Conexion comprometida


  • 0

    Conste que mientras escribo esto, hago lo que puedo para librarme del problema.
    Basicamente, un dia me encuentro con que la luz del wifi no para de parpadear sin tener ninguna aplicacion abierta. Confirmo que nadie está conectado a mi equipo ni mi conexión, y compruebo con el system explorer las aplicaciones que se estan ejecutando. Todo normal.
    El antivirus no marca nada y el malwarebytes me saca 6 alertas en el registro:

    Valores del Registro Detectados: 1
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|ForceClassicControlPanel (Hijack.ControlPanelStyle) -> datos: 1 -> No se tomaron medidas.

    Elementos de Datos del Registro Detectados: 5
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced|Start_ShowHelp (PUM.Hijack.StartMenu) -> Malo: (0) Bueno: (1) -> No se tomaron medidas.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer|NoSMHelp (PUM.Hijack.Help) -> Malo: (1) Bueno: (0) -> No se tomaron medidas.
    HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Malo: (1) Bueno: (0) -> No se tomaron medidas.
    HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Malo: (1) Bueno: (0) -> No se tomaron medidas.
    HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Malo: (1) Bueno: (0) -> No se tomaron medidas.

    Las pongo a remojo, limpio la cache del navegador y los archivos temporales del disco duro, pero aun asi, me siguen saliendo las siguientes conexiones:

    Conexiones activas

    Proto Direcci¢n local Direcci¢n remota Estado PID
    TCP Whoololon:8879 87.159.187.177.isp.timbrasil.com.br:20142 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:8885 cpe-67-249-72-175.twcny.res.rr.com:10744 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:8886 109.88.48.118:10406 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:8889 host57-239-dynamic.8-87-r.retail.telecomitalia.it:32898 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:8890 a79-169-184-50.cpe.netcabo.pt:26600 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:8891 84.123.146.156.dyn.user.ono.com:51936 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:8892 197.162.58.127:33912 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:8893 91-233-157-99.interkonekt.pl:15941 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:8897 41.130.69.223:19683 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:1063 localhost:1064 ESTABLISHED 1876
    [Explorer.EXE]

    TCP Whoololon:1064 localhost:1063 ESTABLISHED 1876
    [Explorer.EXE]

    TCP Whoololon:8136 62.43.57.93.dyn.user.ono.com:57024 ESTABLISHED 1876
    [Explorer.EXE]

    TCP Whoololon:8895 230.56.20.95.dynamic.jazztel.es:49469 ESTABLISHED 1876
    [Explorer.EXE]

    TCP Whoololon:8896 154.45.216.171:1238 ESTABLISHED 1876
    [Explorer.EXE]

    TCP Whoololon:8881 219-90-200-49.ip.adam.com.au:26940 LAST_ACK 1876
    [Explorer.EXE]

    TCP Whoololon:8888 216.244.80.26:http TIME_WAIT 0

    Reinicio, y las vuelvo a comprobar:

    Conexiones activas

    Proto Direcci¢n local Direcci¢n remota Estado PID
    TCP Whoololon:11155 131.182.30.109.rev.sfr.net:13997 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:11156 host251-14-dynamic.53-79-r.retail.telecomitalia.it:36665 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:11157 175.142.157.236:25540 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:11159 chello089173025114.chello.sk:27065 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:1063 localhost:1064 ESTABLISHED 1876
    [Explorer.EXE]

    TCP Whoololon:1064 localhost:1063 ESTABLISHED 1876
    [Explorer.EXE]

    TCP Whoololon:11072 localhost:11073 ESTABLISHED 3420
    [firefox.exe]

    TCP Whoololon:11073 localhost:11072 ESTABLISHED 3420
    [firefox.exe]

    TCP Whoololon:11078 lis01s06-in-f18.1e100.net:http ESTABLISHED 3420
    [firefox.exe]

    TCP Whoololon:11079 lis01s06-in-f24.1e100.net:http ESTABLISHED 3420
    [firefox.exe]

    TCP Whoololon:11081 lis01s06-in-f24.1e100.net:http ESTABLISHED 3420
    [firefox.exe]

    TCP Whoololon:11082 lis01s06-in-f24.1e100.net:http ESTABLISHED 3420
    [firefox.exe]

    TCP Whoololon:11088 mad01s15-in-f15.1e100.net:http ESTABLISHED 3420
    [firefox.exe]

    TCP Whoololon:11104 c-68-32-93-199.hsd1.mi.comcast.net:63256 ESTABLISHED 1876
    [Explorer.EXE]

    TCP Whoololon:11152 host124-99-dynamic.233-95-r.retail.telecomitalia.it:6881 ESTABLISHED 1876
    [Explorer.EXE]

    Y estoy ya de los nervios, se está chupando la mitad de la capacidad de subida y me está tocando la moral sobremanera, de manera que o lo soluciono pronto o le arreo un formateo y se acabó.
    ¿Alguna idea?
    Gracias de antemano.



