Conexion comprometida

Sylver

¿Has aislado las opciones? ¿Tal vez algún bichejo autoejecutable?

whoololon

Fue lo segundo que mire, pero el Process Explorer no me saca nada raro. Extracto en vista simplificada:

Process CPU Private Bytes Working Set PID Description Company Name Network Receives Network Sends Network Delta Send Bytes
ZCfgSvc.exe 13.500 K 19.060 K 712 Intel(R) PROSet/Wireless Zero Config Service Intel(R) Corporation
unsecapp.exe 3.784 K 6.244 K 2852 WMI Microsoft Corporation
TSVNCache.exe 5.688 K 8.532 K 604 TortoiseSVN status cache TortoiseSVN
rundll32.exe 9.892 K 12.600 K 688 Ejecutar un archivo DLL como una aplicación Microsoft Corporation
RTHDCPL.EXE 25.744 K 26.508 K 1788 Realtek HD Audio Control Panel Realtek Semiconductor Corp.
procexp.exe 12.648 K 17.356 K 4024 Sysinternals Process Explorer Sysinternals - Windows Sysinternals: Documentation, downloads and additional resources
procexp.exe 2.31 13.080 K 19.624 K 2156 Sysinternals Process Explorer Sysinternals - Windows Sysinternals: Documentation, downloads and additional resources
iFrmewrk.exe 17.040 K 22.688 K 808 Intel(R) PROSet/Wireless Framework Intel(R) Corporation
iexplore.exe 77.556 K 2.984 K 3664 Internet Explorer Microsoft Corporation
explorer.exe 0.77 51.836 K 48.552 K 1876 Explorador de Windows Microsoft Corporation
DTLite.exe 8.820 K 18.264 K 856 DAEMON Tools Lite DT Soft Ltd
DivXUpdate.exe 4.088 K 8.700 K 840 DivX Update
avgnt.exe 10.456 K 3.056 K 1900 Avira System Tray Tool Avira Operations GmbH & Co. KG

Tanto el MalwareBytes como el Panda ActiveScan lo único que sacaron fueron claves de registro y cookies, pero ningun otro archivo sospechoso ni infectado. Y el tema es que da igual lo que haga, en cuanto aprieto el boton del wifi, espero dos minutos y empieza a mandar datos, le saco informe con el netstat -b>>archivo.txt y luego el systemlook para leerlo y me saca un puñado de aleatorias, por ejemplo:

Conexiones activas

Proto Direcci¢n local Direcci¢n remota Estado PID
TCP Whoololon:23706 41-133-134-143.dsl.mweb.co.za:17911 SYN_SENT 1876
[Explorer.EXE]

TCP Whoololon:23708 186.1.199.185:10900 SYN_SENT 1876
[Explorer.EXE]

TCP Whoololon:23709 179.187.168.92.dynamic.adsl.gvt.net.br:24679 SYN_SENT 1876
[Explorer.EXE]

TCP Whoololon:23710 a95-95-114-46.cpe.netcabo.pt:10769 SYN_SENT 1876
[Explorer.EXE]

TCP Whoololon:23712 50-10-93-254.gar.clearwire-wmx.net:24515 SYN_SENT 1876
[Explorer.EXE]

TCP Whoololon:23713 xdsl-87-79-125-34.netcologne.de:26869 SYN_SENT 1876
[Explorer.EXE]

TCP Whoololon:23714 d24-36-242-237.home1.cgocable.net:23415 SYN_SENT 1876
[Explorer.EXE]

TCP Whoololon:23715 cm10.omega15.maxonline.com.sg:37635 SYN_SENT 1876
[Explorer.EXE]

TCP Whoololon:23716 201-229-28-6.setardsl.aw:17366 SYN_SENT 1876
[Explorer.EXE]

TCP Whoololon:1063 localhost:1064 ESTABLISHED 1876
[Explorer.EXE]

TCP Whoololon:1064 localhost:1063 ESTABLISHED 1876
[Explorer.EXE]

TCP Whoololon:22408 37.208.60.135:61388 ESTABLISHED 1876
[Explorer.EXE]

TCP Whoololon:23079 bb401c8a.virtua.com.br:18139 ESTABLISHED 1876
[Explorer.EXE]

TCP Whoololon:23705 216.244.80.26:http TIME_WAIT 0

Prometo que es lo más marciano que me ha pasado con este tema.:wall:

EDITO: Me voy acercando. Algo que invoca a traves de explorer.exe, (de hecho, si lo paro cesa la actividad ) que no se refleja como amenaza por ningun antivirus ni por el MWB, pero que la está liando pero bien.

ferelxyx

me temo que tienes un troyano y algunos son dificiles de quitar

Sylver

En caso de que sea algún bichejo o troyano, al menos debe haber algún archivo perteneciente residente en tu equipo, aunque sea una librería o algo…

Yo te sugiero:

Restaura sistema a antes de que te pasara

ó bien

tras restaurar entra directamente (o entra sin restaurar o poniendo el disco como esclavo en otro PC, esto último es mejor para evitar que funcione lo que sea que esté funcionando) y busca archivos recientemente añadidos o modificados (normalmente es mejor buscar por última fecha de creación). Por cierto, incluye carpetas y archivos ocultos, obviamente. Cuando tengas al culpable o los culpables, cárgatelos sin piedad o aíslalos en cuarentena en caso de que no puedas eliminarlos por cualquier circunstancia (igual se resisten por asociación a archivos importantes).

