Hola,

tengo dudas de que una persona que usó durante un rato mi pc supuestamente para cambiar datos de unA memoria USB a otra me haya metido algún virus o algo para poder espiarme y sacar mis contraseñas de correo, banco etc...

el chaval tiene bastantes antecedentes, estuvo 5 minutos con mi pc a solas y se le apagó porque no tenía batería.

yo hice una búsqueda en windows de los archivos creados y modificados durante el tiempo que estuvo él y esta fue el resultado:

no querria conectarme con ese pc y lo más seguro es que lo formatee. Pero me gustaría saber si me intentó meter algo!!!

Los archivos que se modificaron por orden de modificación fueron:

c:/windows/bootstat
c:/windows/debug/passwd
c:/windows/wiadebug
c:/windows/0
c:/windows/system32/wbem/repository/FS/OBJECTS.DATA
c:/windows/system32/wbem/repository/FS/INDEX.BTR
c:/Documents and settings/juan/configuracion local/temp/ DF6D6F.tmp
c:/Documents and settings/juan/configuracion local/temp/ DF6D68.tmp
c:/Documents and settings/juan/cookies/index
c:/windows/system32/config/system
c:/windows/system32/wbem/repository/FS/INDEX.MAP
c:/windows/system32/wbem/repository/FS/OBJECTS.MAP
c:/Documents and settings/juan/configuracion local/datos de programa/applicationhistory/acstart16.exe.ba1f78f1
c:/Documents and settings/juan/configuracion local/datos de programa/microsoft/windows/usrclass.dat
c:/archivos de programa/hewlett-packard/digital imaging/hp psc 1100 series/1143319728/data/1143319728.evm
c:/windows/system32/config/default
c:/windows/softwaredistribution/eventcache/{7F70E8B2-0723-48B9-AB76-C7275D08346A}
c:/windows/setupapi
c:/windows/system32/wbem/logs/wbemess.lo_
c:/windows/prefetch/wuauclt.exe-399A8E72.pf
c:/windows/prefetch/NTOSBOOT-B00DFAAD.pf
c:/windows/system32/CatRoot2/{127D0A1D-4EF2-11D1-8608-00C04FC295EE}/catdb
c:/windows/system32/wbem/logs/WinMgmt
c:/windows/system32/wbem/logs/wmiprov
c:/windows/system32/CatRoot2/{F750E6C3-38EE-11D1-85E5-00C04FC295EE}/catdb
c:/windows/system32/CatRoot2/edb.chk
c:/windows/system32/CatRoot2/edb


Los archivos que se crearon por orden de creación fueron:


c:/Documents and settings/juan/configuracion local/temp/ DF6D68.tmp
c:/Documents and settings/juan/configuracion local/temp/ DF6D6F.tmp
c:/WINDOWS/SoftwareDistribution/EventCache/{7F70E8B2-0723-48B9-AB76-C7275D08346A}


TODO ESTO SUPUESTAMENTE SÓLO PASÓ LOS DATOS DE UNA MEMORIA USB A OTRA!!!!


¿Que opinais?

Saludos???

Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia para el HijackThis (por ejemplo una carpeta C:\HijackThis\). Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.
Una vez descargado, da doble click en el icono del HijackThis.exe.
Primero da click en el botón "Config", y aparecerán 7 opciones . Fíjate que no estén tildadas la primera ( “Mark everything found for fixing alter scan”) y la última (“Run Hijack This scan at startup and show it ítems are fond”).Luego presiona "Back"
Para empezar el escaneo de posibles hijackers, clickea en el botón "Scan". Se te presentará una lista con todos los elementos encontrados por el programa .
Baja el HijackThis de aquí:
http://www.trucoswindows.net/downloadview-....html#dldetails
Comienza un nuevo post y pega el log acá:
http://www.trucoswindows.net/foro/index.php?act=SF&s=&f=31
Salu2
Caito