Conversaciones guardadas (SOLUCIONADO)

[vennuss]

os expongo mi problema, mi marido ha detectado alguna cosa que guarda todo lo que yo tecleo en el ordenador (y el claro esta, pero eso no me preocupa) y me ha dicho que lo ha eliminado, pero yo no estoy segura y me gustaria saber como puedo controlarlo... ¿donde se guardan esos archivos? ¿como puedo saber si se estan guardandio mis conversaciones? No tengo ni idea de ordenadores asi que agradezco de antemano la paciencia

Muchas gracias

[msc hotline sat]

Pues a eso se le llaman keyloggers y los hay de pago, que se compran para espiar al projimo, y que son muy dificiles de detectar, pero otros que entran sin manipulacion personal de nadie, pueden detectarse con antispywares que cubren las parcelas de los spywares, los adwares, lops keyloggers, los dialers y malwares troyanos en general.



De ellos en la parcela de antikeylogger, hay dos que destacan, el Bazooka y el Ewido



Y si con ello no te es suficiente, ya habrás de entrar en antykeyloggers de pago, pero eso ya sería que ha sido una instalacion exprofeso y con premeditacion y alevosía ...



Te busco links de estos dos:



con el nombre de AVG antispyware 7.5: http://www.ewido.net/en/download/



para el bazooka: http://www.fileheaven.com/descargar/bazooka-adware-and-spyware-scanner/26512.htm



Espero que tengas éxito !



saludos



ms, 3-04-2007

[flacoroo]

sigue la sugerencia que te da MSC, pero dinos a que te refieres con que se queda grabado en unos archivos lo que tu tecleas....te refieres cuando usas los mensajeros como yahoo, hotmail u otro....? o te refieres que entras a una pagina de internet y tienes que escribir datos como nombre de usuario, contraseña y cosa parecida ?

[vennuss]

Se queda grabado todo las conversaciones de MSN, los correos, si entro en un chat....

He descargado el Bazooka, pero no se que tengo que hacer con él, pido mil perdones por mi ignorancia

Muchas gracias, este foro es genial

[msc hotline sat]

Con un keylogger le pueden hasta ver las pantallas que ha mirado, con las imagenes y todo !



Y sobre el uso de estos programas, son muy intuitivos (aunque no los usamos normalmente) y han de instalarse, explorar y a ver que detectan, muy parecidos a un antivirus



igual hay tutoriales y todo, con el google se puede buscar uno



He buscado y mas o menos en todas partes dicen que es muy sencillo... No sé si al desempaquetar saldrá algun fichero de instrucciones ???



saludos



ms, 3-04-2007

[flacoroo]

ok.....dentro de la pagina principal de los mensajeros como yahoo, hotmail y otros para que no se guarden las conversaciones debes deshabilitar la opcion para tal tarea....debes entrar a propiedades y buscar dentro de las pestañas que salen...esto tambien es aplicable cuando entras a un foro deshabilitar la opcion de guardar las conversaciones....



nos dices como te fue....

[vennuss]

Muchas gracias a ambos....

de momento sigo con mi intuición.... a ver si saco algo en claro pero me va a costar unos días....¿no tendreis que pasar por Zaragoza verdad?.... jejejejj

Lo de guardar las conversaciones si lo tengo deshabilitado, eso no es, aun asi muchas gracias, es muy de agradecer tanta eficiencia y eficacia.

Voy a intentar usar metodos más rudimentarios....

Ya os contaré

[msc hotline sat]

Si quieres posteanos log del HJT y miraremos si lo vemos, al menos que no te sigan capturando datos. Y recuerdos al Pilar !


[quote]
[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos
[/quote]

saludos



ms, 3-04-2007

[flacoroo]

queremos que quede tu maquina funcionando correctamente bien....aparte de los programas que te digo MSC que te bajes....bajate tambien el Spybot, lo actualizas y lo ejecutas reiniciando tu compu en modo seguro, lo puedes descargar de la pagina principal de esta web en descargas y ahi tambien esta los programas que te mencionaron antes...

[vennuss]

Logfile of HijackThis v1.99.1

Scan saved at 21:42:36, on 03/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Logitech\QCDriver2\LVCOMS.EXE

C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

C:\Archivos de programa\Executive Software\DiskeeperWorkstation\DKService.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\HP\Digital Imaging\Promotions\HPpromo.exe

C:\WINDOWS\system32\umonit.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\ADS Tech\Instant TV Remote\ADSRMT.exe

C:\WINDOWS\System32\tcpsvcs.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\ARCHIV~1\INCRED~1\bin\IMApp.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\MSN Messenger\livecall.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\DOCUME~1\j\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?linkid=677

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.1629.0\es\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [LVCOMS] C:\Archivos de programa\Archivos comunes\Logitech\QCDriver2\LVCOMS.EXE

O4 - HKLM\..\Run: [PasaKche] E:\Mis documentos\Antonio\pasakche.exe

O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Archivos de programa\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [ADS TVR Agent] C:\Archivos de programa\ADS Tech\INSTANT TV PVR\Scheduled.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe

O4 - HKLM\..\Run: [HPpromo psc 2400 series] "C:\Archivos de programa\HP\Digital Imaging\Promotions\HPpromo.exe" /N "psc 2400 series" -r

O4 - HKLM\..\Run: [UMonit] C:\WINDOWS\system32\umonit.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: TV Remote Control.lnk = C:\Archivos de programa\ADS Tech\Instant TV Remote\ADSRMT.exe

O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\ARCHIV~1\INCRED~1\bin\resources\WebMenuImg.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\j\Menú Inicio\Programas\IMVU\Run IMVU.lnk (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE (file missing)

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0.6.cab

O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://www.contenidospc.com/ruboskizo2.cab

O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371420.cab

O16 - DPF: {BB0578ED-E672-4697-9663-EC5A0460B949} (SomaticCAB.Setup) - http://downloads.searchcentrix.com/install/weblz.CAB

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game09.zylom.com/activex/zylomgamesplayer.cab

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{832A6B92-D63B-4AEA-AEAD-D7413341256E}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{9BF1F0B6-0665-4946-963A-AC956F1F7B36}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{832A6B92-D63B-4AEA-AEAD-D7413341256E}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS2\Services\Tcpip\..\{832A6B92-D63B-4AEA-AEAD-D7413341256E}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Archivos de programa\Executive Software\DiskeeperWorkstation\DKService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)



Ya me dirás cuando puedas si es esto lo que me decías.... nunca me cansare de dar las gracias.....

[flacoroo]

pues yo encuentro limpio tu logs...salvo por esto que ya MSC checara si estoy en lo cierto para que las borres.....

O17 - HKLM\System\CCS\Services\Tcpip\..\{832A6B92-D63B-4AEA-AEAD-D7413341256E}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CCS\Services\Tcpip\..\{9BF1F0B6-0665-4946-963A-AC956F1F7B36}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{832A6B92-D63B-4AEA-AEAD-D7413341256E}: NameServer = 80.58.0.33,80.58.32.97

O17 - HKLM\System\CS2\Services\Tcpip\..\{832A6B92-D63B-4AEA-AEAD-D7413341256E}: NameServer = 80.58.0.33,80.58.32.97

[vennuss]

Sin palabras... absolutamente fascinada, no se como agraderte si algo puedo hacer... dimelo

[vennuss]

He usado el Spybot y en problemas detectados pone (en rojo)Dialerweb.Ruboskizo si no es mucho pedir.... que ya se que si, que os doy mucho la tabarra... me comentais si lo tengo que borrar... o que tengo que hacer con el....

Muchas gracias... otra vez

En esto de ordenadores y tal no os puedo ayudar mucho....bueno nada, pero soy correctora de textos.... si publicais un libro, que estaría muy bien, yo os lo corrijo :wink:

Besos

[msc hotline sat]

Como se nota que estas en mexico, flacoroo !



Estas claves son de los servidores de DNS de la Telefonica de España., el principal ISP de nuestro pais !



No, no deben tocarse!


[quote]80.58.0.33 ES Spain 29 Madrid Madrid 40.4000 -3.6833 Telefonica de Espana Telefonica de Espana

80.58.32.97 ES Spain 56 Catalonia Barcelona 41.3833 2.1833 Telefonica de Espana Telefonica de Espana

80.58.61.250 ES Spain 29 Madrid Madrid 40.4000 -3.6833 Telefonica de Espana Telefonica de Espana

80.58.61.254 ES Spain 29 Madrid Madrid 40.4000 -3.6833 Telefonica de Espana Telefonica de Espana
[/quote]



En cambio tienes estas que sí se deben eliminar, entre las que está el que te instala el ruboskizo a través de un DPF que lo regeneraría si no se eliminara:



Eliminar estas claves:



O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/SmileyCentralInitialSetup1.0.0. 6.cab



O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://www.contenidospc.com/ruboskizo2.cab





O16 - DPF: {BB0578ED-E672-4697-9663-EC5A0460B949} (SomaticCAB.Setup) - http://downloads.searchcentrix.com/install/weblz.CAB









y esta tambien, que disimulando bajo la extension .CMD, ejecuta un SVCHOST paralelo al EXE, en la carpeta de sistema y podria ser con atributo de oculto !



O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)



Para eliminar dichas claves: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Tras lo indicado, reinicia y comentanos el resultado, gracias



saludos



ms, 4-04-2007

[vennuss]

Perdón no se

[vennuss]

He encontrado la explicacion de como se hace , gracias

[msc hotline sat]

Supongo que se refiere a lo indicado en https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

pero ya vemos que se lo guisa y se lo come :lol:



Una cosa: Lo indicado es lo que vemos que tiene, pero puede haber otras hierbas que no veamos, pues los keyloggers, si se precian, pueden ser camuflados como aplicaciones normales, y estar encriptados para que no sean descubiertos, pues por ello se hacen pagar, y a veces es necesario adquirir herramientas de pago para poder localizarlos y desinstalarlos, por ello tras eliminar todo lo indicado, conviene comprobar que lo que se escribe y procese no sea capturado de nuevo para ser enviado, temgalo presente, que tiene " un ladrón en casa " escondido dentro del ordenador y conviene asgurarse de eliminarlo... y dejarlo bien muerto !



saludos



ms, 4-04-2007

[vennuss]

Muchas gracias he hecho lo que me dijiste de borrar las claves y después de iniciar el PC he pasado el Spybot, han salido dos problemas llamados: hitbox y zedo le he dado a reparar y dice que los ha reparado....

Estoy más tranquila.... el problema es que tengo el espía en casa me gusta tener mi intimidad y no estoy segura de que sea solo mía... pero en fin esos problemas no los podeis arreglar vosotros, de todas maneras voy a ir entrando por aqui a ver si aprendo algo y mantengo las cosas bien

Muchas gracias por todo

Besicos maños

[msc hotline sat]

[url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 4-4-2007