Se puede eliminar keylogger de una pc en dominio?

Rodo de contraseñas = te caga tu novia + te caga la plata de las vacaciones.

Estoy posteando ahora desde la susodicah pc pero por el momento con mi modem 3g dado q todavia no me traen el cable de red
No se si será verdad o no lo que me dijeron de q espian las pc pero en el hijack este log parece limpio

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:36:53, on 28/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe
c:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\S3trayp.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\ESET\ESET Smart Security\egui.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.9.129:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.3.4501.141 8\swg.dll
O2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - (no file)
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = vn.sanjuan.gov.ar
O17 - HKLM\Software\..\Telephony: DomainName = vn.sanjuan.gov.ar
O17 - HKLM\System\CCS\Services\Tcpip\..\{347EED1D-D618-4C28-BB75-CC9E9370C75A}: NameServer = 192.168.9.129
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = vn.sanjuan.gov.ar
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = vn.sanjuan.gov.ar
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe
--
End of file - 6275 bytes

Luego le pasé el Spybot y me detectó cosas
[img]http://img260.imageshack.us/img260/8252/spybotz.jpg[/img]

De todo eso no me pudo eliminar el Smitfraud-C ni el Win32.BHO.sx así que reinicié y que escanee y elimine al inicio

Esta pc tiene el Eset Smart Security 3.0.650.0
Se lo voy a pasar a ver que pasa

Sigo con la defensa contra mi jefe
log de Malwarebytes

Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3051
Windows 5.1.2600 Service Pack 2
29/10/2009 7:56:28
mbam-log-2009-10-29 (07-56-28).txt
Tipo de examen : Examen Rápido
Objetos examinados: 118500
Tiempo transcurrido: 2 minute(s), 52 second(s)
Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 1
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 0
Ficheros Infectados: 0
Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Claves del Registro Infectadas:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Worm.Allaple) -> Quarantined and deleted successfully.
Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\ForceClassicControlPan el (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.
Elementos de Datos del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Carpetas Infectadas:
(No se han detectado elementos maliciosos)
Ficheros Infectados:
(No se han detectado elementos maliciosos)

Creo que ya dejo por solucionado el tema, por ahora tal vez?
Desde informática me permitieron formatear la pc
Ya le instalé el AVG, el Spybot y el Malwarebytes ANTES de unirla al dominio
De hecho creo que recien hoy me traen cable de red y la uniremos

Poner un keylogger en esta plataforma ,es un error yo diria grave, mas si estas
en un ambiente administrativo, si la cuestion es auditar para hacerte un sumario
administrativo, estan exponiendo toda la red , antes que preocuparte si te estan
auditando , verifica quien lo halla instalado halla usado un key con su respectiva
licencia y de la pagina oficial , porque no solo estas expuesto vos , si no todos
estan expuestos. Al menos tenes ese derecho que se te aclare que ha sido
instalado como corresponde.

leo3847 :

Disculpame que no te respondí antes. Ya había analizado el log del HJT en su momento, y como dijiste, está impecable. Ayer analicé el de Malwarebytes y sólo pude analizarlo, pero no responderte.

Las entradas fueron eliminadas o puestas en cuarentena, asi que ya no había amenazas. Algunas eran inofensivas, pero otras no se pueden clasificar específicamente: Worm.Allaple , Hijack.ControlPanelStyle y Hijack.Help pueden haber pertenecido a un keylogger.

Respecto a la protección,espero que hayas puesto el AVG pago, porque la versión gratuita no es tan buena. Para gratuitos: Avira o Avast.

Saludos!

Bueno, tema más que solucionado entonces, ahora hay que cuidar de que no lo vuelvan a instalar, cosa que veo poco probable si es que realmente lo usaban, y más con el uso que vos mencionás que le daban. Habría que poder emitir alguna restricción desde las politicas de software de XP, si es que sos administrador en esa máquina, para evitar instalaciones, al menos que te des cuenta cuando lo vayan a poner.

