Autor
|
Tema: Ayuda - Se asignaron privilegios especiales a un nuevo inicio de sesión (Leído 14,432 veces)
|
MariaDG
Desconectado
Mensajes: 6
|
Hola a todos. Me llamo María. Es la primera vez que escribo aquí. Empiezo a estar desesperada. No sé si podríais ayudarme, por favor. Esta semana descubrí que alguien se había metido en mis cuentas de Facebook, Gmail, Hotmail y WhatsApp Web a las 4 de la mañana mientras yo dormía (por eso me di cuenta).
He descubierto que alguien ha creado, de manera remota, usuarios con privilegios para iniciar sesión en mi ordenador. Pensaba que formateando el ordenador y borrando absolutamente todo se arreglaría. Pero no.
En el visor de eventos de Windows me siguen saliendo mensajes como estos:
Se inició sesión correctamente en una cuenta.
Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí
Nivel de suplantación: Suplantación
Y en otro evento pone:
Se asignaron privilegios especiales a un nuevo inicio de sesión.
Sujeto: Id. de seguridad: SYSTEM Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7
Privilegios: SeAssignPrimaryTokenPrivilege SeTcbPrivilege SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeAuditPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Al principio me di cuenta de estas cosas porque ocurrían en horas en las que yo no estaba utilizando el ordenador. Hoy ya me he asustado porque al reiniciar han conseguido cambiarme la contraseña de inicio y no podía acceder a mi ordenador. Tuve que cambiarla desde el móvil.
Tengo un ordenador de sobremesa, Windows 10. No tengo mucha idea de temas de seguridad informática, por eso acudo a vosotros. Pensaba que formatear el ordenador resolvería el problema pero veo que no.
Así es como creo que me abren la cuenta y averiguan mis claves. Las he vuelto a cambiar pero no sirve de nada:
Operación criptográfica.
Sujeto: Id. de seguridad: SYSTEM Nombre de cuenta: WIN-C5NREP2TJ3S$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7
Parámetros criptográficos: Nombre de proveedor: Microsoft Software Key Storage Provider Nombre de algoritmo: RSA Nombre de clave: 877b0d8a-8977-0fed-cad6-f73fe205d89f Tipo de clave: Clave de usuario.
Operación criptográfica: Operación: Abrir clave. Código de retorno: 0x0
Y cuando esta mañana he vuelto a entrar en el ordenador con contraseña nueva, todos los eventos de Windows se han empezado a borrar solos. Más tarde, la pantalla se me ha ido a negro un segundo, como cuando inicias un programa. Eso no me había pasado nunca antes.
Por favor, ¿os ha ocurrido a vosotros? ¿Se os ocurre que puede ser?
Muchas gracias de antemano.
|
|
« Última modificación: 5 Marzo 2017, 11:42 am por MariaDG »
|
En línea
|
|
|
|
Slava_TZD
Wiki
Desconectado
Mensajes: 1.466
♪ [8675309] ♪
|
Esos mensajes son normales, lo que quiera que esté pasando no tiene nada que ver con esos logs.
|
|
« Última modificación: 3 Diciembre 2016, 20:29 pm por Slava_TZD »
|
En línea
|
The fact is, even if you were to stop bombing us, imprisoning us, torturing us, vilifying us, and usurping our lands, we would continue to hate you because our primary reason for hating you will not cease to exist until you embrace Islam.
|
|
|
MariaDG
Desconectado
Mensajes: 6
|
Muchas gracias por tu respuesta, Slava_TZD.
A las 5.00 de la mañana tengo este mensaje en el visor de eventos pero mi ordenador estaba apagado. ¿Es normal? Lo de que ponga "suplantación" da mal rollo. Y lo de "sesión remota" también.
Se inició sesión correctamente en una cuenta.
Firmante: Id. de seguridad: SYSTEM Nombre de cuenta: DESKTOP-86FUD2L$ Dominio de cuenta: WORKGROUP Id. de inicio de sesión: 0x3E7
Información de inicio de sesión: Tipo de inicio de sesión: 5 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí
Nivel de suplantación: Suplantación
Nuevo inicio de sesión: Id. de seguridad: SYSTEM Nombre de cuenta: SYSTEM Dominio de cuenta: NT AUTHORITY Id. de inicio de sesión: 0x3E7 Inicio de sesión vinculado: 0x0 Nombre de cuenta de red: - Dominio de cuenta de red: - GUID de inicio de sesión: {00000000-0000-0000-0000-000000000000}
Información de proceso: Id. de proceso: 0x344 Nombre de proceso: C:\Windows\System32\services.exe
Información de red: Nombre de estación de trabajo: Dirección de red de origen: - Puerto de origen: -
Información de autenticación detallada: Proceso de inicio de sesión: Advapi Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0
Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso.
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe.
El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red).
Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión.
Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos.
El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar.
Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión.
|
|
« Última modificación: 5 Marzo 2017, 11:42 am por MariaDG »
|
En línea
|
|
|
|
El_Andaluz
Desconectado
Mensajes: 4.179
|
MariaDGTengo un ordenador de sobremesa, Windows 10. No tengo mucha idea de temas de seguridad informática, por eso acudo a vosotros. Pensaba que formatear el ordenador resolvería el problema pero veo que no. Eso no era la solución mal hecho sin saber que puede ser a no ser que fuera algo muy grave sería la ultima opción de todas por lo menos para mi. MariaDGHola a todos. Me llamo María. Es la primera vez que escribo aquí. Empiezo a estar desesperada. No sé si podríais ayudarme, por favor. Esta semana descubrí que alguien se había metido en mis cuentas de Facebook, Gmail, Hotmail y WhatsApp Web a las 4 de la mañana mientras yo dormía (por eso me di cuenta). Luego dices que alguien ha entrado en tus cuentas y supuestamente te la han "hackeado" te hago una pregunta ese Ordenador que tienes de sobremesa lo utilizas tu nada mas o lo utiliza mas gente en tu casa ? Puede ser que te hayan infectado el ordenador con algún virus o que alguien físicamente haya cogido tu Ordenador de sobremesa y haya podido acceder algunas de tus cuentas. Mi consejo es que cambies todas las contraseñas de esas cuentas, es decir no ponga la misma contraseñas en todas tus cuentas de Redes sociales por el motivo de que si accede a una de esas cuentas puede acceder a las demás utilizando las misma contraseñas entonces por las que sean difíciles. No te metas en paginas raras donde te pidan tu cuenta y tu contraseñas a no ser que sea segura la pagina.
|
|
« Última modificación: 5 Diciembre 2016, 05:12 am por El_Andaluz »
|
En línea
|
|
|
|
MariaDG
Desconectado
Mensajes: 6
|
Muchas gracias por tu respuesta, El_Andaluz. Pensé que formatear lo arreglaría, qué malo es no saber de estas cosas.
Lo primero que pensé fue que alguien de mi familia se había metido en mis cuentas, pero me aseguré y no lo han hecho.
A pesar de tener el ordenador apagado y sin conexión a Internet, me siguen saliendo mensajes como este:
Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuenta.
Firmante: Id. de seguridad: DESKTOP-86FUD2L\Mariola Nombre de la cuenta: Mariola Dominio de la cuenta: DESKTOP-86FUD2L Id. de inicio de sesión: 0xD389A
Información adicional: Estación de trabajo del llamador: WIN-C5NREP2TJ3S Nombre de la cuenta de destino: Administrador Dominio de la cuenta de destino: DESKTOP-86FUD2L
He cambiado las contraseñas, aunque sigo pensando que pueden estar dentro del ordenador, no sé cómo.
