• Lunes 23 de Diciembre de 2024, 04:31

Autor Tema:  Necesito detalles  (Leído 4281 veces)

Ryusaki N

  • Miembro activo
  • **
  • Mensajes: 76
    • Ver Perfil
Necesito detalles
« en: Martes 21 de Abril de 2009, 04:20 »
0
Espero que el moderador de este foro (Edo) lea esto ya que al parecer sabe mucho de este tema. Me gustaria saber exactamente como funciona un sniffer ya que tengo la sospecha de que alguien (En realidad ya se quien) Se valio de mi IP (No dinamica) para monitorear mis conversaciones en msn. Este cliente ya no lo uso hasta lo quite de mi sistema pero quisiera saber como operan estos malware, por cierto sospecho que el sniffer utilizado podria ser el msn sniffer.
C/C++/C#/Java/Python dev. Frontend web developer. ASP.NET && PHP, ASM x86
No tengo vida social y me siento orgulloso!! 1000% Geek.

m0skit0

  • Miembro de PLATA
  • *****
  • Mensajes: 2337
  • Nacionalidad: ma
    • Ver Perfil
    • http://fr33kk0mpu73r.blogspot.com/
Re: Necesito detalles
« Respuesta #1 en: Martes 21 de Abril de 2009, 10:24 »
0
Primero, un sniffer no es un malware.

Los sniffers recogen todo el tráfico de red que pasa por un determinado dominio de colisión. Si de quien sospechas no comparte red local contigo, es prácticamente imposible que te haya espiado, porque no habrá visto tus paquetes ni por asomo. Otra cosa es que en realidad más que un sniffer tenga puesto algún troyano en tu computadora, o algún keylogger. Un formateo te solucionará cualquier problema de éstos.

Salud.

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Re: Necesito detalles
« Respuesta #2 en: Martes 21 de Abril de 2009, 14:13 »
0
Pasate un Panda online o cualquier antivirus online para que te scanee la máquina.
El pasado son solo recuerdos, el futuro son solo sueños

Ryusaki N

  • Miembro activo
  • **
  • Mensajes: 76
    • Ver Perfil
Re: Necesito detalles
« Respuesta #3 en: Martes 21 de Abril de 2009, 17:50 »
0
Bueno, lo primero que me imagine yo fue lo del servidor de un troyano, pero escaneaba la PC con Nod32 y otro programa y no me detectaban nada por eso lo descarte, ingresaba a registro y no veia nada sospechoso. Ahora, la formateda la hice hace como una semana  :D  espero que todo ande en orden entonces. Lo que me llama la atencion es que me he metido a el web msn de eBuddy y veo que me sale la invitacion para añadirlo, le doy denegar y se añade solo entonces me hace pensar que tiene un bot, ya he tenido que bloquearlo y eliminarlo como 3 veces y el anuncio de la invitacion sigue ahi... Ya ni lo toco pero estorba.
C/C++/C#/Java/Python dev. Frontend web developer. ASP.NET && PHP, ASM x86
No tengo vida social y me siento orgulloso!! 1000% Geek.

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Re: Necesito detalles
« Respuesta #4 en: Martes 21 de Abril de 2009, 18:01 »
0
Escanea con un programa llamado hijackthis y cuelga el log acá para revisarlo
El pasado son solo recuerdos, el futuro son solo sueños

