Problemas con el msn en el foro de Chat, E-Mail y Mensajeros:

Bueno no sabia si ponerlo aca o en seguridad , pero ayer mi hermana abre su msn y como teniamos que irnos a comer lo deja abierto y pone "no disponible".

para sorpresa de nosotras cuando volvemos , observamos que no se quien le hablo desde la cuenta de mi hermana a una amiga de ella , poniendole "hola fea" hasta con un icono que ni mi hermana tiene.


en resumen :le hablaron a la amiga de mi hermana desde el msn de mi hermana , siendo que ella y yo no estabamos en la pc.

otro cuestion , recien mi hermana se conecta con su msn y le aparecio en el sub nick una frase que ella nunca puso ! ya formatie la maquina pero se estan analizando con gente conocida los ultimos movimientos de esta PC.

pero lo unico que no nos deja dormir es lo siguiente , le hackearon la cuenta de mi hermana ? .. si es asi se soluciona cambiando la clave?

yo por ahora no quiero abrir ni mi msn , por que tengo miedo que me hackeen a mi tambien

gracias y si me pueden dar una respuesta o solución sera bienvenida

Por lo que contás no creo que le hayan robado la contraseña de la cuenta de tu hermana ya que si hubieran iniciado sesión desde otra pc, vos no verías el "hola fea" y también se te hubiese cerrado el msn por haber iniciado sesión en otra computadora.

Si pinta que debés tener algún spyware o programa de acceso remoto instalado en tu computadora permitiendo que una persona controle tu pc desde otro lugar.

Si querés para empezar bajate el programa "hijackthis" y posteá el .log del análisis que te hace y revisá la compu de virus y spywares.

Saludos, Mauro.

Pase el spybot me dio como problema asolucionar un item llamado : Avenue y lo borre




mira por ahora el programa que me dijsite me tiro esto




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:10:05, on 02/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\thomson\Dragdiag.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe
C:\Archivos de programa\Ares Lite Edition\Ares.exe
C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\WINDOWS\system32\DGL\SVCHOST.EXE
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\system32\DGL\SERVICES.EXE
C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
C:\Archivos de programa\Archivos comunes\Nokia\MPAPI\MPAPI3s.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Archivos de programa\thomson\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [tspcm] C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares Lite Edition\Ares.exe" -h
O4 - HKCU\..\Run: [PcSync] C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [SystemKbs] C:\WINDOWS\system32\DGL\SVCHOST.EXE
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: RocketDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O8 - Extra context menu item: &Search - Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
O8 - Extra context menu item: Add to Windows &Live Favorites - Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - Solo los usuarios registrados pueden ver los links. ¡Registrate ahora, es gratis!
O17 - HKLM\System\CCS\Services\Tcpip\..\{E81F5B53-B12A-4BB3-B7C0-8363E4C45DC9}: NameServer = 200.51.211.7 200.51.212.7
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Archivos de programa\Windows Live\installer\WLSetupSvc.exe (file missing)

Esta entrada me resulta muy sospechosa y diria que habria que eliminarla ya que el archivo SVCHOST.EXE está en system32 y no en DGL

O4 - HKCU\..\Run: [SystemKbs] C:\WINDOWS\system32\DGL\SVCHOST.EXE

Mira quise elimianr por mi cuenta ese archivo y no pude , hasta en modo a pruebas de errores y nada , solo lo desabilite y no me dejo entrar a speedy y no poder acceder a otras cosas de windows.


lo reestableci y ahi anduvo la compu devuelta , lo que si me puse el zone alarm y ahi me decia que ese archivo que pussite vos pedia conexion , y ahora lo unico que modifique es el usuario o sea que yo lo solo yo puedo usar el archivo SVCHOST.EXE.

y desde ahi el zone alarm ya no me jode con que pide conexion , raro pero igual ese archivo sigue ahi no pude nunca mas borrarlo.


ahora mi duda es la siguiente , tengo un espia ? este funciona solo si abro el msn ? o cuando me conecto con speedy?


aaah y otra cosa , curiosa , cuando le pusieron ese mensaje a la amiga de mi hermana el HOLA FEA tambien aparecio escrito con una fuente y color de letra que ella habia utilizado hace un mes maso menos.

PD: si tengo un espia es medio pelotudo en deschavarse solo hablandole a los contactos de mi hermana jaajajajajaja xD

cosa rara pero si me lo podes descifrar te lo re agradesco ya que eestoy ansiosa y asustada hasta esperar neuvos resultados

El tema es este por lo que averigüe:

Esos archivos que marque son parte de un programa llamado "keylogger douglas" y por ende registra todas tus acciones y las manda por internet a un sitio web. De hecho quizás puedas bajarte el programa y revisar la configuración o ver el firewall a que ip está mandando los datos.

Yendo al grano, ya sea que lo mande a una compu específica o que alguien que escanee puertos averigüe que tu compu tiene ese programa activo puede saber todas tus contraseñas y datos que escribís.

Y es por eso que el firewall te indica que accede a internet. Me es raro que por quitarlo no te funcione internet y supuestamente el antivirus debería detectarlo (al menos el nod32 me putéo de arriba a abajo).

Saludos, Mauro.

Agrego que recien puse inicio-ejecutar-Msconfig- y desde ahi en la pestaña de inicio desabilite el archivos de la carpeta DGL/SVCHOST.EXE


Ahora tengo miedo si reinicio con que me puedo llegar a a encontrar jejeje

En teoria en la carpeta dgl dentro de system32 estaría todo el programa y los datos que guarda y con el mismo programa se podria configurar.

De todas formas me es raro que te haya traido problema con la conexión a internet. En todo caso podés bajarte el programa y desinstalarlo con los utilitarios que trae el paquete, aunque no seria malo tratar de saber si hubo algún vivo amigo tuyo o de tu hermana que te puso esa "sorpresa".

Saludos, Mauro.

Mira recien me acorde que yo habia instalado el keylogger douglas y como no sabia como camuflarlo para pasarle a alguien por el msn , lo deje ...capaz que lo que haya pasado que esa informacion se envio a alguien o no se jaja

ahora lo saque con mi contraseña , fue una boludez .... lo que si ahora tuve la oportunidad de preguntar a los que me vieron la pc si habia conexiones o algo referido a programas que te manejan la pc remotamente y me dijeron que no detectaron ningun archivo de esos o conexiones paralelas.

asi que ahora es mas grande mi duda jajaajajaja , pero lo que si me dijeron que podria ser algun resago de un virus que recibio mi hermana hace mucho el famoso "foto_celular.zip" que de tonta lo descargo y se instalo , lo que si mas tarde yo lo pude sacar y borrarlo.


ahora me quede con la duda ajjajaajajajaja

1) Revisá la compu con un buen antivirus.

2) Si el zonealarm te saltó diciendo que el svchost pedía conectarse a internet y vos le diste luz verde como de quien venga la cosa, es como no tener protección alguna.

3) El XP trae un escritorio remoto y dependiendo de que actualizado esté tu sist. operativo que se te puedan meter o no, ahora bien, si a esto le sumo que si el keylogger le mandó datos a alguien y lo que te dije en el punto anterior, no sería descabellado pensar que alguien si pudo meterse en tu compu sin necesidad de instalar cosas raras.

Y por las dudas asegurate de tener en tu compu lo que posteás en la zona de "tu material" y no algo que no quieras que vean otras personas.

Saludos, Mauro0.