direcciones de correo extrañas en inicios de sesión(SOLVED)

[bellamy31]

Hola compañeros,



En esta ocasión me pongo en contacto con vosotros porque me he dado cuenta de que al intentar iniciar sesión en una web desde donde suelo comprar libros, me aparece una dirección de correo extraña que no es mía.



¿Podríais indicarme a qué puede deberse eso y qué puedo hacer?



Un saludo cordial



d

[msc hotline sat]

Cada site tiene sus características, y el diseño y comportamiento de ella puede ser específico del diseño de la misma o de lo que le haya hecho un hacker remotamente ...



Pensando mal, podría ser un sistema de envio de datos confidenciales a la dirección de correo en cuestion, por lo que lo primero que conviene es informar de ello al titular o responsables de dicho site para que sepan lo indicado y le puedan informar sobre si es a propósito o, en su caso, lo desconocen , y puedan corregir la anomalía.



En cualquier caso, mientras no tenga respuesta y bien aclarado y le hayan convencido de la "normalidad", no escriba ningun dato personal y menos números de cuentas bancarias y contraseñas, en esta web, por simple precaución.



Y comentenos lo que le digan, aparte de procurar ayudarle, servirá para conocimiento del foro.



saludos



ms, 7-6-2009

[bellamy31]

ok, bueno, deciros que la web en cuestión es la de Amazon, así que ahora mismo les escribiré a ver qué me dicen. Os tendré al tanto.

Gracias

[msc hotline sat]

Amazon es una conocida entidad de venta ONLINE y como todas las "famosas" es objeto de ataques de hackers para introducir códigos maliciosos, y con ello incluso intentar poder capturar datos de sus visitantes...



Esperamos que le responderán como corresponde y nos podrá informar, pero mientras, le sugerimos andar con mucho cuidado con los datos que envie a dicho site, e incluso si ya lo ha hecho en un pasado reciente, comentarlo con su banco de donde haya indicado números de cuenta...



saludos



ms, 8-6-2009

[bellamy31]

Sí, hace nada hice compras pero nunca dejé mis datos de tarjeta dentro de mi cuenta de usuario, porque dan esa opción, y yo en cuanto me di cuenta de que mis datos se quedaban los eliminé. Lo extraño es que ahora mismo estaba poniendo un anuncio en el segundamano, y me vuelve a aparecer esa dirección extraña dentro de la casilla del e-mail...

[msc hotline sat]

Pues veamos si el ELISTARA detecta algo:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

y ademas, prueba el SPROCES y nos posteas tambien el informe resultante:





[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 9-6-2009









NOTA: Lo malo de los PWS es que no solo capturan los datos que encuentran guardados, sino que pueden enviar contraseñas y datos de lo que se escribe ONLINE, asi que, incluso aun que lo controlemos, algun hacker puede haber recibido sus datos bancarios ...



Indiquenos la direccion de correo que le sale, trataremos de saber de donde es e informaremos



saludos



ms, 9-6-2009

[bellamy31]

Bueno, pues después de consultarles esto es lo que me cuentan (es un extracto, sólo os pongo lo más importante)



[i]For security, if you don't visit Your Account pages during this time,

this feature automatically expires after 15 minutes, so that no one

would be able to access Your Account without knowing your password and

e-mail address.



Please know that if someone was able to log in to your account, they

would still not have access to your payment card details, as they are

not displayed anywhere on the site.[/i]



en español:



[i]Por razones de seguiridad, si usted no visita su cuenta durante este tiempo (15 minutos)

su identificación automáticamente expira tras 15 minutos, de modo que nadie pueda acceder

a su cuenta sin saber su contraseña y dirección de correo.



Por favor, sepa que si aún así alguien ha sido capaz de registrarse en su cuenta, aún así

no tendrían acceso a los datos de su tarjeta de crédito, ya que esos datos no se muestran en ningún

lugar en el sitio[/i]





Bueno, yo porque no me fio mucho de esta respuesta he cortado por lo sano y he bloqueado mi tarjeta. Lo que me has dicho sobre que se pueden copiar los datos online incluso tecleándolos me lo creo desde luego. Pero bueno, de momento no ha pasado nada, pero no me han sabido dar ninguna explicación satisfactoria respecto a que apareciese esa dirección.



ASi que a partir de ahora cada vez que vaya a hacer una compra online me iré a lo seguro y usaré una tarjeta electrónica de un solo uso que se pueda cargar y listo (que es lo que debería haber hecho desde hace tiempo, desde luego).





Muchas gracias por vuestra ayuda, como siempre



p.d. siento mucho no haber posteado lo que me pedías, pero ahora mismo estoy pillado de saldo en el móvil, pero me parece una buena idea que a cambio de seguridad y fiabilidad (y por supuesto por vuestro tiempo y sabiduría) se haga ahora con mensajes.



Gracias de nuevo

[msc hotline sat]

Pues muy bien, toda precaución es poca !!! Y son miles las transferencias fraudulentas a China y Rusia, que hacen a diario estos ladrones con los PWS...



Y cuando puedas, prueba las utilidades indicadas, ya que posiblemente tengas aun el troyano en el ordenador, y los intrusos... A INTRUSIA ! :lol: :lol: :lol:



Dejamos el Tema abierto para que puedas postear los informes como respuesta a este Tema, ya obraremos en consecuencia



saludos



ms, 10-6-2009

[bellamy31]

Hola Mc,



Mejor tarde que nunca, vuelvo aquí con los informes que me pedías. Aprovecho para comunicar una nueva anomalía, para ver si aparte del problema que tenía de las direcciones de correo extrañas que me aparecían tiene que ver... la torre me pega pitidos ahora, son intermitentes a ratos, o continuos como hace un momento que intenté reiniciar a modo prueba de fallos y para que se fuera el pitido tuve que apagar el ordenador. No sé si tendrá que ver o será algo del ordenador en sí, pero por si acaso os lo comento.



Aquí os dejo los informes que me pedías:



(22-7-2009 23:34:51 (GMT))

EliStartPage v19.08 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(22-7-2009 23:34:57 (GMT))

EliStartPage v19.08 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8586

Nº Total de Ficheros: 127398

Nº de Ficheros Analizados: 17595

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(Con este me ha pasado algo raro, porque primero le pasé una versión anterior del Elistara, la 03, y a mitad del análisis vi que me localizaba dos archivos con los que podría pasar algo, y cuando me di cuenta de que ya iba por la versión 08 paré el análisis y me descargué la última versión, que como veis no ha encontrado nada...)



(22-7-2009 23:35:47 GMT)

SProces v3.9 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v6.0.2900.5512) ;SP3;

Nombre Equipo: DIEGO

Nombre Usuario: Diego



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIV~1\AVG\AVG8\AVGWDSVC.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LIGHTSCRIBE\LSSRVC.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\MICROSOFT SHARED\VS7DEBUG\MDM.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIV~1\AVG\AVG8\AVGRSX.EXE

C:\ARCHIV~1\AVG\AVG8\AVGNSX.EXE

C:\ARCHIVOS DE PROGRAMA\AVG\AVG8\AVGCSRVX.EXE

C:\WINDOWS\SYSTEM32\WGATRAY.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\MOM.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\ARCHIVOS DE PROGRAMA\ELABORATE BYTES\VIRTUALCLONEDRIVE\VCDDAEMON.EXE

C:\WINDOWS\SYSTEM32\FIREONECP.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CORE-STATIC\CCC.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\QUICKTIME\QTTASK.EXE

C:\ARCHIV~1\AVG\AVG8\AVGTRAY.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\REAL\UPDATE_OB\REALSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\ADOBE\READER 9.0\READER\READER_SL.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\LAVALYS\EVEREST ULTIMATE EDITION\EVEREST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NIKON\MONITOR\NKMONITOR.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\DOCUMENTS AND SETTINGS\DIEGO\ESCRITORIO\ELISTARA.EXE

C:\ARCHIVOS DE PROGRAMA\HP\SMART WEB PRINTING\HPSWP_CLIPBOOK.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\DOCUMENTS AND SETTINGS\DIEGO\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\System32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Archivos de programa\HP\Smart Web Printing\hpswp_printenhancer.dll

O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Archivos de programa\HP\Smart Web Printing\hpswp_framework.dll

O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Softonic ES Toolbar - {c2ed826e-8903-4a9d-b0df-3a8fb8ea918a} - C:\Archivos de programa\Softonic_ES\tbSof1.dll (file missing)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Softonic ES Toolbar - {c2ed826e-8903-4a9d-b0df-3a8fb8ea918a} - C:\Archivos de programa\Softonic_ES\tbSof1.dll (file missing)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [EVEREST AutoStart] C:\Archivos de programa\Lavalys\EVEREST Ultimate Edition\everest.exe

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKLM\..\Run: [StartCCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Archivos de programa\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s

O4 - HKLM\..\Run: [StartFireOneApplet] FireOnecp.exe H

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O4 - Global Startup: Nikon Monitor.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Portafolios de HP - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Archivos de programa\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Selección inteligente de HP - {700259D7-1666-479a-93B1-3250410481E8} - C:\Archivos de programa\HP\Smart Web Printing\hpswp_extensions.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA} (Java Plug-in 1.6.0_12) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_12-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{D0B99B58-4FD0-4736-BE1F-5FB50A139689}: NameServer = 62.151.8.100,62.151.2.8

O18 - Protocol: lid - {5C135180-9973-46D9-ABF4-148267CBB8BF} - C:\WINDOWS\System32\msvidctl.dll

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: AVGRSSTARTER - AVGRSSTX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\System32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: Team H2O CLEDX service (CLEDX) - Team H2O - C:\WINDOWS\SYSTEM32\DRIVERS\cledx.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Lavalys EVEREST Kernel Driver (EverestDriver) - Unknown owner - C:\Archivos de programa\Lavalys\EVEREST Ultimate Edition\kerneld.wnt

O23 - Service: gdrv - Windows (R) 2000 DDK provider - C:\WINDOWS\gdrv.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Service for HDMI (RTHDMIAzAudService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtHDMI.sys

O23 - Service: Realtek 10/100/1000 PCI-E NIC Family NDIS XP Driver (RTLE8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Tascam FireOne Audio Driver (WDM) (TascamFireOneSrv) - CEntrance, Inc. - C:\WINDOWS\SYSTEM32\drivers\FireOne.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: VClone - Elaborate Bytes AG - C:\WINDOWS\SYSTEM32\DRIVERS\VClone.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



26 Servicios.

6 de Carga Automatica.

19 de Carga Manual.

1 Deshabilitados.





A ver si veis algo.



Millones y millones de gracias.



d.

[msc hotline sat]

Vemos este sospechoso:



http://www.threatexpert.com/files/vclone.sys.html



envianoslo para analizar e informaremos al respecto





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 23-7-2009

[bellamy31]

ok, ya os he mandado el fichero desde un correo de yahoo. A ver qué es ese ficherito.



gracias!



d.

[msc hotline sat]

Sorry, :oops:



este es el que te quería pedir, envianoslo igual que has hecho con el otro



C:\WINDOWS\SYSTEM32\FIREONECP.EXE





El que has enviado es bueno, justamente es la informacion de Threat Expert al respecto de la ultima clave, cuando analicé el log, y se me quedó en el portapapeles y sin querer lo posteé en lugar del nombre del fichero a enviar



saludos



ms, 23-7-2009

[bellamy31]

[quote]NOTA: Lo malo de los PWS es que no solo capturan los datos que encuentran guardados, sino que pueden enviar contraseñas y datos de lo que se escribe ONLINE, asi que, incluso aun que lo controlemos, algun hacker puede haber recibido sus datos bancarios ...[/quote]

Realmente con lo que me quedé preocupado es con esto... vamos, que se queda uno acojonado...



Ya te mandé lo que me pedías, y no te preocupes, que un despiste lo tiene cualquiera (y sino, si hubiérais visto ayer al Milá como se le trabó la lengua en el telediario...)



gracias



d.

[msc hotline sat]

Pues como ya nos adelantabas en el mail, no lo conocíamos pero no se le ven rutinas malwares, asi que dejalo estar...



No se ve nada mas, seguramente alguna utilidad normal y corriente es la que te provoca las anomalias.



Mira de reducir las aplicaciones que lanzas en el inicio, a ver si localizar cual es, y sino, lanza este AV ONLINE a ver si detecta algo desconocido y nos posteas el informe resultante:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el Informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]





saludos



ms, 23-7-2009

[bellamy31]

Pues aquí está el resultado, nada parece...



--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Thursday, July 23, 2009

Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Thursday, July 23, 2009 12:45:34

Records in database: 2520102

--------------------------------------------------------------------------------



Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes



Scan area - My Computer:

A:\

C:\

D:\

E:\

F:\



Scan statistics:

Files scanned: 129414

Threat name: 0

Infected objects: 0

Suspicious objects: 0

Duration of the scan: 01:27:06



No malware has been detected. The scan area is clean.



The selected area was scanned.





d.

[msc hotline sat]

Pues nada, como le decíamos al principio del Tema, lo mas probable es que sea una caracteristica del site donde entra y ve la direccion desconocida, por lo que le sugerimos que les pregunte a ellos al respecto, igual lo tienen asi configurado y es una caracteristica de dicha web que no le afecta, pero pregunteles a ellos, y nos cuenta lo que le digan.



Todo lo raro que hemos visto (o desconocido) lo hemos aclarado con el Google o con Vd, y con el remate del AV ONLINE ya reduce al mínimo la posibilidad de que sea un problema vírico, por lo que le sugerimos proceder conforme indicado.



Esperamos sus noticias al respecto



saludos



ms, 2-7-2009

[bellamy31]

ok, afiné mi inglés redactado y he escrito a Amazon para consultarles lo que me pedíais. En cuanto tenga respuesta os la pongo aquí.



Saludos!!

[msc hotline sat]

Pues dejamos el Tema abierto a la espera de sus noticias, a ver si los de Amazon nos aclaran lo que es esta direccion desconocida que le aparece al conectarse con ellos...



saludos



ms, 24-7-2009

[bellamy31]

Bueno, pues han sido muy rápidos esta vez. Os cuento. Desde Amazon me aseguran que mi cuenta no se ha visto comprometida en ningún momento. La información de las tarjetas no queda almacenada en la web de Amazon. Cuando se transfieren los datos usan un sistema de encriptación imposible de descifrar, y los datos no pueden ser recuperados en ninguna base de datos conectada a Internet.

En relación a lo que yo les comentaba acerca de la dirección misteriosa, me preguntan si hay alguna otra persona que use mi ordenador con esa dirección, y la respuesta obviamente es que no. Y continúan...



Si ese no es el caso, me aconsejan que borre las cookies del ordenador. Haciendo esto desaparecerá esa dirección de correo desconocida. Me recuerdan que esto provocará que tenga que teclear email y contraseña cada vez que entre en un sitio web, pero que es recomendable hacerse con cierta periodicidad.



En la mayoría de las ocasiones es el mismo buscador el que almacena la información requerida para ingresar en los websites. Amazon no tiene ningún control sobre esto. Lo único que podemos decir es que nuestra configuración para el log-in de clientes se basa primordialmente en tecnología standard en lo referido a las cookies.



No sé qué conclusión sacáis, pero mi conclusión es que alguien efectivamente intentó capturar datos por medio de esa dirección, usando mi cuenta, no sé, de alguna manera, y por lo que me dicen no puedo conseguir nada. La dirección quedó registrada, pero la persona no consiguió sacar nada.



¿Qué opinais de la respuesta?



Saludos

[msc hotline sat]

Muy bien, a probarlo...



Abre el I.E., ve a Herramientas -> Opciones de Internet -> pestaña General -> Borrar ficheros temporales y cookies, y acepta



Tras ello reinicia , entra en Amazon y nos cuentas si se ha solucionado.



Esto lo hacemos cuando necesitamos acelerar un PC, vaciamos papelera, temporales y demas, y si en este caso te sirve, ningun problema en hacerlo



Esperamos tus noticias



saludos



ms, 24-7-2009

[bellamy31]

Hola,



bueno, lo de borrar las cookies y demás ya lo hice cuando me sucedió aquello, fue lo primero que hice, y claro, así se va la dirección, no sé, a mí por lo menos no me ha convencido del todo su respuesta... Lo cierto es que me he estado metiendo ahora, entre ayer yo hoy varias veces, y no hay rastro de aquella dirección extraña.





d.

[lucl]

Pues en cualquier caso espera unos dias y ve probando a ver si vuelve a salir la direccion famosa. Aunque no te convenza su respuesta parece que de momento [b][i]h[/i][/b]a funcionado. Lo que si te digo es que a veces es mejor teclear la direccion y la contraseña las veces que sean necesarias antes que ir dejando por ahi cualquier tipo de rastro. Comentanos si quieres que demos el tema por solucionado o tienes alguna duda mas, saludos

[bellamy31]

Por mí lo podemos dar por cerrado, muchísimas gracias por vuestra inestimable ayuda, como siempre.



saludos



d.

[lucl]

Bien pues cerramos el tema dandolo por solucionado si nos necesitas ya sabes donde estamos saludos