Problema de hackeo
Argui:
Buenas:
Tengo la mala sensación de que me han pirateado el pc y que han mandado correos desde él. La preguna es que si esto es posible (he pasado el antivirus y nada, el superantispyware y nada y el spyboot y nada), lo formateé en su día...pero me sigue dando malas sensaciones.
Además de esto, no se si se podrá clonar la ip del pc para usarla y ligarla a un e-mail....como averiguar esto?
Agradecido por la ayuda, un saludo.
winroot:
envía un log de hijackthis, y un log de tcp view.
si, se llama ip spoofing.
saludos
[L]ord [R]NA:
Como es eso de que te han pirateado el pc?
esperamos el log de hijackthis y un log de TCPView.
:xD Winroot vas aprendiendo rapido...
Argui:
Ok, en cuanto tenga eso lo cuelgo y a ver que tal.
Muchas Gracias por todo.
Ok, esto es lo que me sale: hijackthis
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 8:38:34, on 07/08/2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe
C:\Archivos de programa\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Documents and Settings\Crom!!!\Mis documentos\Descargas\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Archivos de programa\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"
O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\EN\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=032610 serial=DR12WEX-1504397-KTY lang=EN
O4 - HKLM\..\Run: [C-Media Speaker Configuration] C:\PROGRA~1\C-Media\WIN_ME\Setup.exe /SPEAKER
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio Google Update (gupdate) (gupdate) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
--
End of file - 5984 bytes
y con el tcpview:
[System Process] 0 TCP tu-165d5dde0680 1080 localhost 1079 TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 1089 wy-in-f99.1e100.net http TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 1093 wy-in-f99.1e100.net http TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 1087 mozilla3.snt.utwente.nl http TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 1090 localhost 30606 TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 1086 localhost 30606 TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 1094 localhost 30606 TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 1095 209.85.227.138 http TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 1091 wy-in-f99.1e100.net http TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 30606 localhost 1083 TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 1088 localhost 30606 TIME_WAIT
[System Process] 0 TCP tu-165d5dde0680 1092 localhost 30606 TIME_WAIT
alg.exe 456 TCP tu-165d5dde0680 1026 tu-165d5dde0680 0 LISTENING
ekrn.exe 1716 TCP tu-165d5dde0680 30606 tu-165d5dde0680 0 LISTENING
jqs.exe 1776 TCP tu-165d5dde0680 5152 localhost 1085 CLOSE_WAIT
jqs.exe 1776 TCP tu-165d5dde0680 5152 tu-165d5dde0680 0 LISTENING
lsass.exe 736 UDP tu-165d5dde0680 isakmp * *
lsass.exe 736 UDP tu-165d5dde0680 4500 * *
svchost.exe 948 TCP tu-165d5dde0680 epmap tu-165d5dde0680 0 LISTENING
svchost.exe 1088 UDP tu-165d5dde0680 1031 * *
svchost.exe 1088 UDP tu-165d5dde0680 1032 * *
svchost.exe 1040 UDP tu-165d5dde0680 ntp * *
svchost.exe 1040 UDP tu-165d5dde0680 ntp * *
svchost.exe 1152 UDP tu-165d5dde0680 1900 * *
svchost.exe 1152 UDP tu-165d5dde0680 1900 * *
svchost.exe 1088 UDP tu-165d5dde0680 1054 * *
System 4 TCP tu-165d5dde0680 microsoft-ds tu-165d5dde0680 0 LISTENING
System 4 TCP tu-165d5dde0680 netbios-ssn tu-165d5dde0680 0 LISTENING
System 4 UDP tu-165d5dde0680 netbios-ns * *
System 4 UDP tu-165d5dde0680 netbios-dgm * *
System 4 UDP tu-165d5dde0680 microsoft-ds * *
Espero haberlo hecho bien porque como comenté antes, poca idea tengo.
Gracias.
Novlucker:
Los logs estan limpios, ¿a que se debe esa "mala sensación" que tienes? :-\
Saludos
Navegación
[#] Página Siguiente