  • 1

    ¿Has aislado las opciones? ¿Tal vez algún bichejo autoejecutable?



  • 2

    Fue lo segundo que mire, pero el Process Explorer no me saca nada raro. Extracto en vista simplificada:

    Process CPU Private Bytes Working Set PID Description Company Name Network Receives Network Sends Network Delta Send Bytes
    ZCfgSvc.exe 13.500 K 19.060 K 712 Intel(R) PROSet/Wireless Zero Config Service Intel(R) Corporation
    unsecapp.exe 3.784 K 6.244 K 2852 WMI Microsoft Corporation
    TSVNCache.exe 5.688 K 8.532 K 604 TortoiseSVN status cache TortoiseSVN
    rundll32.exe 9.892 K 12.600 K 688 Ejecutar un archivo DLL como una aplicación Microsoft Corporation
    RTHDCPL.EXE 25.744 K 26.508 K 1788 Realtek HD Audio Control Panel Realtek Semiconductor Corp.
    procexp.exe 12.648 K 17.356 K 4024 Sysinternals Process Explorer Sysinternals - Windows Sysinternals: Documentation, downloads and additional resources
    procexp.exe 2.31 13.080 K 19.624 K 2156 Sysinternals Process Explorer Sysinternals - Windows Sysinternals: Documentation, downloads and additional resources
    iFrmewrk.exe 17.040 K 22.688 K 808 Intel(R) PROSet/Wireless Framework Intel(R) Corporation
    iexplore.exe 77.556 K 2.984 K 3664 Internet Explorer Microsoft Corporation
    explorer.exe 0.77 51.836 K 48.552 K 1876 Explorador de Windows Microsoft Corporation
    DTLite.exe 8.820 K 18.264 K 856 DAEMON Tools Lite DT Soft Ltd
    DivXUpdate.exe 4.088 K 8.700 K 840 DivX Update
    avgnt.exe 10.456 K 3.056 K 1900 Avira System Tray Tool Avira Operations GmbH & Co. KG

    Tanto el MalwareBytes como el Panda ActiveScan lo único que sacaron fueron claves de registro y cookies, pero ningun otro archivo sospechoso ni infectado. Y el tema es que da igual lo que haga, en cuanto aprieto el boton del wifi, espero dos minutos y empieza a mandar datos, le saco informe con el netstat -b>>archivo.txt y luego el systemlook para leerlo y me saca un puñado de aleatorias, por ejemplo:

    Conexiones activas

    Proto Direcci¢n local Direcci¢n remota Estado PID
    TCP Whoololon:23706 41-133-134-143.dsl.mweb.co.za:17911 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:23708 186.1.199.185:10900 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:23709 179.187.168.92.dynamic.adsl.gvt.net.br:24679 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:23710 a95-95-114-46.cpe.netcabo.pt:10769 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:23712 50-10-93-254.gar.clearwire-wmx.net:24515 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:23713 xdsl-87-79-125-34.netcologne.de:26869 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:23714 d24-36-242-237.home1.cgocable.net:23415 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:23715 cm10.omega15.maxonline.com.sg:37635 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:23716 201-229-28-6.setardsl.aw:17366 SYN_SENT 1876
    [Explorer.EXE]

    TCP Whoololon:1063 localhost:1064 ESTABLISHED 1876
    [Explorer.EXE]

    TCP Whoololon:1064 localhost:1063 ESTABLISHED 1876
    [Explorer.EXE]

    TCP Whoololon:22408 37.208.60.135:61388 ESTABLISHED 1876
    [Explorer.EXE]

    TCP Whoololon:23079 bb401c8a.virtua.com.br:18139 ESTABLISHED 1876
    [Explorer.EXE]

    TCP Whoololon:23705 216.244.80.26:http TIME_WAIT 0

    Prometo que es lo más marciano que me ha pasado con este tema.:wall:

    EDITO: Me voy acercando. Algo que invoca a traves de explorer.exe, (de hecho, si lo paro cesa la actividad ) que no se refleja como amenaza por ningun antivirus ni por el MWB, pero que la está liando pero bien.



  • 3

    me temo que tienes un troyano y algunos son dificiles de quitar



  • 4

    En caso de que sea algún bichejo o troyano, al menos debe haber algún archivo perteneciente residente en tu equipo, aunque sea una librería o algo…

    Yo te sugiero:

    Restaura sistema a antes de que te pasara

    ó bien

    tras restaurar entra directamente (o entra sin restaurar o poniendo el disco como esclavo en otro PC, esto último es mejor para evitar que funcione lo que sea que esté funcionando) y busca archivos recientemente añadidos o modificados (normalmente es mejor buscar por última fecha de creación). Por cierto, incluye carpetas y archivos ocultos, obviamente. Cuando tengas al culpable o los culpables, cárgatelos sin piedad o aíslalos en cuarentena en caso de que no puedas eliminarlos por cualquier circunstancia (igual se resisten por asociación a archivos importantes).

