Chica cansada de tantos intentos de intrusión (SOLUCIONADO)

[Rosa85X]

Hola a todos, me llamo Rosa y quisiera que algún alma caritativa me dijera cono poder dejar de resibir los intentos de intrusion que tengo desde que visité unas páginas un tanto sospechosas de haker. Menos mal que Norton los está parando pero no deja de salir y molestar la dichosa ventanita disiendome del intento.......... Creo que me han pillado mis datos de pc (mis identificadores) y me lo estan bombardeando o algo así.......... Muchas gracias Rosi :roll:

[msc hotline sat]

Pues como no desconectes el cable de internet ...



De todas maneras posteanos log del HJT, no sea que tengas algun "amigo" en casa



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 29-05-2007

[Rosa85X]

Hola, pues aki teneis lo que me pedis para intentar resolver este pesaso y (me dá miedo) problema. Si no es mucho pedir me podriais explicar que es lo que pretenden esos haker?



Saludos a todos Rosa Montero. :wink:



------------------------------------------------------------



Scan saved at 13:04:18, on 30/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16441)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\system32\o2flash.exe

C:\WINDOWS\system32\oodag.exe

C:\Archivos de programa\Spyware Doctor\svcntaux.exe

C:\Archivos de programa\Spyware Doctor\swdsvc.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe

C:\WINDOWS\System32\alg.exe

X:\Mis documentos\HijackThis.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe



O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe

O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\svcntaux.exe

O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\swdsvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe

[msc hotline sat]

No sé como pero se ha perdido medio log por el camino...



Las claves deben empezar por O1 y empiezan en el 20 ...



Revise su log original y si está asi, que del O1 al 20 no hay nada, lance de nuevo el HJT, gracias



y sobre lo que pretenden los hackers, coders, lamers, llameles como quiera, es hacerse notar, igual que los grafiti "Decoran" puertas y paredes...



Nos ha llegado una informacion de Mn François Paget en la que se ve la sofisticacion actual de una familia/red de virus y el alcance de control mundial de los infectados y datos de los mismos, miraré de postearlo en el foro porque es alucinante ver el trabajo que se toman y el preligro que corremos, por ello quien no se protege con los ultimos parches, antivirus actualizado y cortafuegos a su alcance, es que no sabe donde está metido o es un insconciente



En cuanto nos envie nuevo log completo lo analizaremos, a ver si hay algo, y sino, utilizaremos el SPROCES que llega mas lejos...



saludos



ms, 30-05-2007

[Rosa85X]

Hola, la verdad es que me dejais aterrorizada!!!! Actualmente manejo todas mis cuentas bancarias por internet. No sé, son muchas las medidas de seguridad pero con lo que me contais........... No sé ya que hacer......... Quien me mandaría meterme en zona de haker????? Creeis que debiría dejar de hacerlo???? Vale, no sé donde se quedaria el resto del log....

Ahí os lo vuelvo a mandar. Muchas gracias por la ayuda. Sois unos Soles :wink: Un saludo de Rosa M.



-----------------------------------------------------------



Logfile of HijackThis v1.99.1

Scan saved at 22:10:53, on 30/05/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe

C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe

C:\WINDOWS\system32\o2flash.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

C:\Archivos de programa\Spyware Doctor\svcntaux.exe

C:\Archivos de programa\Spyware Doctor\swdsvc.exe

C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Spyware Doctor\swdoctor.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Norton AntiVirus\NAVW32.exe

C:\Archivos de programa\Symantec\LiveUpdate\LUALL.EXE

C:\Archivos de programa\Symantec\LiveUpdate\LuCallbackProxy.exe

C:\Archivos de programa\Symantec\LiveUpdate\LuCallbackProxy.exe

C:\Archivos de programa\Symantec\LiveUpdate\LuCallbackProxy.exe

X:\Pendientes\spywear\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Archivos de programa\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [SDTray] C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe

O4 - HKLM\..\Run: [ALUAlert] C:\Archivos de programa\Symantec\LiveUpdate\ALuNotify.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by102fd.bay102.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0C4AFE5F-C003-4650-96FD-A1A6393D42F0}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{B55E708C-4F72-47D6-AD11-4822655A0ECE}: NameServer = 80.58.61.250 80.58.61.254

O17 - HKLM\System\CS1\Services\Tcpip\..\{0C4AFE5F-C003-4650-96FD-A1A6393D42F0}: NameServer = 80.58.61.250,80.58.61.254

O17 - HKLM\System\CS2\Services\Tcpip\..\{0C4AFE5F-C003-4650-96FD-A1A6393D42F0}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h cltCommon (file missing)

O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\isPwdSvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe

O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\svcntaux.exe

O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\swdsvc.exe

O23 - Service: Speed Disk service - Symantec Corporation - C:\ARCHIV~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe

[msc hotline sat]

Bueno, pues log limpio, por ahora !