Algo como esto no ha llegado a pasarme, pero para algunos bichejos extraños que han llegado a parar a mi equipo alguna vez, he seguido estos trámites en lugar de quebrarme la cabeza con el antivirus, y casi siempre he conseguido cortarles el rollo. Aunque igual no tienes ganas de meterte a investigar "a ojo", y menos a esta hora... es comprensible :dormido:

Saludos nocturnos y suerte con la cacería :sisi:

whoololon

Lo de siempre, formatear y punto.
Eso sí, queda constatado el hecho de que los antivirus gratuitos son una soberana m:mudo:, que solo sirven para dar por:mudo: con anuncios sobre la versión de pago.
Sea lo que sea, se los ha toreado a todos, desde el "Abirria" al "Mimosin" entre otros.
Es que ni uno ha sacado más que un par de cookies y claves de registro sospechosas, otros ni eso. El ComboFix sí me sacó dos librerías infectadas, pero tras borrarlas, pasarle el OTL, CCleaner y volver a pasarle el MWB, seguía igual.
Lo que más me j.fastidia es que lo que sea, sigue ahi, y ningún antivirus lo reconoce como amenaza, y eso es lo peor.
En fin, gracias y perdón por las molestias. :love:

Bm4n

Mete algunos antispy a ver si te lo detectan, y seguro que tiene que haber algun proceso en segundo plano a menos que haya infectado al explorer pero entonces el antivirus deberia detectarlo. Suerte, yo hace poco desues de muchos años me encontre com una infeccion que avast detecto tarde y se fueron a tomar por saco 15000 archivos… Ahora he vuelto a avg :risitas:

Kernel1.0

has probado las herramientas de microsoft… security essentials y la herramienta de eliminación de software mal intencionado??

Fassou

En los Antivirus buenos (de pago), puedes crear un CD de arranque para combatir los rootkit que se ejecutan en modo indetectable :frio:

Pero puedes echar un vistazo a estas utilidades Antirootkit gratuitas y estas versiones libres de esos CD de arranque.

Salu2!

whoololon

Los rootkits ya los revise anoche y nada, y tampoco pude usar el hijackthis porque las conexiones wifi se le atragantan, de modo que esta mañana trasteé un poco y resolví que tardaría menos cepillándome el SO y reinstalando que pasarme el día intentando arreglarlo de oído.
Formateo completo, reinstalo, hago copia de seguridad y paso antivirus a la particion donde guardo los controladores y los programas "serios"… nada. De ahí voy instalando y restaurando hasta que llego al DaemonTools... ¡Y empieza otra vez!
Lo desinstalo, le paso el CCleaner, reinicio y otra vez bien. Instalo una versión más antigua (siempre guardo las versiones más antigua que compruebo que funcionan bien, tanto en aplicaciones como en controladores) y funciona normal.

Curioso, ¿no?

Sylver

Así que es el Daemon Tools… Entonces yo también debo de estar perdiendo ancho de banda como si no hubiera mañana

Voy a mirar...

EDITO:

Pues bueno, con el Daemon Tools sin funcionar (que es como lo tenía xD) no parece haber conexiones extrañas, aparte de las de Firefox, Dropbox y SugarSync. Me voy a dormir tranquilo

Saludos

whoololon

A ver, no le echo la culpa al DT, sino al DT que tenía ya descargado en el disco duro, que aunque me lo bajara de la página oficial o de esa con nombre de refresco que se le echa a la ginebra, podría perfectamente haberse "constipado" mientras estaba en mi equipo.
Constiparse de muy mala manera, porque ni antes, ni durante, ni después hizo saltar al "Abirria" ni al RUBooted.

Edito: ¿Acaso tenías conexiones extrañas antes? O.o

Edito: Para que ésto no quede sólo en el tropezón de un negado cuando le tocó la china, describo a continuacion las "herramientas" que usé:

Process Explorer para mí un programa indispensable, antiguo pero capaz de ofrecer una increíble cantidad de información sobre los procesos abiertos y sus recursos.
ComboFix
HijackThis
RogueKiller
OTL
CCCleaner
MalwareBytes
ADWCleaner

No voy a entrar en los antivirus, porque es el cuento de nunca acabar, y en el tema de los rootkits, Fassou ha puesto ya el enlace. ;D

Sylver

Nada nada, si tampoco digo que fuese el DT, pero como te ha sucedido a ti pues había que mirar por si acaso, que viene a ser un momentito y así se queda uno tranquilo xD
Todo está como hasta ahora, es decir, correctamente

Gracias por compartir los pasos y programas que has usado, este post servirá mucho y a muchos sin duda

¡Saludos!

PD: Si, dije que me iba a dormir a las 12 y poco y aquí sigo… :ugly: Benditos exámenes finales... :alone: