 Autor
|
Tema: Problema de hackeo (Leído 6,044 veces)
|
Argui
 Desconectado
Mensajes: 4
|
Buenas:
Tengo la mala sensación de que me han pirateado el pc y que han mandado correos desde él. La preguna es que si esto es posible (he pasado el antivirus y nada, el superantispyware y nada y el spyboot y nada), lo formateé en su día...pero me sigue dando malas sensaciones.
Además de esto, no se si se podrá clonar la ip del pc para usarla y ligarla a un e-mail....como averiguar esto?
Agradecido por la ayuda, un saludo.
|
|
|
|
« Última modificación: 5 Agosto 2010, 10:53 am por Argui »
|
En línea
|
|
|
|
winroot
Desconectado
Mensajes: 589
#include<winroot.h>
|
envía un log de hijackthis, y un log de tcp view.
si, se llama ip spoofing.
saludos
|
|
|
|
|
En línea
|
|
|
|
[L]ord [R]NA
Desconectado
Mensajes: 1.513
El Dictador y Verdugo de H-Sec
|
Como es eso de que te han pirateado el pc? esperamos el log de hijackthis y un log de TCPView.  Winroot vas aprendiendo rapido... |
|
|
|
|
En línea
|
|
|
|
Argui
Desconectado
Mensajes: 4
|
Ok, en cuanto tenga eso lo cuelgo y a ver que tal.
Muchas Gracias por todo.
Ok, esto es lo que me sale: hijackthis
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 8:38:34, on 07/08/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe
C:\Archivos de programa\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Documents and Settings\Crom!!!\Mis documentos\Descargas\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Archivos de programa\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=032610 serial=DR12WEX-1504397-KTY lang=EN
O4 - HKLM\..\Run: [C-Media Speaker Configuration] C:\PROGRA~1\C-Media\WIN_ME\Setup.exe /SPEAKER
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio Google Update (gupdate) (gupdate) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 5984 bytes
y con el tcpview:
[System Process] 0 TCP tu-165d5dde0680 1080 localhost 1079 TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 1089 wy-in-f99.1e100.net http TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 1093 wy-in-f99.1e100.net http TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 1087 mozilla3.snt.utwente.nl http TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 1090 localhost 30606 TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 1086 localhost 30606 TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 1094 localhost 30606 TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 1095 209.85.227.138 http TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 1091 wy-in-f99.1e100.net http TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 30606 localhost 1083 TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 1088 localhost 30606 TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 1092 localhost 30606 TIME_WAIT
alg.exe 456 TCP tu-165d5dde0680 1026 tu-165d5dde0680 0 LISTENING
ekrn.exe 1716 TCP tu-165d5dde0680 30606 tu-165d5dde0680 0 LISTENING
jqs.exe 1776 TCP tu-165d5dde0680 5152 localhost 1085 CLOSE_WAIT
jqs.exe 1776 TCP tu-165d5dde0680 5152 tu-165d5dde0680 0 LISTENING
lsass.exe 736 UDP tu-165d5dde0680 isakmp * *
lsass.exe 736 UDP tu-165d5dde0680 4500 * *
svchost.exe 948 TCP tu-165d5dde0680 epmap tu-165d5dde0680 0 LISTENING
svchost.exe 1088 UDP tu-165d5dde0680 1031 * *
svchost.exe 1088 UDP tu-165d5dde0680 1032 * *
svchost.exe 1040 UDP tu-165d5dde0680 ntp * *
svchost.exe 1040 UDP tu-165d5dde0680 ntp * *
svchost.exe 1152 UDP tu-165d5dde0680 1900 * *
svchost.exe 1152 UDP tu-165d5dde0680 1900 * *
svchost.exe 1088 UDP tu-165d5dde0680 1054 * *
System 4 TCP tu-165d5dde0680 microsoft-ds tu-165d5dde0680 0 LISTENING
System 4 TCP tu-165d5dde0680 netbios-ssn tu-165d5dde0680 0 LISTENING
System 4 UDP tu-165d5dde0680 netbios-ns * *
System 4 UDP tu-165d5dde0680 netbios-dgm * *
System 4 UDP tu-165d5dde0680 microsoft-ds * *
Espero haberlo hecho bien porque como comenté antes, poca idea tengo.
