Ayuda: Otro equipo se conecta a mi PC cuando ab (SOLUCIONADO

[Quenn]

Necesito ayuda urgentemente. Anoche al apagar mi PC, me salió una ventanita en la que me decia que otro equipo estaba compartiendo mi sesión, y que si apagaba lo desconectaba. Llevaba dias sospechando que alguien me estaba entrando a los correos y habia cambiado las contraseñas, pero lo que veo es que alguien me ha colado un troyano e intuyo que es alguién conocido, (os digo esto porque incluso me han podido meter el programita fisicamente desde mi mismo PC). Necesito que me informeis si ahi algun programa o sistema que me pueda ayudar a detectar que es lo que me han metido o bien si se puede detectar algo sospechoso haciendo un escaneo con el HijackThis y que me lo mireis. Tengo el Norton y he estado mirando en el firewall en los informes de posibles ataques o intrusos y no me entero de nada, en la configuración del firewall lo tengo todo actividado según recomiendan.

Os rogaria que me ayudarais. Mucha gracias

[evangelion_01]

Peganos tu log de hijack y descargate esto:



ELISTARA:

Descargar EliStarA

http://www.zonavirus.com/descargas/elistara.asp



y por si las dudas, este



ELITRIIP:

Descargar EliTriip

http://www.zonavirus.com/descargas/elitriip.asp



Correlos en modo seguro y nos pegas lo que te salga en el infosat aqui, saludos

[Quenn]

Ante todo muchas gracias por tu pronta contestación. Te pego el escaneo con el Hijackthis (éste lo he escaneado a modo normal) si tenia que haberlo hecho a modo seguro dimelo que lo vuelvo a repetir. También te pego el informe del Elistart y del Elitriip (estos si los he pasado a modo seguro).

Otra observación que queria hacerte, cuando he hecho esto a modo seguro y he reiniciado normal el antivirus se me ha desactivado, le he dado a reparar y de momento parece que se ha puesto bien, no sé si esto tiene algo que ver con el tema o ha sido casualidad. Gracias por todo espero tu respuesta.



Logfile of HijackThis v1.99.1

Scan saved at 17:52:23, on 05/10/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

C:\WINDOWS\AGRSMMSG.exe

C:\acer\epm\epm-dm.exe

C:\ARCHIV~1\LAUNCH~1\LManager.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\Archivos de programa\WinAce\WinAce.exe

C:\DOCUME~1\USUARI~1\CONFIG~1\Temp\~AceTemp\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [LaunchApp] Alaunch

O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\YAHOO!\COMMON\yhexbmeses.dll

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\ARCHIV~1\YAHOO!\COMMON\yhexbmeses.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1179933993968

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/es/1,0,0,20/mcgdmgr.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ccPwdSvc.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\comHost.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe





Fri Oct 05 17:55:59 2007

EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Fri Oct 05 17:56:05 2007

EliStartPage v14.78 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Oct 05 18:02:44 2007

EliTriIP v3.96 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Oct 05 18:02:45 2007

EliTriIP v3.96 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[evangelion_01]

Pues esperemos a que regresen los admin. o moderadores para ver que te piden de tu log, yo por el momento solo veo esto:



usas norton, pero hay rastros del antivirus asquared, lo usaste ese antivirus o algo asi?

[Quenn]

El asquared lo he pasado alguna vez online. Creo que es un antitroyano online.

[msc hotline sat]

El log del HJT está limpio.



Dinos si usas el acceso al router via cable o por wireless, y si es por cable, dinos si el router tiene emisor de wireless, y mira si está desactivado (interruptor posterior en OFF)



Vemos que pasaste tambien el ewido ONLINE, y si este no te detectó ningun troyano, no creo que lo haga el residente, pero como que es trial por un mes, pruebalo y hasta que no hayas solucionado el problema, que ha de ser antes, mantenlo instalado:



ewido instalacion trial: http://www.ewido.net/en/download/



esperamos tus noticias



saludos



ms, 5-10-2007

[Quenn]

A ver en esto del router me pierdo. Te lo intentaré explicar lo mejor que sepa. Conecto un PC por cable, otro inalámbrico y el pc que es el que tengo el problemas es un pórtatil y también conecto inalámbrico. Yo te digo los datos del aparatito porque no tengo ni idea decirte que es, la verdad.



MODEL EPR2320 SERIES CABLE MODEM/GATEWAY



No veo por ninguna parte esto que me dices:



dinos si el router tiene emisor de wireless, y mira si está desactivado (interruptor posterior en OFF)



Espero que con estos datos puedas saber que tipo de router tengo y me puedas seguir ayudando.



He escaneado de nuevo el PC con el ewido pero online. Te pasteo aqui el informe. Gracias de nuevo.



ewido anti-spyware online scanner

http://www.ewido.net

__________________________________________________





Name: TrackingCookie.Atdmt

Path: C:\Documents and Settings\USUARIO 1\Cookies\usuario_1@atdmt[2].txt

Risk: Medium



Name: TrackingCookie.Doubleclick

Path: C:\Documents and Settings\USUARIO 1\Cookies\usuario_1@doubleclick[1].txt

Risk: Medium



Name: TrackingCookie.Yieldmanager

Path: C:\Documents and Settings\USUARIO 1\Cookies\usuario_1@ad.yieldmanager[2].txt

Risk: Medium



Name: TrackingCookie.Tradedoubler

Path: C:\Documents and Settings\USUARIO 1\Cookies\usuario_1@tradedoubler[1].txt

Risk: Medium



Name: TrackingCookie.2o7

Path: C:\Documents and Settings\USUARIO 1\Cookies\usuario_1@msnaccountservices.112.2o7[1].txt

Risk: Medium



Name: TrackingCookie.2o7

Path: C:\Documents and Settings\USUARIO 1\Cookies\usuario_1@msnportal.112.2o7[1].txt

Risk: Medium



Name: TrackingCookie.Doubleclick

Path: C:\Documents and Settings\USUARIO 1\Cookies\usuario_1@doubleclick[2].txt

Risk: Medium



Name: TrackingCookie.Netflame

Path: C:\Documents and Settings\USUARIO 1\Cookies\usuario_1@ssl-hints.netflame[1].txt

Risk: Medium

[lucl]

Esto son cookies que se pueden eliminar con un antiespias, te recomiendo uno y lo pruebas, ademas deberias poner un cortafuegos que te dijera que o quien trata de conectarse y asi poder pararlo. Reconoce que si alguien pudo meter algo fisicamente en el pc es aun mas complicado pero no creo que este de mas que tomes esas precauciones.



antiespias pica aqui cuando lo descarges e instales debes actualizarlo



http://www.zonavirus.com/descargas/spybot-sd.asp







cortafuegos aqui



http://www.zonavirus.com/datos/descargas/239/zonealarm.asp





nos cuentas que resultado te dio el spybot y demas, saludos

[msc hotline sat]

Nada, las cookies como te ha dicho lucl no tieenn importancia, son marcas de seguimiento de webs visitadas o aplicaciones usadas.



Veo que usamos diferente léxico:



Dices : "Conecto un PC por cable, otro inalámbrico "



y yo te preguntaba "dinos si el router tiene emisor de wireless"



wireless = sin hilos = inalambrico



Bueno, pues no solo tu router tiene emisor wireless, sino que lo usas, asi que no lo puedes cerrar ...



Entonces te aconsejaría que protegieras tu ADSL por mac address, de forma que nadie mas que tú con los equipos que decidieras, pudieran usar tu linea, sino cualquier hijo de vecino puede estar con un portátil (o fijo, claro) accediendo a tu ADSL, ocupando tu ancho de banda, y tirando de tu línea.



Lo que dices de que al apagar indicaba "otro equipo estaba compartiendo mi sesión, y que si apagaba lo desconectaba" entiendo que otro equipo estaba en la misma sesion de ADSL, lo que no está claro es que si tu apagabas lo desconectabas ??? , pues con dos ordenadores conectados a un mismo router por wireless, pueden apagar el uno o el otro, la ADSL sigue...



Por ello quizas hay además la posibilidad de un hacker que esté no ya solo chupando de tu ADSL, sino interfiriendo en tu ordenador, remotamente desde el suyo, a traves de internet, sea por wireless como por cable, eso ya es hackeo.



Lo primero debes hablarlo con tu instalador de ADSL, que te proteja por mac address configurando los numeros de las tarjetas de red de tus ordenadores que quieras conectar por wireless.



Lo segundo ya es que venga un tecnico especialista en anti-hackeo si no se resuelve con las protecciones indicadas ni con los antispywares, antitroyanos y antivirus comerciales, eso ya es otra cosa, que no cubrimos en nuestro foro: el hackeo.



Confio que lo indicado te será de utilidad.



saludos



ms, 5-10-2007

[Quenn]

Hola de nuevo. Contestando a lucl he pasado el spybot y me ha localizado esto: Virtumonde (registro en configuración de usuarios). Tengo instalado el firewall del norton, supongo que es incompatible tener instalados varios cortafuegos, me sugieres que quite el norton e instalé el otro?



Contestando a msc hotline sat, estoy protegida con un mac address, aparezco red inalámbrica con seguridad habilitada y aparezco con un candadito amarillo.



Concretamente ese mensaje que me apareció no sé decirtelo textualmente, lo que si te puedo asegurar que si me indicaba que otro equipo estaba conectado a mi misma sesión.



Supongo que cuando te refieres a un especialista anti-hackeo lo más eficaz seria formatear y olvidarme?



Gracias

[lucl]

El virtumonde ya se controla con el elistara y el no te lo encontro? pasalo de nuevo por favor y veamos si cambia el resultado .En cuanto al zonealarm, bueno podrias simplemente qitar el cortafuegos del norton para hacer la prueba pero tu veras si quieres intentarlo, una vez instalado verias si algo mas quisiera conectarse a tu equipo y podrias denegarle permiso.



Y msc no te habla de formateo, si no de un especialista , un tecnico en hackeo que pueda mirarte el pc, ya que estas protegida con el mac adress y tienes la seguridad habilitada, nos mantienes informados de lo que haces, saludos

[msc hotline sat]

AClaro:



Dices "Virtumonde (registro en configuración de usuarios). " : Puede que haya algun resto en el registro, aunque fuera inocuo. En cualquier caso con el que lo detectas deberías poder eliminarlo.



Cortafuegos mejor usar uno solo, para saber lo que se tiene cerrado y lo que no. Tener mas de uno es inutil y lioso.





Y si estas protegida por mac address , no es ningun vecino que te esté ocupnado anvho de banda gracias a la wireless, sino mas bien un hacker que está contigo en tu misma sesion... Podría ser que tuvieras un backdoor y entrara por una puerta trasera, a pesar de las herramientas usadas y pasadas, lanza estos AVONLINE e informanos del resultado, gracias:





[url=https://www.eset.es/analisis-online/][b][color=Darknesred]AV ONLINE aconsejado[/color][/b][/url]



y una manera facil y rapida de saber si se tiene virus en memoria es lanzar este escaneo ONLINE que tarda menos de 1 minuto:



[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/][b][color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]





saludos



ms, 9-10-2007

[Quenn]

Hola de nuevo. He escaneado el pc con los antivirus online que me indicas y me dice que no ahi nada. Pero quiero comentarte algo que posiblemente tenga algo que ver con que un hacker esta entrando a mi pc. A través del Norton que es el antivirus que tengo instalado he hecho un analisis de seguridad. En la comprobación de exposición de hacker me daba peligro, he entrado en detalles y me indicaba que tenia abiertos los siguientes puertos:



Ping de ICMP



1723 PPTP (Protocolo de túnel punto a punto) Este servicio se usa para conexiones de red privadas virtuales.



Me indicaba que eliminara todos los programas con acceso a internet que el norton tenia reconocidos, y que hiciera de nuevo un analisis de los programas que tengo instalado, asi lo he hecho y al hacer de nuevo un analisis de seguridad el puerto 1723 ya dejó de estar abierto.

De los programas que ahora me saca el norton que tengo instalados, me dice que si desconozco alguno que lo desmarque, y que cuando pida conexion el norton me avisara si quiero darle permiso o no. He desmarcado uno que no se que es, se llama ftp.exe y esta en la carpeta de system32, he mirado en las propiedades de este ejecutable y lo describe como Programa de transferencia de archivos. Me puedes decir que es este programa?.



Gracias

[msc hotline sat]

Pues revisa la configuracion de tu cortafuegos o si no lo hubiera, instala uno, aunque sea de software, como el zonealarm:



http://www.zonavirus.com/datos/descargas/239/zonealarm.asp



saludos



ms, 15-10-2007



nota: y el ftp.exe forma parte del conjunto de ficheros para conexiones de internet, y es el FILE TRANSFER PROTOCOL, basico para transferencia de ficheros. ms.

[Quenn]

Hola lo siento no he podido contestar antes. Necesito que me digas que si para instalar el zonealarm tengo que desinstalar el firewall del norton. El firewall va junto con el antivirus del norton y no se como hacerlo. Quiero probar con este cortafuegos que me indicas, en mi PC estan ocurriendo cosas muy raras, como abrirse ventanas sin haberlas abierto yo, retroceder el cursor y ponerse en otra posición, cambiarse el puntero, en lugar de tener la flecha se pone un circulo y hasta que no vuelvo a pinchar con el ratón no cambiarse o marcarse el texto solo. Este problema son a determinadas horas del dia, supongo que es cuando al personaje le apetece jugar y vacilar, si tiene control de todo esto no quiero ya ni contar de mis contraseñas, sobre todo la contraseña con la que he accedido a la cuenta corriente o de los archivos personales que tengo en mi ordenador. Instalé el anti-troyan que escanea los puertos que estan abierto por troyanos, y aunque en el escaner no me encontro ningún archivo que lo fuera, si me indicó que estaba abierto el puerto 1243 subseven. Estos dias he estado mirando información sobre éste troyano pero en mi PC no encuentro archivos y dll que suele utilizar.

Te ruego que me indiques eso del zonealarm como instalarlo ya que tengo el norton con el firewall junto y no se como hacerlo. También quiero que me informes si cuando están ocurriendo estás cosas raras si haciendo un netstat -an me dice si alguien más esta conectado a mi PC, si es así dime si es posible que te pueda pegar aqui la ventana para que me informes si ahi algo anormal, ya que no sé interpretar bien lo que sale haciendo un netstat.



Muchas gracias

[lucl]

Supongo que en propiedades o herramientas del norton te saldra el firewall, con una casilla para activar o desactivar, a ver si algun forero te dice como se hace, pues yo es que no lo he usado nunca, no obstante te dejo link de norton para que eches un vistazo a ver si consigues una guia o algo, nos comentas, saludos





http://www.norton-online.com/es/

[evangelion_01]

pues mira no se puede desinstalar el firewall de norton ya que viene tofdo junto, pero si puedes desactivarlo, y ya tras esto te descargas el zonealarm security suite y listo

[msc hotline sat]

Pero tener presente el cortafuegos del router, ya existente, duplicarlo sería una fuente de problemas!



Pero eso sí, configuralo bien !!!



Y siempre es mejor uno de hardware que uno de software. Algunos virus desactivan los de software soplando ... TODOS !



saludos



ms, 18-10-2007

[Quenn]

Hola, necesito que me aclareis una cosa sobre este tema que sigo aun mirando y aún no se ha solucionado.

Tenia un proceso siempre funcionando llamado ccproxy.exe que he consultado en algunas páginas de internet y he visto que pertenece al Norton.



Nombre del comando: CCPROXY.EXE



Estado: A DISCRECION DEL USUARIO



Servidor Proxy de Norton Internet Security, usado para el control de padres. Si se desactiva el control de padres este proceso no debería ejecutarse. Han habido varios reportes de problemas de excesivo consumo.



Yo tengo desactivado en el Norton este control de padres no entiendo porque me estaba funcionando este proceso cada vez que reiniciaba el PC. En msconfig - servicios lo he desactivado para que no me arranque en el inicio. El proceso esta ubicado en la carpeta C:\archivos programas\archivos comunes \symantec shared\ccproxy.exe. En principio parece que corresponde al Norton, pero en algunas páginas de información también hablan que depende de la ubicación de donde está el archivo puede ser un virus o no. Me podeis informar de éste proceso y si lo tengo correctamente en el sitio que debe de estar y si es normal que sin tener activado el control de padres me estuviera funcionando?.



También quiero que me informes como quitar unas entradas que me han aparecido al escanear el pc online con un anti spyware y a que pertenecen, eso de inprocserver32, os pego el log.



Infected registry keys/values detected

hkey_classes_root\clsid\{c81b5180-afd1-41a3-97e1-99e8d254db98}\inprocserver32\

hkey_classes_root\clsid\{c81b5180-afd1-41a3-97e1-99e8d254db98}\inprocserver32\threadingmodel\

hkey_classes_root\clsid\{c81b5180-afd1-41a3-97e1-99e8d254db98}\progid\

hkey_classes_root\clsid\{c81b5180-afd1-41a3-97e1-99e8d254db98}\programmable\

hkey_classes_root\clsid\{c81b5180-afd1-41a3-97e1-99e8d254db98}\typelib\

hkey_classes_root\clsid\{c81b5180-afd1-41a3-97e1-99e8d254db98}\versionindependentprogid\

hkey_classes_root\clsid\{c81b5180-afd1-41a3-97e1-99e8d254db98}\

hkey_classes_root\cssweb.installer.1\clsid\

hkey_classes_root\cssweb.installer.1\

hkey_classes_root\cssweb.installer\clsid\

hkey_classes_root\cssweb.installer\curver\

hkey_classes_root\cssweb.installer\

hkey_classes_root\interface\{232cf40d-90a9-11d4-9421-005004ad29b2}\proxystubclsid\

hkey_classes_root\interface\{232cf40d-90a9-11d4-9421-005004ad29b2}\proxystubclsid32\

hkey_classes_root\interface\{232cf40d-90a9-11d4-9421-005004ad29b2}\typelib\

hkey_classes_root\interface\{232cf40d-90a9-11d4-9421-005004ad29b2}\typelib\version\

hkey_classes_root\interface\{232cf40d-90a9-11d4-9421-005004ad29b2}\

hkey_classes_root\typelib\{232cf401-90a9-11d4-9421-005004ad29b2}\1.0\0\win32\

hkey_classes_root\typelib\{232cf401-90a9-11d4-9421-005004ad29b2}\1.0\0\

hkey_classes_root\typelib\{232cf401-90a9-11d4-9421-005004ad29b2}\1.0\flags\

hkey_classes_root\typelib\{232cf401-90a9-11d4-9421-005004ad29b2}\1.0\helpdir\

hkey_classes_root\typelib\{232cf401-90a9-11d4-9421-005004ad29b2}\1.0\

hkey_classes_root\typelib\{232cf401-90a9-11d4-9421-005004ad29b2}\



En el hijackhis no veo esta entradas.



Nota: me cuesta una barbaridad escribiros aqui en zonavirus, el que está jugando con mi PC cada vez que os escribo intenta que no lo haga, me cambia el cursor en el texto o lo marca, debe de ser que no le interesa que pregunte como tengo que encontrarle jajajaja. Bueno muchas gracias de anticipado.

[msc hotline sat]

Sobre el CCPROXY, por la ruta y al usar Norton, es propio de Symantec:




[quote]NOMBRE DE LA EMPRESA: Symantec Corporation

ATRIBUTOS DE ARCHIVO: Archivo

DESCRIPCIÓN DE ARCHIVO: Symantec Network Proxy Service

CARPETA DE ARCHIVO: %PROGRAMFILESCOMMON%\symantec shared

NOMBRE DE ARCHIVO: ccproxy.exe

TAMAÑO DE ARCHIVO: 202,400 KB

VERSIÓN DE ARCHIVO: 104.0.9.2

NOMBRE INTERNO: ccProxy

COPYRIGHT LEGAL: Copyright (c) 2000-2005 Symantec Corporation. All rights reserved.

FIRMA MD5: 5d1e394ca7dd217580c15f2a34609224

NOMBRE DE ARCHIVO ORIGINAL: ccproxy.exe

NOMBRE DEL PRODUCTO: Client and Host Security Platform

VERSIÓN DEL PRODUCTO: 104.0.9.2

CARPETA ESPECIAL: PROGRAMFILESCOMMON



--------------------------------------------------------------------------------



SERVICIO ID: 46549 | Primarios: 0 | Secundarios: 14 | NIVEL DE AMENAZA: Desconocido



DESCRIPCIÓN: Symantec Proxy Service

NOMBRE QUE APARECE: Symantec Network Proxy

NOMBRE DEL SERVICIO: ccProxy

TIPO DE SERVICIO: Win32 program that runs in process by itself. [/quote]

pero no deja de ser un servidor proxy, y dado que tiene un "amigo" por ahí, y que nos dice que no está usando o queriendo usar dicho proxy, renombre la extension de dicho fichero a .OLD y asi no se pondrá en marcha a partir del proximo reinicio:



C:\archivos programas\archivos comunes \symantec shared\ccproxy.exe





Otra cosa es lo de las claves que indica. Debería poder eliminarlas con la misma utilidad que lo detecta, pero eso si, arrancando en modo seguro, para que las aplicaciones que lanzan no esten en uso, o si no se puede hacer con el antivirus, pruebelo con el BUSCAREG, arrancando en modo seguro y buscando una por una dichas claves, y cuando las encuentre, doble clicl sobre lo encontrado y le ofrecerá eliminarla



Pero todo ello bajo su responsabilidad, pues nosotros no le aconsejamos ni la utilidad con la que las detecta ni es nuestra intencion sugerirle que las elimine, todo lo contrario, solo le indicamos como hacerlo si quiere, pero nosotros no lo haríamos... no sabemos lo que son ni las consecuencias que le puede traer...



Y tras renombrer el dichoso ccpproxy y reinciiar, informenos del reultado, gracias



saludos



ms, 21-10-2007

[Quenn]

Hola de nuevo. Al final he terminado formateando el ordenador, estaba ya obsesionada con el tema y creo que ha sido lo mejor, porque ya estaba empleando demasiado tiempo con este problema. Así que, si quieres puedes dar el tema por cerrado. Muchas gracias por toda la ayuda que he recibido de éste foro y por interés que habeis puesto en solucionar mi problema. Gracias

[lucl]

Bien, pues gracias por avisarnos y vigila de tener bien protegido el pc a partir de ahora, suerte y si nos necesitas ya sabes donde estamos, saludos