Ryusaki N

  • Miembro activo
  • **
  • Mensajes: 76
    • Ver Perfil
Re: Necesito detalles
« Respuesta #5 en: Martes 21 de Abril de 2009, 19:33 »
0
Bueno he aqui el log, afortunadamente mi maquina aun no tiene mucho software:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:28:55, on 21/04/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:WINDOWSSystem32smss.exe
C:WINDOWSsystem32winlogon.exe
C:WINDOWSsystem32services.exe
C:WINDOWSsystem32lsass.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32svchost.exe
C:WINDOWSsystem32spoolsv.exe
C:WINDOWSExplorer.EXE
C:WINDOWSsystem32igfxtray.exe
C:WINDOWSsystem32hkcmd.exe
C:WINDOWSsystem32igfxpers.exe
C:WINDOWSRTHDCPL.EXE
C:WINDOWSsystem32RunDll32.exe
C:ARCHIV~1KEMailKbKEMailKb.EXE
C:WINDOWSsystem32igfxsrvc.exe
C:ARCHIV~13D-4DM~13D4DMou.EXE
C:Archivos de programaCyberLinkPowerDVDPDVDServ.exe
C:Archivos de programalg_fwupdatefwupdate.exe
C:Archivos de programaNeroNero 7InCDNBHGui.exe
C:Archivos de programaNeroNero 7InCDInCD.exe
C:Archivos de programaiTunesiTunesHelper.exe
C:Archivos de programaESETESET NOD32 Antivirusegui.exe
C:Archivos de programaJavajre6binjusched.exe
C:Archivos de programaAIM6aim6.exe
C:WINDOWSBricoPacksLeopardXPGlass2k.exe
C:Archivos de programaMacSearch_v.1.4.3MacSearch.exe
C:Archivos de programaAIM6aolsoftware.exe
C:Archivos de programaRK LauncherRK Launcher 0.41 Beta NightlyRKLauncher.exe
C:Archivos de programatclock2_120tclock2.exe
C:Archivos de programaTrueTransparencyTrueTransparency.exe
C:Archivos de programaUberIconUberIcon Manager.exe
C:Archivos de programaYzShadowYzShadow.exe
C:Archivos de programaArchivos comunesAppleMobile Device SupportbinAppleMobileDeviceService.exe
C:Archivos de programaBonjourmDNSResponder.exe
C:Archivos de programaESETESET NOD32 Antivirusekrn.exe
C:Archivos de programaNeroNero 7InCDInCDsrv.exe
C:Archivos de programaJavajre6binjqs.exe
C:Archivos de programaCyberLinkShared FilesRichVideo.exe
C:WINDOWSsystem32svchost.exe
C:WINDOWSSystem32TUProgSt.exe
C:Archivos de programaiPodbiniPodService.exe
C:WINDOWSsystem32wuauclt.exe
C:Archivos de programaMozilla Firefoxfirefox.exe
C:Archivos de programaiTunesiTunes.exe
C:Archivos de programaAdobeAdobe Dreamweaver CS3Dreamweaver.exe
C:Archivos de programaArchivos comunesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
C:Archivos de programaEasyPHP 3.0EasyPHP.exe
C:ARCHIV~1EASYPH~1.0Apachebinapache.exe
C:ARCHIV~1EASYPH~1.0Apachebinapache.exe
C:ARCHIV~1EASYPH~1.0MySqlbinmysqld.exe
C:Archivos de programaTrend MicroHijackThisHijackThis.exe