    Algo como esto no ha llegado a pasarme, pero para algunos bichejos extraños que han llegado a parar a mi equipo alguna vez, he seguido estos trámites en lugar de quebrarme la cabeza con el antivirus, y casi siempre he conseguido cortarles el rollo. Aunque igual no tienes ganas de meterte a investigar "a ojo", y menos a esta hora... es comprensible :dormido:

    Saludos nocturnos y suerte con la cacería :sisi:



  • 5

    Lo de siempre, formatear y punto.
    Eso sí, queda constatado el hecho de que los antivirus gratuitos son una soberana m:mudo:, que solo sirven para dar por:mudo: con anuncios sobre la versión de pago.
    Sea lo que sea, se los ha toreado a todos, desde el "Abirria" al "Mimosin" entre otros.
    Es que ni uno ha sacado más que un par de cookies y claves de registro sospechosas, otros ni eso. El ComboFix sí me sacó dos librerías infectadas, pero tras borrarlas, pasarle el OTL, CCleaner y volver a pasarle el MWB, seguía igual.
    Lo que más me j.fastidia es que lo que sea, sigue ahi, y ningún antivirus lo reconoce como amenaza, y eso es lo peor.
    En fin, gracias y perdón por las molestias. :love:



  • 6

    Mete algunos antispy a ver si te lo detectan, y seguro que tiene que haber algun proceso en segundo plano a menos que haya infectado al explorer pero entonces el antivirus deberia detectarlo. Suerte, yo hace poco desues de muchos años me encontre com una infeccion que avast detecto tarde y se fueron a tomar por saco 15000 archivos… Ahora he vuelto a avg :risitas:



  • 7

    has probado las herramientas de microsoft… security essentials y la herramienta de eliminación de software mal intencionado??



  • 8

    En los Antivirus buenos (de pago), puedes crear un CD de arranque para combatir los rootkit que se ejecutan en modo indetectable :frio:

    Pero puedes echar un vistazo a estas utilidades Antirootkit gratuitas y estas versiones libres de esos CD de arranque.

    Salu2!



  • 9

    Los rootkits ya los revise anoche y nada, y tampoco pude usar el hijackthis porque las conexiones wifi se le atragantan, de modo que esta mañana trasteé un poco y resolví que tardaría menos cepillándome el SO y reinstalando que pasarme el día intentando arreglarlo de oído.
    Formateo completo, reinstalo, hago copia de seguridad y paso antivirus a la particion donde guardo los controladores y los programas "serios"… nada. De ahí voy instalando y restaurando hasta que llego al DaemonTools... ¡Y empieza otra vez!
    Lo desinstalo, le paso el CCleaner, reinicio y otra vez bien. Instalo una versión más antigua (siempre guardo las versiones más antigua que compruebo que funcionan bien, tanto en aplicaciones como en controladores) y funciona normal.

    Curioso, ¿no?



  • 10

    Así que es el Daemon Tools… Entonces yo también debo de estar perdiendo ancho de banda como si no hubiera mañana :|

    Voy a mirar...

    EDITO:

    Pues bueno, con el Daemon Tools sin funcionar (que es como lo tenía xD) no parece haber conexiones extrañas, aparte de las de Firefox, Dropbox y SugarSync. Me voy a dormir tranquilo :p

    Saludos



  • 11

    A ver, no le echo la culpa al DT, sino al DT que tenía ya descargado en el disco duro, que aunque me lo bajara de la página oficial o de esa con nombre de refresco que se le echa a la ginebra, podría perfectamente haberse "constipado" mientras estaba en mi equipo.
    Constiparse de muy mala manera, porque ni antes, ni durante, ni después hizo saltar al "Abirria" ni al RUBooted.

    Edito: ¿Acaso tenías conexiones extrañas antes? O.o

    Edito: Para que ésto no quede sólo en el tropezón de un negado cuando le tocó la china, describo a continuacion las "herramientas" que usé:

    Process Explorer para mí un programa indispensable, antiguo pero capaz de ofrecer una increíble cantidad de información sobre los procesos abiertos y sus recursos.
    ComboFix
    HijackThis
    RogueKiller
    OTL

    CCCleaner
    MalwareBytes
    ADWCleaner

    No voy a entrar en los antivirus, porque es el cuento de nunca acabar, y en el tema de los rootkits, Fassou ha puesto ya el enlace. ;D



  • 12

    Nada nada, si tampoco digo que fuese el DT, pero como te ha sucedido a ti pues había que mirar por si acaso, que viene a ser un momentito y así se queda uno tranquilo xD
    Todo está como hasta ahora, es decir, correctamente :p

    Gracias por compartir los pasos y programas que has usado, este post servirá mucho y a muchos sin duda :)

    ¡Saludos!

    PD: Si, dije que me iba a dormir a las 12 y poco y aquí sigo… :ugly: Benditos exámenes finales... :alone:





Has perdido la conexión. Reconectando a Hardlimit.