Mucho cuidado ahí fuera ! [url=https://foros.zonavirus.com/viewtopic.php?p=52059#52059][b]NAVEGAR PROTEGIDO[/b][/url]



y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos.



saludos



ms, 31-05-2007



nota: y por lo que indicas de que trabajas con cuentas bancarias, no pulses en links, no ejecutes ficheros no conocidos, no entres en paginas que no conoces, y haz caso al link de NAVEGAR PROTEGIDO indicado al principio, especialmente en lo ultimo que se indica en la nota final, pues fijate en esto por si no lo habias leido:

[Rosa85X]

No quiero ser pesada, pero los intentos de intrusion siguen..... Voy a explicareme lo mejor posible para que me entendais.

Todo empezó al meterme en zona de haker.... :evil: ....

Yo daba casi por seguro que NO tenia infección pues son INTENTOS (Solo intentos) detectados por Norton antivirus + pasé varios programas para detectar alguna infección y nada, todo ok + Cloné con una cópia (en buen estado) que tenia con Ghost y además limpié la parte vacía del resto del disco duro con el eraser. Como veis medidas a tope.......

Siguen todavia las ventanas emergentes con los dichosos intentos de intrusion. Me ponen de los nervios..... y me crean mucha inseguridad.........

Mi humilde opinión es que al abrir el messenger o no sé de que manera (???) mando señales para que me ataquen. ¿Creeis que con el messenger se pueden meter algún tipo de infección? Es que no encuentro otra explicación........ pues como os dije, con el disco duro Formateado,destruido con el Eraser y con la instalación nueva de un clon Limpio.... No puedo pensar que puede ser. Ahhhhhhh o tambien que me hayan incluido en una lista para atacar........

Pues ahi teneis material para averiguar que será, será... como la cansión de Masiel. Un saludo Rosa Montero

[kaninox]

esto rosita no es un viruelo tonces es un ataque a tu, mis preguntas son tu ip es dinamica o no ? la que te da tu distribuidor si no sabes a que me refiero pues te conectas a internet vas a inicio ejecutar escribes cmd das al enter aparece una pantalla negra por defecto, pones ipconfig y te saldra tu numero ip, si te desconectas y vuelves a conectar y este numero cambia es dinamica, tonces es medio complicado atacar asi.. a lo menos que tengas algo residente, que como te digieron log limpio no tienes nada...



ahora yo use norton y cuando esta mal configurado cualquier envio de paquetes por los puertos es ocuparlos entonces ya sea envio o recivo de estos este manda un warning de intento de intrucion, puedes configurarlo para que lo haga de manera silenciosa...



espero te de la opcion... como por ej. eliminar los intentos de intrucion de forma sileciosa o no avisar cuando se elimina algo, no se, que te informe solo de los reales daños al equipo, ahora respecto al messenger si puede que algn contacto te este creando algo en tu pc con los conocidos plus! de este ahora mas avanzados y tu norton reconoce el codigo como malisioso, mi pregunta es solo cuando ocupas messenger ocurre?

tienes algun plus! como el mismo plus! o el discovery algo asi...



saludos...

[msc hotline sat]

Kaninox, te repondo yo que puedo ver la ip de Rosa85X: Su IP es dinámica, pero aviso de que lo que indicas sobre el IPCONFIG te da la IP Intranet, y solo si esta configurado en monopuesto te dará la IP publica, sino será la de tu Intranet, no la IP con la que sales a Internet. En estos casos (multiusuario) se ha de hacer con otras utilidades para saber la IP con la que sales, como



http://www.adsl4ever.com/ip/



Por cierto que al buscarla he visto los test de velocidad en Internet, que pueden ser de interés:



http://www.adsl4ever.com/test/



saludos



ms, 31-05-2007

[kaninox]

Gracias por la aclaracion msc

[msc hotline sat]

No hay de qué, y sea por Messenger o por intento de intrusion por desboradamiento de buffer o por cualquiera de las vulnerabilidades de Windows, a la que su IP aparece en Internet , y si es dinamica como es el caso, simplemente las que estan dentro de un rango, pueden ser bombardeadas remotamente, lo cual coincide con lo que le está pasando...



Un buen cortafuegos, a ser posible por hardware, es recomendable



saludos



me, 31-05-2007

[Rosa85X]

Muchas gracias por todo, sois muy amables. Saludos :lol:

[msc hotline sat]

[url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]





Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 31 de Mayo de 2007