Mejor que lo eliminastes, igual si es verdad que la tiene contra es vos, es fija que de un día para otro te lo instala de nuevo.

Desde que la formatié y hasta que podamos ponerla en dominio claro que soy el administrador de la pc. Lo de las políticas usando el gpedit suena buena opción, siempre y cuando después se pueda poner en dominio Y se pueda hacere algo para que las políticas del dominio no sobre escriban TODAS las politicas locales. Se puede hacer eso?

Las políticas de dominio prevalecen sobre las locales. Asi que por mas restricciones que pongas, te la pisa.


Si la PC está en Dominio, y usás un usuario de Dominio, las políticas se te van a correr. No queda otra.

Algunas cosas:
Si la empresa tiene un departamento de IT masomenos serio (cosa que dudo,tuviste que instalarte la PC vos mismo), deberían hacer lo siguiente cuando meten una PC al dominio:
Sacar del grupo de administradores local a cualquier usuario local.
Cambiar la contraseña del administrador local.
Desinstalar cualquier sistema de seguidad/antivirus, e instalar el corporativo.
Todo esto se puede hacer automaticamente, asi que ni siquiera hace falta que esté un técnico enfrente de tu PC.
Esto se hace, porque por ej, vos instalaste programas que son gratis para usuarios hogareños, pero no asi para empresas. Por lo tanto, instalaste software ilegal en esa PC, que le puede traer problemas legales a la empresa.
Y ni que hablar que los usuarios inexpertos (por lo que eveo, este no es tu caso) instale cosas que desconoce.

Ahora a partir de ahí, depende las cosas que vos podés hacer, teniendo en cuenta lo que ellos NO hagan.

.

.

Consideraciones legales:
Propiedad:
La PC es de la empresa. Solo te la "prestan" a vos, para que hagas tu trabajo. Vos no deberías modificar nada de ella sin permiso, por mas que sea una mejora. Es como que yo le ponga un tubo de nitrógeno a la camioneta del laburo... Esta bueno, pero no se puede!
Claro que esto es en una empresa "ideal". Siempre pasa que los usuarios tienen que terminar arreglando ellos mismos sus propios problemas.

Datos:
Todos los datos que pasan por una PC de la empresa, son propiedad/responsabilidad de la empresa, vos no deberías usar un elemento de la empresa para usos personales (mails personales, messenger, etc), asi como no deberías usar la camioneta del laburo, para irte a la costa, por ej. En la práctica esto no es tan estricto, pero si se presenta un conflicto, se te puede complicar.

Privacidad:
Vos tenés derecho a tu privacidad y la protección de tus datos personales. La empresa no puede meterse en tu mail personal, msn, etc.

Espiar a los empleados:
Este es un tema gris, porque no hay mucha reglamentación sobre los puntos que te puse antes. Pero es muy común juicios/despidos por enviar mails porno desde una PC de la empresa. Tanto desde mails de la empresa o personales. Asi que no está tan mal visto.

Algunos consejos:
._Todo lo que te digo, es respecto a tu PC/sistema operativo. El manejo de los datos, depende de los sistemas que usen.
._No te pongas a luchar "tecnicamente" contra el admistrador. Los datos tienen permisos especiales, pero en cuanto a los equipos, los sistemas están diseñados para que el dominio (y por lo tanto el administrador) tenga prioridad antes que cualquier usuario local o de red.
._Como decía un amigo mio: no te pongas a discutir de abogacía contra el abogado de la empresa, porque él estudió y cobra para eso, asi que te lleva ventaja.
._Si tenés porblemas serios, no uses la PC del trabajo par tus cosas. Si en verdad te quieren cagar, hay muchas formas de ver lo que envias/recibis, sin siquiera usar tu PC.
._Por lo que leí al principio, tu problema es sindical. Asi que ojo! Cuidate bastante con las cosas que hacés.




Muy bien resumido, y muy cierto. El mejor consejo de todos.