Un perfect keylogger no deseado

Estado
Cerrado para nuevas respuestas

D-i-e-g-o

Nuevo Miembro
Miembro
#1
Hola que tal me llamo Diego y tengo un pqueño problema :D :, resulta que mi computadora tiene Windows XP, pero hay 3 cuentas de usuario (una oculta, otra de mi Papa y la ultima mia), y mi hermanito se ha bajado un keylogger en el usuario de mi viejo, pero cuando yo abro mi cuenta de usuario(la primera vez que inicio cesion..), me ha apararece automáticamente un Registration reminder de un perfec keylogger......... :coolioju: ..., la pregunta s ¿como podría hacer para darme cuenta que ha instalado el keylogger en mi cuenta(bueno, si es que el tener diferntes cuentas de usuario m protg en algo ,,, porque si no ya me fregu......)y ademas como podría protegerme de el o anularlo de mi cuenta si es que ya fue ingresado.........
 

alnitak

Ex-Admin
Miembro
#2
El perfect keylogger es bastante viejo (a no ser que haya salido algúna versión nueva) y cualquier antivirus debería detectarlo.

Para averiguar si algo extraño se arranca con tu sistema haz lo siguiente:

bájate el HijackThis 1.98.2 crea una nueva carpeta que sea solo para el y sálvalo en ella, después ejecútalo, dale a config, después a misc tools, marca la casilla "list empty sections(complete)" y después al boton generate startuplist. te generará un log de todo lo que arranca con tu sistema y si hay algún keylogger arrancandose lo verás por ahí. Claro que tienes que saber reconocer los procesos normales de los sospechosos, si tienes algúna duda copia aquí mismo ese log y te podremos decir si hay algo sospechoso.
 

D-i-e-g-o

Nuevo Miembro
Miembro
#3
El perfect keylogger es bastante viejo (a no ser que haya salido algúna versión nueva) y cualquier antivirus debería detectarlo.

Para averiguar si algo extraño se arranca con tu sistema haz lo siguiente:

bájate el HijackThis 1.98.2 crea una nueva carpeta que sea solo para el y sálvalo en ella, después ejecútalo, dale a config, después a misc tools, marca la casilla "list empty sections(complete)" y después al boton generate startuplist. te generará un log de todo lo que arranca con tu sistema y si hay algún keylogger arrancandose lo verás por ahí. Claro que tienes que saber reconocer los procesos normales de los sospechosos, si tienes algúna duda copia aquí mismo ese log y te podremos decir si hay algo sospechoso.
yap ,, perfecto,, hic lo que me dijist y esta fue la informacionq me imprimio

StartupList report, 18/10/2004, 19:08:23

StartupList version: 1.52.2

Started from : C:\Documents and Settings\Diego\Configuración local\Archivos temporales de Internet\Content.IE5\U1KJAN2T\HijackThis[1].EXE

Detected: Windows XP SP1 (WinNT 5.01.2600)

Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106)

* Using default options

* Including empty and uninteresting sections

==================================================

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Archivos de programa\HyperTechnologies\Deep Freeze\DfServEx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe

C:\ARCHIV~1\THEHAC~1\THSM.EXE

C:\ARCHIV~1\THEHAC~1\thav.exe

C:\ARCHIV~1\THEHAC~1\THD32.EXE

C:\WINDOWS\system32\winlogon.exe

C:\Archivos de programa\HyperTechnologies\Deep Freeze\_$Df\FrzState.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\THEHAC~1\THAV.EXE

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

E:\Archivos de programa\Microsoft Encarta\Biblioteca de Consulta Encarta 2004\EDICT.EXE

C:\WINDOWS\System32\rsvp.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\ARCHIV~1\WINZIP\wzqkpick.exe

C:\Documents and Settings\Diego\Configuración local\Archivos temporales de Internet\Content.IE5\U1KJAN2T\HijackThis[1].exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:

[C:\Documents and Settings\Diego\Menú Inicio\Programas\Inicio]

*No files*

Shell folders AltStartup:

*Folder not found*

User shell folders Startup:

*Folder not found*

User shell folders AltStartup:

*Folder not found*

Shell folders Common Startup:

[C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio]

WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

Shell folders Common AltStartup:

*Folder not found*

User shell folders Common Startup:

*Folder not found*

User shell folders Alternate Common Startup:

*Folder not found*

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

UserInit = C:\WINDOWS\system32\userinit.exe,

[HKLM\Software\Microsoft\Windows\CurrentVersion\Winlogon]

*Registry key not found*

[HKCU\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]

*Registry value not found*

[HKCU\Software\Microsoft\Windows\CurrentVersion\Winlogon]

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

THEHACKERCONSOLA = C:\ARCHIV~1\THEHAC~1\THAV.EXE /NOPRE

perfectstriger = C:\DOCUME~1\CSAR~1\CONFIG~1\Temp\RarSFX0\perfectstriger.exe

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

T_H_S_M = C:\ARCHIV~1\THEHAC~1\THSM.EXE

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

msnmsgr = "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No values found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

[OptionalComponents]

*No values found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

*No subkeys found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

Autorun entries in Registry subkeys of:

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Run

*Registry key not found*

--------------------------------------------------

File association entry for .EXE:

HKEY_CLASSES_ROOT\exefile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .COM:

HKEY_CLASSES_ROOT\comfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .BAT:

HKEY_CLASSES_ROOT\batfile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .PIF:

HKEY_CLASSES_ROOT\piffile\shell\open\command

(Default) = "%1" %*

--------------------------------------------------

File association entry for .SCR:

HKEY_CLASSES_ROOT\scrfile\shell\open\command

(Default) = "%1" /S

--------------------------------------------------

File association entry for .HTA:

HKEY_CLASSES_ROOT\htafile\shell\open\command

(Default) = C:\WINDOWS\System32\mshta.exe "%1" %*

--------------------------------------------------

File association entry for .TXT:

HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = %SystemRoot%\system32\NOTEPAD.EXE %1

--------------------------------------------------

Enumerating ICQ Agent Autostart apps:

HKCU\Software\Mirabilis\ICQ\Agent\Apps

*Registry key not found*

--------------------------------------------------

Load/Run keys from C:\WINDOWS\WIN.INI:

load=*INI section not found*

run=*INI section not found*

Load/Run keys from Registry:

HKLM\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKLM\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKLM\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: load=*Registry value not found*

HKCU\..\Windows NT\CurrentVersion\WinLogon: run=*Registry value not found*

HKCU\..\Windows\CurrentVersion\WinLogon: load=*Registry key not found*

HKCU\..\Windows\CurrentVersion\WinLogon: run=*Registry key not found*

HKCU\..\Windows NT\CurrentVersion\Windows: load=

HKCU\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: load=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: run=*Registry value not found*

HKLM\..\Windows NT\CurrentVersion\Windows: AppInit_DLLs=

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*

SCRNSAVE.EXE=*INI section not found*

drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe

SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr

drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*

HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------

Enumerating Browser Helper Objects:

(no name) - C:\Archivos de programa\TechSmith\SnagIt 6\SnagItBHO.dll - {00C6482D-C502-44C8-8409-FCE54AD9C208}

(no name) - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}

(no name) - e:\Archivos de programa\Dragon Systems\NaturallySpeaquíng\Program\web_ie.dll - {2843DAC1-05EF-11D2-95BA-0060083493D6}

--------------------------------------------------

Enumerating Task Scheduler jobs:

*No jobs found*

--------------------------------------------------

Enumerating Download Program Files:

[DirectAnimation Java Classes]

CODEBASE = file://C:\WINDOWS\Java\classes\dajava.cab

OSD = C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

[Microsoft WFC Forms Designer]

CODEBASE = file://D:\VJ98\wfcforms.cab

OSD = C:\WINDOWS\Downloaded Program Files\Microsoft WFC Forms Designer.osd

[Microsoft XML Parser for Java]

CODEBASE = file://C:\WINDOWS\Java\classes\xmldso.cab

OSD = C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd

[Visual Studio 6 Extensibility Libraries]

CODEBASE = file://D:\VJ98\vstudio6.cab

OSD = C:\WINDOWS\Downloaded Program Files\vstudio6.osd

[Yahoo! Pool 2]

CODEBASE = http://download.games.yahoo.com/games/clients/y/pote_x.cab

OSD = C:\WINDOWS\Downloaded Program Files\Yahoo! Pool 2.osd

[Shockwave Flash Object]

InProcServer32 = C:\WINDOWS\System32\macromed\flash\Flash.ocx

CODEBASE = http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

--------------------------------------------------

Enumerating Winsock LSP files:

NameSpace #1: C:\WINDOWS\System32\mswsock.dll

NameSpace #2: C:\WINDOWS\System32\winrnr.dll

NameSpace #3: C:\WINDOWS\System32\mswsock.dll

Protocol #1: C:\WINDOWS\system32\mswsock.dll

Protocol #2: C:\WINDOWS\system32\mswsock.dll

Protocol #3: C:\WINDOWS\system32\mswsock.dll

Protocol #4: C:\WINDOWS\system32\rsvpsp.dll

Protocol #5: C:\WINDOWS\system32\rsvpsp.dll

Protocol #6: C:\WINDOWS\system32\mswsock.dll

Protocol #7: C:\WINDOWS\system32\mswsock.dll

Protocol #8: C:\WINDOWS\system32\mswsock.dll

Protocol #9: C:\WINDOWS\system32\mswsock.dll

Protocol #10: C:\WINDOWS\system32\mswsock.dll

Protocol #11: C:\WINDOWS\system32\mswsock.dll

--------------------------------------------------

Enumerating Windows NT logon/logoff scripts:

*No scripts set to run*

Windows NT checkdisk command:

BootExecute = autocheck autochk *

Windows NT 'Wininit.ini':

PendingFileRenameOperations: C:\WINDOWS\System32\thsmbacg.tsm

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll

CDBurn: C:\WINDOWS\system32\SHELL32.dll

WebCheck: C:\WINDOWS\System32\webcheck.dll

SysTray: C:\WINDOWS\System32\stobject.dll

--------------------------------------------------

Autorun entries from Registry:

HKCU\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

Autorun entries from Registry:

HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

*Registry key not found*

--------------------------------------------------

End of report, 14.630 bytes

Report generated in 0,241 seconds

Command line options:

/verbose - to add additional info on each section

/complete - to include empty sections and unsuspicious data

/full - to include several rarely-important sections

/force9x - to include Win9x-only startups even if running on WinNT

/forcent - to include WinNT-only startups even if running on Win9x

/forceall - to include all Win9x and WinNT startups, regardless of platform

/history - to list versión history only

a mi parecer no hay nada sospechoso :coolioju: , pero igual, mejor s consultarlo con alguien que sepa no, por siaca ahy te lo mando pa que lo veas y m digas....,,,,, :confused: una pregunta exist algúna forma de que yo envie uno de estos programas(me refiero al keylogger u otro mejor)por correo y que la información c descarge en mi pc? seria bueno saber.....
 

alnitak

Ex-Admin
Miembro
#4
A ver, cuentame algo, como puede tu hermano haber instalado el perfect si tienes el sistema congelado con el deep freeze?

Vamos que tu cuento no me termina de convencer...........

Con el sistema descongelado:

Abre el editor de registro:

Inicio>>ejecutar>>escribes regedit y aceptas

Respáldalo salvándolo como archivo:

Selecciona Mi Pc>pica el menú archivo>exportar>asegurate que esté marcada la casilla todos y salvalo.

Ahora navega el registro hasta encontrar y seleccionar la rama:

HKY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

En el panel derecho elimina esta entrada:

perfectstriger = C:\DOCUME~1\CSAR~1\CONFIG~1\Temp\RarSFX0\perfectstriger.exe

Despuéselimina los archivos temporales y reinicia.

una pregunta exist algúna forma de que yo envie uno de estos programas(me refiero al keylogger u otro mejor)por correo y que la información c descarge en mi pc?
Si

seria bueno saber.....
Bueno para ti tal vez, pero dudo que la persona a quien se lo quieres enviar pueda pensar lo mismo
 

D-i-e-g-o

Nuevo Miembro
Miembro
#5
bueno como t decía el lo instalo (pero previament desconglo....),, tons no hay ningún problema con lo que t envie esta normal? :confused: ?,, tons x el momnto stoy a salvo.. :D .,, mira ahora necesito un programa que me proteja del Personal inspector 4.02(xq lo he escuchado que lo va a adquirir.... :confused: ) si pueds dame una mano con eso tambien.... gracias........
 

alnitak

Ex-Admin
Miembro
#6
Si tu hermano tiene acceso a tu computadora y una cuenta de administrador no hay nada que puedas hacer, solo andar vigilando tus procesos y eliminar cualquier cosa extraña que encuentres
 
Estado
Cerrado para nuevas respuestas
Arriba Pie