Consulta keylogger - admn. publica

Iniciado por ykus, 28 Octubre 2011, 15:15 PM

0 Miembros y 3 Visitantes están viendo este tema.

ykus

Buenos dias,

Trabajo en una adm. publica y tengo sospechas de que en mi pc me han instalado un Keylogger, que logicamente no encuentro en adm. de tareas. Mi usuario no es administrador ni local ni de red y no puedo ejecutar nada, hay alguna forma (me lo pide mi abogado) de demostrar que lo tengo instalado? Con algun livecd como backtrack o similar?

Muchas gracias!!!

Pablo Videla

Cita de: ykus en 28 Octubre 2011, 15:15 PM
Buenos dias,

Trabajo en una adm. publica y tengo sospechas de que en mi pc me han instalado un Keylogger, que logicamente no encuentro en adm. de tareas. Mi usuario no es administrador ni local ni de red y no puedo ejecutar nada, hay alguna forma (me lo pide mi abogado) de demostrar que lo tengo instalado? Con algun livecd como backtrack o similar?

Muchas gracias!!!

Bajate algo llamado hijackthis http://www.google.cl/search?gcx=w&sourceid=chrome&ie=UTF-8&q=hijackthis

ejecutalo y pega los datos que te salieron aca, tambien pega un pantallazo de lo que te sale en el msnconfig

para hacer eso debes entrar a ejecutar escribes msnconfig, luego enter
y ver la pestaña inicio, de la aplicacion que se abrio, el pantallazo lo envias aca y analizamos de poco.


ykus

Mi user esta blocado, no tengo permisos para ejecutar nada de nada :(

Os pego los pantallazos a ver si m podeis ayudar.

Mil gracias.

ykus

Alguna idea para instalar el hijackthis sin ser administrador? Muchas gracias!!!

Pablo Videla

Cita de: ykus en 29 Octubre 2011, 16:02 PM
Alguna idea para instalar el hijackthis sin ser administrador? Muchas gracias!!!

Debe haber una version portable, buscalo en google.

elfantasma77

No has probado en crearte un cuenta de adm con el "CMD"? si te la creas, creo que todo lo demas seria mas facil  :D

Pablo Videla

Cita de: elfantasma77 en 31 Octubre 2011, 04:07 AM
No has probado en crearte un cuenta de adm con el "CMD"? si te la creas, creo que todo lo demas seria mas facil  :D

Si no tiene los permisos para ejecutar programas, menos va a tener para crear cuentas.

ykus

Hola!!!

Os pego la información del hijackthis, me aviso que la carpeta system32/drivers/etc/hosts no la podia analizar.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:13:26, on 02/11/2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17103)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Archivos comunes\Java\Java Update\jucheck.exe
C:\Archivos de programa\Outlook Express\msimn.exe
C:\Archivos de programa\Messenger\msmsgs.exe
E:\HiJackThis.exe
C:\WINDOWS\system32\userinit.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Archivos de programa\Outlook Express\msimn.exe"
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\IGUALTAT.AJUNTAMENT\Configuración local\Datos de programa\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Agregar al componente Anti-Banners - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://c:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Estadísticas del componente Antivirus Internet - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\scieplgn.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = AJUNTAMENT.COM
O17 - HKLM\Software\..\Telephony: DomainName = AJUNTAMENT.COM
O17 - HKLM\System\CCS\Services\Tcpip\..\{E39F6BBB-01C3-4D81-947F-2DD3754021E0}: NameServer = 10.0.0.253
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = AJUNTAMENT.COM
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0FO\adialhk.dll,C:\ARCHIV~1\KASPER~1\KASPER~1.0FO\kloehk.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0 for Windows Workstations MP4\avp.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: SupportSoft Sprocket Service (Telefonica) (sprtsvc_Telefonica) - SupportSoft, Inc. - C:\Archivos de programa\Telefonica\bin\sprtsvc.exe
O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Archivos de programa\Archivos comunes\supportsoft\bin\ssrc.exe
O23 - Service: VNC Server (winvnc) - RealVNC Ltd. - C:\Archivos de programa\RealVNC\WinVNC\WinVNC.exe

--

Y la info de msconfig no me la deja ver porque no soy administrador.



Pablo Videla

Por lo que veo tienes programas de administracion remota, por lo tanto te pueden manipular el pc, no se si esta bajo tu consentimiento esos programas como el VNC y support software , pero no vi keyloggers a simple vista, saludos.

el-brujo

No se ve nada, raro.. ¿Qué sospechas o fundamentos tienes para pensar que te han instalado un keylogger? ¿Saben exactamente lo que has escrito? ¿O simplemente es porque saben los e-mails que mandas, por dónde navegas o lo que haces?