Creo que me han hackeado.

Iniciado por P.AGCD, 13 Agosto 2010, 14:53 PM

0 Miembros y 1 Visitante están viendo este tema.

P.AGCD

Os comento el problema. Hace un par de meses jugaba a un juego online el WoW y lo deje. Total que cuando ya lo habia dejado me llamo Blizzard diciendome que me habian hackeado la cuenta y que probablemente tendria un troyano me dijeron de bajarme varios programas tipo spy y destroy, le pase el antimalware y el nod32 que tenia pero ahora ya esta caducado. Encontre varias cosas y las borre pero bueno lo raro esta que desde mi email que era hotmail emperazon a llegar como mensajes de estos:

Delivery Status Notification (Failure)‏

8/10/2010
Actions ▼
 postmaster​@mail.hotma​il.com
Add to contacts
To miemail@hotmail.com
This is an automatically generated Delivery Status Notification.

Delivery to the following recipients failed.

3liGnid3fUdtitm@Yahoo.com





--Forwarded Message Attachment--
From: noreply@blizzard.com
To: 3liGnid3fUdtitm@Yahoo.com
Subject: Cataclysm Beta Opt-In
Date: Tue, 10 Aug 2010 13:17:02 +0800

debajo hay un email supongo que falso enviado a otras personas unvitandolas a la beta del nuevo wow.

aqui os dejo lo que me viene en el hijackthis:



Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:51:20, on 13/08/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17080)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
D:\iTunes\iTunesHelper.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe
C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSUNMain.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
D:\ARCHIVOS Y PROGRAMAS\TomTom HOME 2\TomTomHOMERunner.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSANHost.exe
c:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\svchost.exe
D:\ARCHIVOS Y PROGRAMAS\TomTom HOME 2\TomTomHOMEService.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
D:\ARCHIVOS Y PROGRAMAS\spotify.exe
C:\Archivos de programa\Google\Chrome\Application\chrome.exe
C:\Archivos de programa\Google\Chrome\Application\chrome.exe
C:\Archivos de programa\Google\Chrome\Application\chrome.exe
C:\Archivos de programa\Google\Chrome\Application\chrome.exe
C:\Archivos de programa\Google\Chrome\Application\chrome.exe
C:\Archivos de programa\Google\Chrome\Application\chrome.exe
C:\Archivos de programa\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Administrador\Escritorio\TcpView (1)\Tcpview.exe
D:\ARCHIVOS Y PROGRAMAS\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.netscape.com/home/winsearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tuenti.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://home.netscape.com/home/winsearch.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://home.netscape.com/home/winsearch200.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.netscape.com/home/winsearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.netscape.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=76340&PartnerID=103&LegitCheckError=10
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.5.5126.1836\swg.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Archivos de programa\Google\Quick Search Box\GoogleQuickSearchBox.exe"  /autorun
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [RealTray] C:\Archivos de programa\Real Alternative\mpclauncher.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [nwiz] C:\Archivos de programa\NVIDIA Corporation\nView\nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime Alternative\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [PSUNMain] "C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSUNMain.exe" /Traybar
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [TomTomHOME.exe] "D:\ARCHIVOS Y PROGRAMAS\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: Google Sidewiki... - res://c:\Archivos de programa\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html
O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: Dragon Age: Origins - Programa de actualización de contenido (DAUpdaterSvc) - BioWare - D:\JUEGOS\Dragon Age\bin_ship\DAUpdaterSvc.Service.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio Google Update (gupdate1c9e2ca2d446ce0) (gupdate1c9e2ca2d446ce0) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Panda Cloud Antivirus Service (NanoServiceMain) - Panda Security, S.L. - C:\Archivos de programa\Panda Security\Panda Cloud Antivirus\PSANHost.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: TomTomHOMEService - TomTom - D:\ARCHIVOS Y PROGRAMAS\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe

--
End of file - 11162 bytes


y en el TCPView:

[System Process]   0   TCP   colossus.local.lan   3276   foro.elhacker.net:http   http   TIME_WAIT                              
[System Process]   0   TCP   colossus   3275   localhost:30606   30606   TIME_WAIT                              
[System Process]   0   TCP   colossus   3277   localhost:30606   30606   TIME_WAIT                              
[System Process]   0   TCP   colossus   3279   localhost:30606   30606   TIME_WAIT                              
[System Process]   0   TCP   colossus.local.lan   3278   foro.elhacker.net:http   http   TIME_WAIT                              
[System Process]   0   TCP   colossus.local.lan   3280   foro.elhacker.net:http   http   TIME_WAIT                              
[System Process]   0   TCP   colossus   30606   localhost:3297   3297   TIME_WAIT                              
[System Process]   0   TCP   colossus   30606   localhost:3283   3283   TIME_WAIT                              
[System Process]   0   TCP   colossus   30606   localhost:3281   3281   TIME_WAIT                              
[System Process]   0   TCP   colossus.local.lan   3302   foro.elhacker.net:http   http   TIME_WAIT                              
[System Process]   0   TCP   colossus   30606   localhost   3285   TIME_WAIT                              
[System Process]   0   TCP   colossus   30606   localhost:3291   3291   TIME_WAIT                              
[System Process]   0   TCP   colossus   30606   localhost:3295   3295   TIME_WAIT                              
[System Process]   0   TCP   colossus   30606   localhost:3320   3320   TIME_WAIT                              
[System Process]   0   TCP   colossus   30606   localhost:3323   3323   TIME_WAIT                              
[System Process]   0   TCP   colossus   30606   localhost:3319   3319   TIME_WAIT                              
[System Process]   0   TCP   colossus   30606   localhost:3303   3303   TIME_WAIT                              
[System Process]   0   TCP   colossus   30606   localhost:3304   3304   TIME_WAIT                              
[System Process]   0   TCP   colossus   30606   localhost:3307   3307   TIME_WAIT                              
[System Process]   0   TCP   colossus   30606   localhost:3292   3292   TIME_WAIT                              
[System Process]   0   TCP   colossus   30606   localhost:3308   3308   TIME_WAIT                              
alg.exe   2916   TCP   colossus   1056   colossus   0   LISTENING                              
AppleMobileDeviceService.exe   1444   TCP   colossus   27015   localhost   1029   ESTABLISHED                              
AppleMobileDeviceService.exe   1444   TCP   colossus   27015   colossus   0   LISTENING                              
chrome.exe   3220   TCP   colossus   3261   localhost   30606   ESTABLISHED                              
chrome.exe   3220   TCP   colossus   2989   localhost   30606   ESTABLISHED                              
chrome.exe   3220   TCP   colossus   3263   localhost   30606   ESTABLISHED                              
chrome.exe   3220   TCP   colossus   3267   localhost   30606   ESTABLISHED                              
chrome.exe   3220   TCP   colossus   2995   localhost   30606   ESTABLISHED                              
chrome.exe   3220   TCP   colossus   3269   localhost   30606   ESTABLISHED                              
chrome.exe   3220   TCP   colossus   3257   localhost   30606   ESTABLISHED                              
chrome.exe   3220   TCP   colossus   3259   localhost   30606   ESTABLISHED                              
chrome.exe   3220   TCP   colossus   3287   localhost   30606   ESTABLISHED                              
chrome.exe   3220   TCP   colossus   3289   localhost   30606   ESTABLISHED                              
ekrn.exe   1152   TCP   colossus   30606   localhost:3292   3292   ESTABLISHED                              
ekrn.exe   1152   TCP   colossus   30606   localhost:3289   3289   ESTABLISHED                              
ekrn.exe   1152   TCP   colossus   30606   localhost   2989   ESTABLISHED                              
ekrn.exe   1152   TCP   colossus   30606   localhost   3261   ESTABLISHED                              
ekrn.exe   1152   TCP   colossus   30606   localhost   3263   ESTABLISHED                              
ekrn.exe   1152   TCP   colossus.local.lan   3270   213.199.186.203   http   ESTABLISHED                              
ekrn.exe   1152   TCP   colossus.local.lan   2990   mad01s03-in-f83.1e100.net   https   ESTABLISHED                              
ekrn.exe   1152   TCP   colossus   30606   localhost   3267   ESTABLISHED                              
ekrn.exe   1152   TCP   colossus   30606   localhost   2995   ESTABLISHED                              
ekrn.exe   1152   TCP   colossus.local.lan   3258   194.224.66.11   http   ESTABLISHED                              
ekrn.exe   1152   TCP   colossus.local.lan   3260   194.224.66.11   http   ESTABLISHED                              
ekrn.exe   1152   TCP   colossus.local.lan   3264   213.199.186.202   http   ESTABLISHED                              
ekrn.exe   1152   TCP   colossus.local.lan   2996   mad01s03-in-f83.1e100.net   https   ESTABLISHED                              
ekrn.exe   1152   TCP   colossus.local.lan   3262   65.55.149.124   http   ESTABLISHED                              
ekrn.exe   1152   TCP   colossus.local.lan   3268   a92-123-78-41.deploy.akamaitechnologies.com   http   ESTABLISHED                              
ekrn.exe   1152   TCP   colossus   30606   colossus   0   LISTENING                              
ekrn.exe   1152   TCP   colossus   30606   colossus   0   LISTENING                              
ekrn.exe   1152   TCP   colossus   30606   colossus   0   LISTENING                              
ekrn.exe   1152   TCP   colossus.local.lan   3290   wy-in-f138.1e100.net   http   ESTABLISHED                              
ekrn.exe   1152   TCP   colossus.local.lan   3288   66.249.92.164   http   ESTABLISHED                              
ekrn.exe   1152   TCP   colossus   30606   localhost:3259   3259   ESTABLISHED                              
ekrn.exe   1152   TCP   colossus   30606   colossus   0   LISTENING                              
ekrn.exe   1152   TCP   colossus   30606   colossus   0   LISTENING                              
ekrn.exe   1152   TCP   colossus   30606   colossus   0   LISTENING                              
ekrn.exe   1152   TCP   colossus   30606   colossus   0   LISTENING                              
iTunesHelper.exe   728   TCP   colossus   1029   localhost   27015   ESTABLISHED                              
lsass.exe   956   UDP   colossus   isakmp   *   *                                 
lsass.exe   956   UDP   colossus   4500   *   *                                 
mDNSResponder.exe   1472   TCP   colossus   5354   colossus   0   LISTENING                              
mDNSResponder.exe   1472   UDP   colossus   1028   *   *                                 
mDNSResponder.exe   1472   UDP   colossus   63322   *   *                                 
mDNSResponder.exe   1472   UDP   colossus.local.lan   5353   *   *                                 
spotify.exe   3364   TCP   colossus.local.lan   2817   georgia.lon.spotify.com   https   ESTABLISHED                              
spotify.exe   3364   TCP   colossus   16305   colossus   0   LISTENING                              
spotify.exe   3364   UDP   colossus.local.lan   21328   *   *                                 
spotify.exe   3364   UDP   colossus   1219   *   *                                 
spotify.exe   3364   UDP   colossus.local.lan   1900   *   *                                 
svchost.exe   1268   TCP   colossus   epmap   colossus   0   LISTENING                              
svchost.exe   1364   UDP   colossus   ntp   *   *                                 
svchost.exe   1364   UDP   colossus.local.lan   ntp   *   *                                 
svchost.exe   4044   UDP   colossus   1900   *   *                                 
svchost.exe   4044   UDP   colossus.local.lan   1900   *   *                                 
System   4   TCP   colossus   microsoft-ds   colossus   0   LISTENING                              
System   4   TCP   colossus.local.lan   netbios-ssn   colossus   0   LISTENING                              
System   4   UDP   colossus.local.lan   netbios-ns   *   *                                 
System   4   UDP   colossus.local.lan   netbios-dgm   *   *                                 
System   4   UDP   colossus   microsoft-ds   *   *                                 

gracias por su ayuda.






el antimalware me encontro estos dos archivos infectados:



Malwarebytes' Anti-Malware 1.44
Versión de la Base de Datos: 3537
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

13/08/2010 15:14:00
mbam-log-2010-08-13 (15-14-00).txt

Tipo de examen : Examen Rápido
Objetos examinados: 104393
Tiempo transcurrido: 4 minute(s), 25 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 2
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe (Security.Hijack) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe (Security.Hijack) -> Delete on reboot.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)

Novlucker

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

P.AGCD

ok ahora lo hago. En el tcpview me aparecen como algunos enlaces en rojo otros amarillos y otros verdes que se encienden y se apagan y van apareciendo y desapareciendo es normal?

Novlucker

#3
Sobre el registro del anti-malware que has agregado, no tengo el ESET para fijarme si son normales (dudo) pero esas dos claves son muy pero muy sospechosas, abrelas desde el registro (regedit.exe) y fijate si el nombre es Debugger, y de ser así apunta el valor al que hace referencia (un ejecutable)

Sobre lo del tcpview, por lo general es normal, son las conexiones que se agregan o eliminan en el momento, pero podría no serlo.

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

P.AGCD

cuando los intente abrir desde el regedit.exe el nombre no es debugger es un incono que pone ab (predeterminado) tipo:REG_SZ y sin datos.

Aqui te dejo el link del log de sysinspector subido a megaupload:
http://www.megaupload.com/?d=DK0VL8KP

muchas gracias.

Novlucker

#5
Lo he revisado y no veo nada raro, puede que simplemente seas víctima de Mail Spoofing.
Lo que me queda es recomendarte instalar un firewall, y trabajar con una cuenta de usuario sin privilegios, no la de admin :rolleyes:, y no se si tendría al Panda Cloud y el NOD32 ejecutandose en paralelo, por lo general no es conveniente tener dos AV residentes juntos.

Y como comento siempre, si sigues con dudas puedes probar con alguno de estos
http://foro.elhacker.net/software/cds_autoarrancables_para_casos_de_emergencia-t204137.0.html

Saludos
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

P.AGCD

Ok muchas gracias. Y como puedo evitar el mail spoodfing? borro la cuenta de mail que tenia  y me creo otra?

Fitoschido

Sólo cambia tu contraseña y ya!
El que sabe hace, el que no enseña


Miembro oficial del proyecto Ubuntu, traductor de LibreOffice/Ubuntu/Xfce/Gnome.

Lunfardo

cuanta hagas un scan trata de cerrar todo , asi es mas claro para los que lo leen ^ ^