Gracias.
|
|
|
|
« Última modificación: 7 Agosto 2010, 08:57 am por Argui »
|
En línea
|
|
|
|
Novlucker
Ninja y
Colaborador
Desconectado
Mensajes: 10.683
Yo que tu lo pienso dos veces
|
Los logs estan limpios, ¿a que se debe esa "mala sensación" que tienes?  Saludos |
|
|
|
|
En línea
|
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro." Albert Einstein |
|
|
Argui
Desconectado
Mensajes: 4
|
Pues no sé, me va super despacio, muy a menudo se queda "pillao" y de repente empiezan a salir ventanas de todos los lados, tengo un problema con unos correos que no sé de donda han salido....no se, cosas raras.
De todas formas me quedo mas tranquilo, porque llegaba al punto de cada vez que me salía de internet apagar el router y desconectar el cable y todo, supongo que me emparanoíé sobremanera.
Aun con todo, de que manera podría saber si me han hackeado, es decir, hay algún botoncito para averiguarlo o parecido?
Gracias por todo
|
|
|
|
|
En línea
|
|
|
|
APOKLIPTICO
Desconectado
Mensajes: 3.871
Toys in the attic.
|
Mmh, yo digo, tenés todo actualizado? Osea, todos los parches aplicados? Hacete un windows update x las dudas.
Tenés un anti virus? Firewall?
|
|
|
|
|
En línea
|
AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
|
|
|
Silici0
Desconectado
Mensajes: 217
Insider
|
APOKLIPTICO, Si lees el log veras que tiene el NOD32 de antivirus y ademas el spybot. No parece que tenga firewall a parte del de windows.
Argui, En algunos correos (como gmail) puedes ver las ultimas direcciones ip desde los que has visitado el webmail. En las cabeceras de los correos también sale la ip. Puedes contrastar a ver si derrepente te sale una ip de otro país que no es el tuyo.
|
|
|
|
|
En línea
|
"Lo que posees acabará poseyéndote."
.
..:
|
|
|
skapunky
Electronik Engineer &
Colaborador
Desconectado
Mensajes: 3.667
www.killtrojan.net
|
El tema de los correos a tu nombre no tiene porque ser problema de tu ordenador, hay muchos tipos de malware/spam capaçes de generar direcciónes falsas y enviar correos.
Por otra parte, si el ordenador te va lento puede darse muchas causas, no siempre tiene que ser problema de malware. Ultimamente he visto en compañeros mios ordenadores con la capacidad de disco rozando el límite y muchos pensando que se podía tratar de cualquier tipo de malware.
Errores para que un disco funcione lento puede deberse a muchos, por ejemplo discos con bastante tiempo o mala calidad donde los cabezales se fastidian, discos con la capacidad casi llena a base de juegos,peliculas o porqueria...
No siempre tiene que ser malware, revisa la capacidad de tu disco duro y podrías utilizar un programa por ejemplo para desfragmentar el disco haber si mejora un poco esa velocidad.
|
|
|
|
|
En línea
|
Killtrojan Syslog v1.44: ENTRAR
|
|
|
APOKLIPTICO
Desconectado
Mensajes: 3.871
Toys in the attic.
|
APOKLIPTICO, Si lees el log veras que tiene el NOD32 de antivirus y ademas el spybot. No parece que tenga firewall a parte del de windows.
Argui, En algunos correos (como gmail) puedes ver las ultimas direcciones ip desde los que has visitado el webmail. En las cabeceras de los correos también sale la ip. Puedes contrastar a ver si derrepente te sale una ip de otro país que no es el tuyo.
Aún así, si no tiene firewall y no tiene los parches, puede tener todo los anti virus que quiera, pero se le va a infectar igual... Todavía hay máquinas sin el parche ms03-26 y ms04-11 (sasser y blaster).
|
|
|
|
|
En línea
|
AMD Phenom II 1075T X6 @ 290 Mhz x 11 (HT 2036 Mhz NB Link 2616 Mhz) 1.23 Vcore
ASUS M4A89GTD-PRO/USB3
2x2gb G-Skill RipjawsX DDR3 1600 Mhz CL7 (7-8-7-24-25-1T)
Seagate 500 Gb
XFX HD4850 512Mb GDDR3. 650 Mhz/995 Mhz 1.1 Tflops.
|
|
|
|
 |
