Conexion comprometida

whoololon

Fue lo segundo que mire, pero el Process Explorer no me saca nada raro. Extracto en vista simplificada:

Process CPU Private Bytes Working Set PID Description Company Name Network Receives Network Sends Network Delta Send Bytes
ZCfgSvc.exe 13.500 K 19.060 K 712 Intel(R) PROSet/Wireless Zero Config Service Intel(R) Corporation
unsecapp.exe 3.784 K 6.244 K 2852 WMI Microsoft Corporation
TSVNCache.exe 5.688 K 8.532 K 604 TortoiseSVN status cache TortoiseSVN
rundll32.exe 9.892 K 12.600 K 688 Ejecutar un archivo DLL como una aplicación Microsoft Corporation
RTHDCPL.EXE 25.744 K 26.508 K 1788 Realtek HD Audio Control Panel Realtek Semiconductor Corp.
procexp.exe 12.648 K 17.356 K 4024 Sysinternals Process Explorer Sysinternals - Windows Sysinternals: Documentation, downloads and additional resources
procexp.exe 2.31 13.080 K 19.624 K 2156 Sysinternals Process Explorer Sysinternals - Windows Sysinternals: Documentation, downloads and additional resources
iFrmewrk.exe 17.040 K 22.688 K 808 Intel(R) PROSet/Wireless Framework Intel(R) Corporation
iexplore.exe 77.556 K 2.984 K 3664 Internet Explorer Microsoft Corporation
explorer.exe 0.77 51.836 K 48.552 K 1876 Explorador de Windows Microsoft Corporation
DTLite.exe 8.820 K 18.264 K 856 DAEMON Tools Lite DT Soft Ltd
DivXUpdate.exe 4.088 K 8.700 K 840 DivX Update
avgnt.exe 10.456 K 3.056 K 1900 Avira System Tray Tool Avira Operations GmbH & Co. KG

Tanto el MalwareBytes como el Panda ActiveScan lo único que sacaron fueron claves de registro y cookies, pero ningun otro archivo sospechoso ni infectado. Y el tema es que da igual lo que haga, en cuanto aprieto el boton del wifi, espero dos minutos y empieza a mandar datos, le saco informe con el netstat -b>>archivo.txt y luego el systemlook para leerlo y me saca un puñado de aleatorias, por ejemplo:

Conexiones activas

Proto Direcci¢n local Direcci¢n remota Estado PID
TCP Whoololon:23706 41-133-134-143.dsl.mweb.co.za:17911 SYN_SENT 1876
[Explorer.EXE]

TCP Whoololon:23708 186.1.199.185:10900 SYN_SENT 1876
[Explorer.EXE]

TCP Whoololon:23709 179.187.168.92.dynamic.adsl.gvt.net.br:24679 SYN_SENT 1876
[Explorer.EXE]

TCP Whoololon:23710 a95-95-114-46.cpe.netcabo.pt:10769 SYN_SENT 1876
[Explorer.EXE]

TCP Whoololon:23712 50-10-93-254.gar.clearwire-wmx.net:24515 SYN_SENT 1876
[Explorer.EXE]

TCP Whoololon:23713 xdsl-87-79-125-34.netcologne.de:26869 SYN_SENT 1876
[Explorer.EXE]

TCP Whoololon:23714 d24-36-242-237.home1.cgocable.net:23415 SYN_SENT 1876
[Explorer.EXE]

TCP Whoololon:23715 cm10.omega15.maxonline.com.sg:37635 SYN_SENT 1876
[Explorer.EXE]

TCP Whoololon:23716 201-229-28-6.setardsl.aw:17366 SYN_SENT 1876
[Explorer.EXE]

TCP Whoololon:1063 localhost:1064 ESTABLISHED 1876
[Explorer.EXE]

TCP Whoololon:1064 localhost:1063 ESTABLISHED 1876
[Explorer.EXE]

TCP Whoololon:22408 37.208.60.135:61388 ESTABLISHED 1876
[Explorer.EXE]

TCP Whoololon:23079 bb401c8a.virtua.com.br:18139 ESTABLISHED 1876
[Explorer.EXE]

TCP Whoololon:23705 216.244.80.26:http TIME_WAIT 0

Prometo que es lo más marciano que me ha pasado con este tema.:wall:

EDITO: Me voy acercando. Algo que invoca a traves de explorer.exe, (de hecho, si lo paro cesa la actividad ) que no se refleja como amenaza por ningun antivirus ni por el MWB, pero que la está liando pero bien.

