Ayuda por favor

Iniciado por manuzinho, 17 Noviembre 2010, 21:43 PM

0 Miembros y 2 Visitantes están viendo este tema.

manuzinho

Se que la mayoria no les va a prestar atención , pero yo no tengo idea de como es el tema hacking , ni nada por el estilo , como estuve leyendo vi que elhacker.net no es con fines malisiosos , por eso mi pregunta:
Me robaron un msn viejo que tenia , cuando me conecto desde el nuevo y veo al viejo conectado , le pregunto ¿Quien eres? me dice , primero decime hola noseque y le dije, no uso mas ese correo, asi que usalo y me dice , tene cuidado que tengo la pass de ese tambien , no le preste atención , al rato, me aparece una ventana de msg* que dice Hello World , y al rato un cartel que me dice que en 2 min me apaga la pc.. cada vez que prendia me ponia lo mismo , iva a ejecutar , cmd y escribia shutdown a- y se cancelaba , ahora estaba instalando un firewall mejor y el mouse se me iva solo al cancelar , deje la pc un rato y volvi y estaba abierto el chrome 25 veces en www.petardas.com .. Alguien sabe como sacar de mi sistema a ese hacker? por lo que vi y lo poco que se , me infecto con un bach.. Gracias a el que pueda ayudarme ..

Castiblanco

Pues formateando tu PC, porque te metió un troyano y demora uno más buscando donde esta y asegurándose que quede bien borrado...

manuzinho

Ahora me fui , despues de limpiar un poco el sistema y volvi y tenia 3 cuadros de cmd abiertos , uno que me decia Te dije que te iva a romper todo muchas veces y otros 2 que decian , your system was infected algo asi , muchas veces tmb ..
Algo que me olvidé de aclarar, el hacker me queria cobrar 50 dls para dejar de molestarme.. por supuesto no le pagué .. Si alguien me ayuda le agradezco , estoy descargando un windows y packs de programas para formatiar pero como soy uruguayo demora unos dias..

Axus

@Casti

Mejor eso para lo ultimo cuando no haya nada que se pueda hacer. :P

@manuzinho

Sigue los siguientes pasas para empezar con lo tipico y ver si se solucionar por lo menos parte de tu problema:

Eliminar Spywares, Adwares, Hijackers, Malware, Virus y Rootkits
https://foro.elhacker.net/seguridad/eliminar_spywares_adwares_hijackers_malware_virus_y_rootkits-t95234.0.html

Si sigue dandote problemas peganos aca un log de Hijackthis.

Un saludo ;)

manuzinho

Axus, te agradezco la respuesta , si podes decirme como pego el log del Hijackthis , ahora me voy a un parcial de historia en 3 horas , necesito dormir un poco , mañana cuando vuelva realizo paso por paso el post que me pasastes.. , si podes decirme como posteo el log así cuando vuelva ya lo posteo

Axus

Siguete los primeros pasos del siguiente post:

¿Cómo leer un log de Hijackthis?. Y corregir posibles problemas
https://foro.elhacker.net/seguridad/iquestcomo_leer_un_log_de_hijackthis_y_corregir_posibles_problemas-t188566.0.html

Cuando termines el analizes le das a la opcion "Save log" o "Guardar log", se guarda en un archivo y el contenido completo de ese archivo lo pegas en este post.

Un saludo ;)

manuzinho

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:12:14, on 18/11/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 SP3 (7.00.6000.17091)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\cFosSpeed\spd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\RDPSSW32.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\BeTwin\BeTwinAssistant.exe
C:\Archivos de programa\BeTwin\BeTwinMessages.exe
C:\Archivos de programa\cFosSpeed\cFosSpeed.exe
C:\Documents and Settings\MANU\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\program files\Common Files\system\proxycfg.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Archivos de programa\Ares\Ares.exe
C:\Archivos de programa\Hide IP Platinum\hideippla.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe
C:\Documents and Settings\MANU\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\MANU\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\MANU\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\MANU\Configuración local\Datos de programa\Google\Chrome\Application\chrome.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2722653
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: MessengerPlusLive TB Toolbar - {d8fb4583-db9d-4c7b-85be-294c13a3e5c4} - C:\Archivos de programa\MessengerPlusLive_TB\tbMess.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\2.5\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: MessengerPlusLive TB Toolbar - {d8fb4583-db9d-4c7b-85be-294c13a3e5c4} - C:\Archivos de programa\MessengerPlusLive_TB\tbMess.dll
O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Archivos de programa\Archivos comunes\Symantec Shared\coShared\Browser\2.5\CoIEPlg.dll
O3 - Toolbar: MessengerPlusLive TB Toolbar - {d8fb4583-db9d-4c7b-85be-294c13a3e5c4} - C:\Archivos de programa\MessengerPlusLive_TB\tbMess.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Archivos de programa\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HKLM] C:\WINDOWS\system32\install\svchost.exe
O4 - HKLM\..\Run: [BeTwinAssistant] "C:\Archivos de programa\BeTwin\BeTwinAssistant.exe"
O4 - HKLM\..\Run: [BeTwinMessages] "C:\Archivos de programa\BeTwin\BeTwinMessages.exe"
O4 - HKLM\..\Run: [cFosSpeed] C:\Archivos de programa\cFosSpeed\cFosSpeed.exe
O4 - HKLM\..\Run: [Proxy Config Tool for Windows] C:\program files\Common Files\system\proxycfg.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\MANU\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [HKCU] C:\WINDOWS\system32\install\svchost.exe
O4 - HKCU\..\Run: [Hide IP Platinum] C:\Archivos de programa\Hide IP Platinum\hideippla.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\install\svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\install\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{FB32809C-12F5-488C-956A-6EAA1675173D}: NameServer = 200.40.220.245 200.40.30.245
O20 - Winlogon Notify: wcnotify - C:\WINDOWS\SYSTEM32\wcnotify.dll
O23 - Service: Programador de LiveUpdate automático (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
O23 - Service: cFosSpeed System Service (cFosSpeedS) - cFos Software GmbH - C:\Archivos de programa\cFosSpeed\spd.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\VAScanner\comHost.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: RDPSSW32 - Unknown owner - C:\WINDOWS\System32\RDPSSW32.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Archivos de programa\WinPcap\rpcapd.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: BeTwin Terminal Services (TermService) - ThinSoft Pte Ltd. - C:\WINDOWS\System32\BeTwinServiceXP.exe

--
End of file - 8046 bytes

Axus

Dale fix a las siguientes entradas:

CitarR0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2722653
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\install\svchost.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINDOWS\system32\install\svchost.exe
O23 - Service: RDPSSW32 - Unknown owner - C:\WINDOWS\System32\RDPSSW32.EXE

Ahi un proceso que me parece algo estaraño y es el RDPSSW32.EXE por lo que sera mejor eliminarlo del arranque de windows.

Eliminar archivos del arranque de Windows
http://www.faqoff.org/aprende/seguridad/msconfig-00.htm

Despues de hacer lo mencionado has un scan online con algun antivirus ya sea Panda, Nod32 etc y nos cuentas si te a detectado algun malware.

Un saludo ;)