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank
R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Window Title =    Windows uE10 Last Edition      BY:GP  
R1 - HKCUSoftwareMicrosoftWindowsCurrentVersionInternet Settings,ProxyOverride = *.local
R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: AIM Toolbar Search Class - {03402f96-3dc7-4285-bc50-9e81fefafe43} - C:Archivos de programaAIM Toolbaraimtb.dll
R3 - URLSearchHook: AOLSearchHook Class - {54EB34EA-E6BE-4CFD-9F4F-C4A0C2EAFA22} - C:Archivos de programaAIM SearchAOLSearch.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesAdobeAcrobat 5.0ReaderActiveXAcroIEHelper.ocx
O2 - BHO: AOL Search Enhancement - {54EB34EA-E6BE-4CFD-9F4F-C4A0C2EAFA22} - C:Archivos de programaAIM SearchAOLSearch.dll
O2 - BHO: AIM Toolbar Loader - {b0cda128-b425-4eef-a174-61a11ac5dbf8} - C:Archivos de programaAIM Toolbaraimtb.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:Archivos de programaJavajre6binjp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:Archivos de programaJavajre6libdeployjqsiejqs_plugin.dll
O2 - BHO: Loader Class - {F880A4A8-C436-4AC4-AFD1-AA0BDC9552DD} - C:WINDOWSBricoPacksLeopardXPFindeXer.dll
O3 - Toolbar: AIM Toolbar - {61539ecd-cc67-4437-a03c-9aaccbd14326} - C:Archivos de programaAIM Toolbaraimtb.dll
O4 - HKLM..Run: [IgfxTray] C:WINDOWSsystem32igfxtray.exe
O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSsystem32hkcmd.exe
O4 - HKLM..Run: [Persistence] C:WINDOWSsystem32igfxpers.exe
O4 - HKLM..Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM..Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM..Run: [Cm102Sound] RunDll32 cm102.cpl,CMICtrlWnd
O4 - HKLM..Run: [KEMailKb] C:ARCHIV~1KEMailKbKEMailKb.EXE
O4 - HKLM..Run: [3D4DMouse] C:ARCHIV~13D-4DM~13D4DMou.EXE
O4 - HKLM..Run: [RemoteControl] "C:Archivos de programaCyberLinkPowerDVDPDVDServ.exe"
O4 - HKLM..Run: [LanguageShortcut] "C:Archivos de programaCyberLinkPowerDVDLanguageLanguage.exe"
O4 - HKLM..Run: [LGODDFU] "C:Archivos de programalg_fwupdatefwupdate.exe" blrun
O4 - HKLM..Run: [NeroFilterCheck] C:Archivos de programaArchivos comunesAheadLibNeroCheck.exe
O4 - HKLM..Run: [SecurDisc] C:Archivos de programaNeroNero 7InCDNBHGui.exe
O4 - HKLM..Run: [InCD] C:Archivos de programaNeroNero 7InCDInCD.exe
O4 - HKLM..Run: [QuickTime Task] "C:Archivos de programaQuickTimeQTTask.exe" -atboottime
O4 - HKLM..Run: [iTunesHelper] "C:Archivos de programaiTunesiTunesHelper.exe"
O4 - HKLM..Run: [egui] "C:Archivos de programaESETESET NOD32 Antivirusegui.exe" /hide /waitservice
O4 - HKLM..Run: [SunJavaUpdateSched] "C:Archivos de programaJavajre6binjusched.exe"
O4 - HKCU..Run: [CursorXP] "C:Program FilesCursorXPCursorXP.exe" -s
O4 - HKCU..Run: [Aim6] "C:Archivos de programaAIM6aim6.exe" /d locale=en-US ee://aol/imApp
O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUSS-1-5-19..RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Servicio de red')
O4 - HKUSS-1-5-20..RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'SYSTEM')
O4 - HKUSS-1-5-18..RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSsystem32CTFMON.EXE (User 'Default user')
O4 - HKUS.DEFAULT..RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O4 - Startup: Glass2k.lnk = C:WINDOWSBricoPacksLeopardXPGlass2k.exe
O4 - Startup: MacSearch.lnk = C:Archivos de programaMacSearch_v.1.4.3MacSearch.exe
O4 - Startup: panther.CurXPTheme.lnk = ?
O4 - Startup: RK Launcher.lnk = C:Archivos de programaRK LauncherRK Launcher 0.41 Beta NightlyRKLauncher.exe
O4 - Startup: tclock2.lnk = C:Archivos de programatclock2_120tclock2.exe
O4 - Startup: TrueTransparency.lnk = C:Archivos de programaTrueTransparencyTrueTransparency.exe
O4 - Startup: UberIcon.lnk = C:Archivos de programaUberIconUberIcon Manager.exe
O4 - Startup: YzShadow.lnk = C:Archivos de programaYzShadowYzShadow.exe
O8 - Extra context menu item: &AIM Toolbar Search - C:Documents and SettingsAll UsersDatos de programaAIM ToolbarieToolbarresourcesen-USlocalsearch.html
O9 - Extra button: AIM Toolbar - {0b83c99c-1efa-4259-858f-bcb33e007a5b} - C:Archivos de programaAIM Toolbaraimtb.dll
O12 - Plugin for .spop: C:Archivos de programaInternet ExplorerPluginsNPDocBox.dll
O23 - Service: Adobe LM Service - Unknown owner - C:Archivos de programaArchivos comunesAdobe Systems SharedServiceAdobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:Archivos de programaArchivos comunesAppleMobile Device SupportbinAppleMobileDeviceService.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:Archivos de programaBonjourmDNSResponder.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:Archivos de programaESETESET NOD32 AntivirusEHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:Archivos de programaESETESET NOD32 Antivirusekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:Archivos de programaArchivos comunesMacrovision SharedFLEXnet PublisherFNPLicensingService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:Archivos de programaNeroNero 7InCDInCDsrv.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:Archivos de programaiPodbiniPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:Archivos de programaJavajre6binjqs.exe
O23 - Service: NBService - Nero AG - C:Archivos de programaNeroNero 7Nero BackItUpNBService.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Unknown owner - C:Archivos de programaNeroNero 7InCDNBHRegInCDSrv.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:Archivos de programaArchivos comunesAheadLibNMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:Archivos de programaCyberLinkShared FilesRichVideo.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:WINDOWSSystem32TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:WINDOWSSystem32TUProgSt.exe

--
End of file - 9548 bytes
C/C++/C#/Java/Python dev. Frontend web developer. ASP.NET && PHP, ASM x86
No tengo vida social y me siento orgulloso!! 1000% Geek.

m0skit0

  • Miembro de PLATA
  • *****
  • Mensajes: 2337
  • Nacionalidad: ma
    • Ver Perfil
    • http://fr33kk0mpu73r.blogspot.com/
Re: Necesito detalles
« Respuesta #6 en: Martes 21 de Abril de 2009, 22:38 »
0
Como siempre, un montón de procesos gastones al arrancar Windows, de los cuales seguro que no usas ni la mitad...

Mi consejo es que desactives todo lo que no uses: Inicio -> Ejecutar: msconfig. Ahí, en "Servicios" e "Inicio" tienes todo lo que se arranca al arrancar Windows. Con los "Servicios" ten cuidado con lo que quitas, pero de "Inicio" puedes quitar prácticamente todo y quedarte tan ancho. Lo notarás en el tiempo que tarda Windows en arrancar y en la velocidad general del sistema una vez arrancado. Aunque sea un programa que uses, te aconsejo que lo quites de "Inicio" (salvo que siempre lo uses al iniciar) porque funcionará igual.

Salud

RadicalEd

  • Moderador
  • ******
  • Mensajes: 2430
  • Nacionalidad: co
    • Ver Perfil
Re: Necesito detalles
« Respuesta #7 en: Martes 21 de Abril de 2009, 22:53 »
0
No tiene mucho software  :wacko:  :wacko:  :wacko: revisa que proceso está ejecutando el C:WINDOWSsystem32RunDll32.exe, no debería ejecutarse en el run de windows, también has caso a lo que te dice m0skit0, tienes muchos procesos arrancando que no tienen nada que ver con el sistemas, solo aplicaciones aparte.
El pasado son solo recuerdos, el futuro son solo sueños

Ryusaki N

  • Miembro activo
  • **
  • Mensajes: 76
    • Ver Perfil
Re: Necesito detalles
« Respuesta #8 en: Martes 21 de Abril de 2009, 22:59 »
0
Perfecto muchas gracias a los dos. Y realmente no tengo mucho software comparado con el otro sistema que tenia Jejeje, no es que tenga una PC militar pero bueno... Se la juega bonito  :good:
C/C++/C#/Java/Python dev. Frontend web developer. ASP.NET && PHP, ASM x86
No tengo vida social y me siento orgulloso!! 1000% Geek.

m0skit0

  • Miembro de PLATA
  • *****
  • Mensajes: 2337
  • Nacionalidad: ma
    • Ver Perfil
    • http://fr33kk0mpu73r.blogspot.com/
Re: Necesito detalles
« Respuesta #9 en: Miércoles 22 de Abril de 2009, 10:01 »
0
Cita de: "Ryusaki N"
Y realmente no tengo mucho software comparado con el otro sistema que tenia Jejeje
Más no significa mejor. De todas formas, una cosa es tenerlo y otra cosa es que se esté ejecutando. Vale que lo tengas, pero ¿realmente necesitas que se esté ejecutando y ocupando memoria todo el tiempo? Lo veo superfluo.

 :hola:

Ryusaki N

  • Miembro activo
  • **
  • Mensajes: 76
    • Ver Perfil
Re: Necesito detalles
« Respuesta #10 en: Miércoles 22 de Abril de 2009, 18:12 »
0
No, y como muestra ya te hice caso y altere los procesos de inicio y es cierto mas no significa mejor, no lo decia con la intencion de dar a entender algo asi, solo comentaba que antes tenia mas, es todo.  ^_^
C/C++/C#/Java/Python dev. Frontend web developer. ASP.NET && PHP, ASM x86
No tengo vida social y me siento orgulloso!! 1000% Geek.