Muchas gracias
|
|
|
En línea
|
|
|
|
Slava_TZD
Wiki
Desconectado
Mensajes: 1.466
♪ [8675309] ♪
|
Te vuelvo a repetir lo mismo, esos mensajes son normales. Si no tienes ni p* idea, no mires los logs y si lo haces no saques conclusiones por tu cuenta. Este último evento que pones, se dispara cuando intentas loguear (entre otras cosas), se hace una consulta para saber si el usuario, en este caso mariola tiene contraseña o no. Los anteriores son de servicios logueando y haciendo lo que quiera que estén programados para hacer...
|
|
|
En línea
|
The fact is, even if you were to stop bombing us, imprisoning us, torturing us, vilifying us, and usurping our lands, we would continue to hate you because our primary reason for hating you will not cease to exist until you embrace Islam.
|
|
|
MariaDG
Desconectado
Mensajes: 6
|
Hola de nuevo, sé que no tengo ni idea de estas cosas, por eso pregunto aquí y agradezco a los que me contestáis.
Alguien se ha metido en mi cuenta de Twitter (me ha saltado un aviso a mi correo) y también en mi Whatsapp Web. Han asignado privilegios y nombres de usuarios. Esto es lo que pone en los logs:
Esto es del 4 de marzo, sin yo haber encendido el ordenador en ningún momento:
Se enumeró la pertenencia a grupos locales con seguridad habilitada.
Grupo: Id. de seguridad: BUILTIN\Administradores Nombre de grupo: Administradores Dominio de grupo: Builtin
Información de proceso: Id. de proceso: 0x730 Nombre de proceso: C:\Windows\System32\VSSVC.exe
Se enumeró la pertenencia a grupos locales con seguridad habilitada.
Grupo: Id. de seguridad: BUILTIN\Administradores Nombre de grupo: Administradores Dominio de grupo: Builtin
Información de proceso: Id. de proceso: 0x1de8 Nombre de proceso: C:\Windows\System32\SrTasks.exe
Y esto es de esta mañana, dos horas antes de haber encendido el ordenador:
Se enumeró la pertenencia a grupos locales con seguridad habilitada.
Grupo: Id. de seguridad: BUILTIN\Administradores Nombre de grupo: Administradores Dominio de grupo: Builtin
Información de proceso: Id. de proceso: 0x410 Nombre de proceso: C:\Windows\System32\svchost.exe
Se intentó iniciar sesión con credenciales explícitas.
Servidor de destino: Nombre de servidor de destino: localhost Información adicional: localhost
Información de proceso: Id. de proceso: 0x410 Nombre de proceso: C:\Windows\System32\svchost.exe
Información de red: Dirección de red: 127.0.0.1 Puerto: 0
Este evento se genera cuando un proceso intenta iniciar sesión en una cuenta especificando explícitamente las credenciales de la cuenta. Suele producirse en configuraciones de tipo de lote como tareas programadas, o cuando se usa el comando RUNAS.
Se inició sesión correctamente en una cuenta.
Información de inicio de sesión: Tipo de inicio de sesión: 2 Modo de administrador restringido: - Cuenta virtual: No Token elevado: Sí
Nivel de suplantación: Suplantación
Información de proceso: Id. de proceso: 0x410 Nombre de proceso: C:\Windows\System32\svchost.exe
Información de red: Nombre de estación de trabajo: DESKTOP-86FUD2L Dirección de red de origen: 127.0.0.1 Puerto de origen: 0
Información de autenticación detallada: Proceso de inicio de sesión: User32 Paquete de autenticación: Negotiate Servicios transitados: - Nombre de paquete (solo NTLM): - Longitud de clave: 0
Este evento se genera cuando se crea una sesión de inicio. Lo genera el equipo al que se tuvo acceso.
Los campos de firmante indican la cuenta del sistema local que solicitó el inicio de sesión. Suele ser un servicio como el servicio de servidor o un proceso local como Winlogon.exe o Services.exe.
El campo Tipo de inicio de sesión indica la clase de inicio de sesión que se realizó. Los tipos más comunes son 2 (interactivo) y 3 (red).
Los campos Nuevo inicio de sesión indican la cuenta para la que se creó el nuevo inicio de sesión, es decir, aquella en la que se inició la sesión.
Los campos de red indican dónde se originó una solicitud de inicio de sesión remota. Nombre de estación de trabajo no está siempre disponible y se puede dejar en blanco en algunos casos.
El campo de nivel de suplantación indica en qué medida un proceso en la sesión de inicio de sesión puede suplantar.
