas gracias!!!
Título: Re: Consulta keylogger - admn. publica Publicado por: Pablo Videla en 29 Octubre 2011, 17:09 pm Alguna idea para instalar el hijackthis sin ser administrador? Muchas gracias!!! Debe haber una version portable, buscalo en google. Título: Re: Consulta keylogger - admn. publica Publicado por: elfantasma77 en 31 Octubre 2011, 04:07 am No has probado en crearte un cuenta de adm con el "CMD"? si te la creas, creo que todo lo demas seria mas facil :D
Título: Re: Consulta keylogger - admn. publica Publicado por: Pablo Videla en 1 Noviembre 2011, 00:13 am No has probado en crearte un cuenta de adm con el "CMD"? si te la creas, creo que todo lo demas seria mas facil :D Si no tiene los permisos para ejecutar programas, menos va a tener para crear cuentas. Título: Re: Consulta keylogger - admn. publica Publicado por: ykus en 2 Noviembre 2011, 08:22 am Hola!!!
Os pego la información del hijackthis, me aviso que la carpeta system32/drivers/etc/hosts no la podia analizar. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 8:13:26, on 02/11/2011 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.17103) Boot mode: Normal Running processes: C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe C:\Archivos de programa\WinZip\WZQKPICK.EXE C:\Archivos de programa\Archivos comunes\Java\Java Update\jucheck.exe C:\Archivos de programa\Outlook Express\msimn.exe C:\Archivos de programa\Messenger\msmsgs.exe E:\HiJackThis.exe C:\WINDOWS\system32\userinit.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Archivos de programa\Outlook Express\msimn.exe" R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\IGUALTAT.AJUNTAMENT\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE O8 - Extra context menu item: Agregar al componente Anti-Banners - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\ie_banner_deny.htm O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Estadísticas del componente Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\scieplgn.dll O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = AJUNTAMENT.COM O17 - HKLM\Software\..\Telephony: DomainName = AJUNTAMENT.COM O17 - HKLM\System\CCS\Services\Tcpip\..\{E39F6BBB-01C3-4D81-947F-2DD3754021E0}: NameServer = 10.0.0.253 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = AJUNTAMENT.COM O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0FO\adialhk.dll,C:\ARCHIV~1\KASPER~1\KASPER~1.0FO\kloehk.dll O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe O23 - Service: SupportSoft Sprocket Service (Telefonica) (sprtsvc_Telefonica) - SupportSoft, Inc. - C:\Archivos de programa\Telefonica\bin\sprtsvc.exe O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\ssrc.exe O23 - Service: VNC Server (winvnc) - RealVNC Ltd. - C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe -- Y la info de msconfig no me la deja ver porque no soy administrador. Título: Re: Consulta keylogger - admn. publica Publicado por: Pablo Videla en 2 Noviembre 2011, 14:12 pm Por lo que veo tienes programas de administracion remota, por lo tanto te pueden manipular el pc, no se si esta bajo tu consentimiento esos programas como el VNC y support software , pero no vi keyloggers a simple vista, saludos.
Título: Re: Consulta keylogger - admn. publica Publicado por: el-brujo en 2 Noviembre 2011, 16:26 pm No se ve nada, raro.. ¿Qué sospechas o fundamentos tienes para pensar que te han instalado un keylogger? ¿Saben exactamente lo que has escrito? ¿O simplemente es porque saben los e-mails que mandas, por dónde navegas o lo que haces?
Título: Re: Consulta keylogger - admn. publica Publicado por: ykus en 2 Noviembre 2011, 16:40 pm Porque una compañera de trabajo escucho una conversacion entre el informatico y un regidor sobre un programa de mi ordenador, entonces era por eso que os pido ayuda, ya he probado infinidad de ctrl + alt + f9 o l o lo que sea, pero no salta nada y no se si tengo algun keylogger, quizas no, pero en el caso de tenerlo es denunciable y lo quisiera hacer, por eso os solicito vuestra ayuda.
Título: Re: Consulta keylogger - admn. publica Publicado por: Pablo Videla en 2 Noviembre 2011, 16:43 pm Porque una compañera de trabajo escucho una conversacion entre el informatico y un regidor sobre un programa de mi ordenador, entonces era por eso que os pido ayuda, ya he probado infinidad de ctrl + alt + f9 o l o lo que sea, pero no salta nada y no se si tengo algun keylogger, quizas no, pero en el caso de tenerlo es denunciable y lo quisiera hacer, por eso os solicito vuestra ayuda. Lo mas probable es el VNC , lo tienes instalado y te pueden ver, seguramente es para mantenerte controlado , no se. Título: Re: Consulta keylogger - admn. publica Publicado por: ykus en 2 Noviembre 2011, 16:51 pm El vnc por eso cuando lo conectasen me saltaria como un pantallazo negro, no? Ademas de hacer que fuera mas lento internet y demas, no? Aunque no se si el vnc se instalo cuando vinieron los de telefonica que nos ofrecieron servicio de asistencia remota o no tiene nada que ver. En el caso de que fuera el vnc y solo pudieran ver lo que hago, como accedo al programa para que mi abogado lo pueda usar como prueba?