Los campos de información de autenticación proporcionan información detallada sobre esta solicitud de inicio de sesión específica. - GUID de inicio de sesión es un identificador único que se puede usar para correlacionar este evento con un evento KDC. - Servicios transitados indica los servicios intermedios que participaron en esta solicitud de inicio de sesión. - Nombre de paquete indica el subprotocolo que se usó entre los protocolos NTLM. - Longitud de clave indica la longitud de la clave de sesión generada. Será 0 si no se solicitó una clave de sesión.
Se asignaron privilegios especiales a un nuevo inicio de sesión.
Privilegios: SeSecurityPrivilege SeTakeOwnershipPrivilege SeLoadDriverPrivilege SeBackupPrivilege SeRestorePrivilege SeDebugPrivilege SeSystemEnvironmentPrivilege SeImpersonatePrivilege SeDelegateSessionUserImpersonatePrivilege
Por lo poco o nada que sé, he leído "suplantación", "impersonateprivilege", "svchost.exe" (que leí hace un tiempo que podía ser malicioso haciéndose pasar por algo de Windows) y "se intentó iniciar con credenciales explícitas".
Por favor, si alguien me puede decir si esto tiene que ver con hackear o no, se lo agradecería muchísimo. Sobre todo, de verdad, recalco que me han saltado dos avisos: que alguien se había metido en mi Twitter desde Thousand Oaks, CA (eso ponía en la IP) y ayer me llegó un mensaje de que alguien se había conectado a mi Whatsapp Web (yo no había sido).
Gracias de antemano.
|
|
« Última modificación: 5 Marzo 2017, 11:41 am por MariaDG »
|
En línea
|
|
|
|
MariaDG
Desconectado
Mensajes: 6
|
Muchas gracias por tu respuesta, El_Andaluz. Pensé que formatear lo arreglaría, qué malo es no saber de estas cosas.
Lo primero que pensé fue que alguien de mi familia se había metido en mis cuentas, pero me aseguré y no lo han hecho.
A pesar de tener el ordenador apagado y sin conexión a Internet, me siguen saliendo mensajes como este:
Se ha realizado un intento de consultar la existencia de una contraseña en blanco para una cuenta.
Firmante: Información adicional: Estación de trabajo del llamador: WIN-C5NREP2TJ3S Nombre de la cuenta de destino: Administrador Dominio de la cuenta de destino: DESKTOP-86FUD2L
He cambiado las contraseñas, aunque sigo pensando que pueden estar dentro del ordenador, no sé cómo.
Muchas gracias
|
|
|
En línea
|
|
|
|
fenirk
Desconectado
Mensajes: 2
|
buenas tardes, primero te hago una consulta por lo que vi usas windows verdad? que windows usas? primero fijate si no tenes algun troyano, cosa que descarto si ya formateaste la maquina, (podes chequear manualmente si tenes alguna conexion que no deberia estar; haciendo un netstat -abno y chequeas con el task manager el pid del proceso) segundo fijate si tu router presuponiendo que tenes una conexion wifi tuvo alguna conexion no deseada, primero q tenga contraseña y que la misma sea WPA2-AES (si tenes un servidor radius y podes poner WPA2-enterprise mucho mejor, acto seguido cambia la pass (alfa numerica con caracteres especiales con una longitud considerable) pone un access-list para las direcciones mac que deberian conectarse al equipo Y finalmente en tu equipo ejecutas secpol.msc vas a directivas locales, asignacion de derechos de usuario y ahi modificas los parametros: permitir inicio de sesion a traves de servicios de escritorio remoto, tambien podes ya que estas modificar otras politicas de seguridad
|
|
|
En línea
|
|
|
|
Randomize
|
Esta semana descubrí que alguien se había metido en mis cuentas de Facebook, Gmail, Hotmail y WhatsApp Web a las 4 de la mañana mientras yo dormía (por eso me di cuenta).
Yo tengo un sueño requeteligero, ahora que apenas me entero de ná Suertuda. Cambia passwords Un saludo.
|
|
|
En línea
|
|
|
|
|
|