Muichas gracias!!!! Título: Re: Consulta keylogger - admn. publica Publicado por: T0rete en 2 Noviembre 2011, 17:01 pm No se a que le llamas tu "acceder", tu pregunta será como puedes demostrar que lo tienes instalado y ha sido utilizado mientras tu estabas trabajando.
El VNC lo tienes instalado como ves en el log pero el uso que le han dado anteriormente me parece que no vas a poder demostrar absolutamente nada ni siquiera haciendo tu una auditoría. El administrador siempre puede decir que lo tiene instalado como herramienta de administración remota o como helpdesk al usuario y que no lo usa para espiarte sin permiso. Título: Re: Consulta keylogger - admn. publica Publicado por: ykus en 2 Noviembre 2011, 17:13 pm Muchas gracias torete!
En cambio, su tuviera instalado un keylogger mi abogado me comenta que si que podría tomar acciones legales ya que el objetivo del programa no es el de dar ayuda remota, por eso hago hincapié en el tema demostrar que tengo un keylogger, pero si vosotros no veis nada raro es que quizás no lo tenga instalado. Título: Re: Consulta keylogger - admn. publica Publicado por: el-brujo en 2 Noviembre 2011, 19:37 pm Que no salga el proceso en el administrador de tareas o en el log del HijackThis no quiere decir que no esté funcionando, hay mil maneras de ocultarlo y si adem´ñas si estás usando una cuenta limitada de Windows, aún con más razón.
Mira el conector del teclado que va a la caja del pc a ver si tienes un hardware keylogger jeje (http://www.elhacker.net/images/tuto/keyghost/Quick_fitting.gif) http://www.elhacker.net/hardware_keylogger.html Título: Re: Consulta keylogger - admn. publica Publicado por: ykus en 2 Noviembre 2011, 23:05 pm Gracias el-brujo, lo mirare, pero lo que veo que es muy muy dificil demostrar si lo tengo instalado, no? La ultima opcion si no se os ocurre nada es poner un iman potente cerca del hdd y que haga su faena!!! Por que veo que no hay manera fiable de saber si tengo un keylogger, no se si con algun livecd de ubuntu o backtrack no se.
Título: Re: Consulta keylogger - admn. publica Publicado por: ykus en 4 Noviembre 2011, 14:49 pm hola, el keylogger fisico tampoco lo tengo instalado, lo que he podido comprobar es que un compañero no tiene instalado el vnc. La pregunta es... el vnc que es capaz de hacer y si creeis que puedo bloquearlo o saber quien usa el vnc para controlarme lo que hago.
Un saludo y mil gracias Título: Re: Consulta keylogger - admn. publica Publicado por: Pablo Videla en 4 Noviembre 2011, 16:34 pm hola, el keylogger fisico tampoco lo tengo instalado, lo que he podido comprobar es que un compañero no tiene instalado el vnc. La pregunta es... el vnc que es capaz de hacer y si creeis que puedo bloquearlo o saber quien usa el vnc para controlarme lo que hago. Un saludo y mil gracias el vnc es para administracion remota, osea pueden manipular el pc como si estuvieran al frente de la pantalla Título: Re: Consulta keylogger - admn. publica Publicado por: ykus en 4 Noviembre 2011, 20:54 pm Y alguna forma de bloquearlo o evitar que lo utilicen para espiarme sin consentimiento? muchas gracias
Título: Re: Consulta keylogger - admn. publica Publicado por: Pablo Videla en 4 Noviembre 2011, 21:01 pm Y alguna forma de bloquearlo o evitar que lo utilicen para espiarme sin consentimiento? muchas gracias Colocandole la contraseña a ese vnc o simplemente sacandolo Título: Re: Consulta keylogger - admn. publica Publicado por: ykus en 21 Noviembre 2011, 15:36 pm Buenas tardes,
Antes de nada agradeceros mucho vuestra ayuda, podria deciros al 100% que usan el realvnc para controlarme, sin permiso y de forma ilegal, necesitaria vuestra ayuda para poder demostrar, delante de inspeccion de trabajo, todo esto, teneis alguna idea? Muchas gracias! Título: Re: Consulta keylogger - admn. publica Publicado por: Pablo Videla en 21 Noviembre 2011, 18:36 pm Buenas tardes, Antes de nada agradeceros mucho vuestra ayuda, podria deciros al 100% que usan el realvnc para controlarme, sin permiso y de forma ilegal, necesitaria vuestra ayuda para poder demostrar, delante de inspeccion de trabajo, todo esto, teneis alguna idea? Muchas gracias! Muestra los procesos que nos mostraste a nosotros, y buscar los archivos log del vnc (Los logs son archivos que registra eventos de ciertos programas) Ve esto http://www.realvnc.com/support/serverlog.html Título: Re: Consulta keylogger - admn. publica Publicado por: ykus en 22 Noviembre 2011, 09:53 am Buenos dias,
A traves del regedit he encontrado esta información a ver si me sirve: ORL -> WinVNC3 -> Default Password: DF 93 3C 3C D5 A6 08 30 Lo que no se descifrar el password y activar el vnc para desprotegerlo con el password :P |