ferelxyx

me temo que tienes un troyano y algunos son dificiles de quitar

Sylver

En caso de que sea algún bichejo o troyano, al menos debe haber algún archivo perteneciente residente en tu equipo, aunque sea una librería o algo…

Yo te sugiero:

Restaura sistema a antes de que te pasara

ó bien

tras restaurar entra directamente (o entra sin restaurar o poniendo el disco como esclavo en otro PC, esto último es mejor para evitar que funcione lo que sea que esté funcionando) y busca archivos recientemente añadidos o modificados (normalmente es mejor buscar por última fecha de creación). Por cierto, incluye carpetas y archivos ocultos, obviamente. Cuando tengas al culpable o los culpables, cárgatelos sin piedad o aíslalos en cuarentena en caso de que no puedas eliminarlos por cualquier circunstancia (igual se resisten por asociación a archivos importantes).

Algo como esto no ha llegado a pasarme, pero para algunos bichejos extraños que han llegado a parar a mi equipo alguna vez, he seguido estos trámites en lugar de quebrarme la cabeza con el antivirus, y casi siempre he conseguido cortarles el rollo. Aunque igual no tienes ganas de meterte a investigar "a ojo", y menos a esta hora... es comprensible :dormido:

Saludos nocturnos y suerte con la cacería :sisi:

whoololon

Lo de siempre, formatear y punto.
Eso sí, queda constatado el hecho de que los antivirus gratuitos son una soberana m:mudo:, que solo sirven para dar por:mudo: con anuncios sobre la versión de pago.
Sea lo que sea, se los ha toreado a todos, desde el "Abirria" al "Mimosin" entre otros.
Es que ni uno ha sacado más que un par de cookies y claves de registro sospechosas, otros ni eso. El ComboFix sí me sacó dos librerías infectadas, pero tras borrarlas, pasarle el OTL, CCleaner y volver a pasarle el MWB, seguía igual.
Lo que más me j.fastidia es que lo que sea, sigue ahi, y ningún antivirus lo reconoce como amenaza, y eso es lo peor.
En fin, gracias y perdón por las molestias. :love:

Bm4n

Mete algunos antispy a ver si te lo detectan, y seguro que tiene que haber algun proceso en segundo plano a menos que haya infectado al explorer pero entonces el antivirus deberia detectarlo. Suerte, yo hace poco desues de muchos años me encontre com una infeccion que avast detecto tarde y se fueron a tomar por saco 15000 archivos… Ahora he vuelto a avg :risitas:

Kernel1.0

has probado las herramientas de microsoft… security essentials y la herramienta de eliminación de software mal intencionado??

Fassou

En los Antivirus buenos (de pago), puedes crear un CD de arranque para combatir los rootkit que se ejecutan en modo indetectable :frio:

Pero puedes echar un vistazo a estas utilidades Antirootkit gratuitas y estas versiones libres de esos CD de arranque.

Salu2!

whoololon

Los rootkits ya los revise anoche y nada, y tampoco pude usar el hijackthis porque las conexiones wifi se le atragantan, de modo que esta mañana trasteé un poco y resolví que tardaría menos cepillándome el SO y reinstalando que pasarme el día intentando arreglarlo de oído.
Formateo completo, reinstalo, hago copia de seguridad y paso antivirus a la particion donde guardo los controladores y los programas "serios"… nada. De ahí voy instalando y restaurando hasta que llego al DaemonTools... ¡Y empieza otra vez!
Lo desinstalo, le paso el CCleaner, reinicio y otra vez bien. Instalo una versión más antigua (siempre guardo las versiones más antigua que compruebo que funcionan bien, tanto en aplicaciones como en controladores) y funciona normal.

Curioso, ¿no?

Sylver

Así que es el Daemon Tools… Entonces yo también debo de estar perdiendo ancho de banda como si no hubiera mañana

Voy a mirar...

EDITO:

Pues bueno, con el Daemon Tools sin funcionar (que es como lo tenía xD) no parece haber conexiones extrañas, aparte de las de Firefox, Dropbox y SugarSync. Me voy a dormir tranquilo

Saludos

whoololon

A ver, no le echo la culpa al DT, sino al DT que tenía ya descargado en el disco duro, que aunque me lo bajara de la página oficial o de esa con nombre de refresco que se le echa a la ginebra, podría perfectamente haberse "constipado" mientras estaba en mi equipo.
Constiparse de muy mala manera, porque ni antes, ni durante, ni después hizo saltar al "Abirria" ni al RUBooted.

Edito: ¿Acaso tenías conexiones extrañas antes? O.o

Edito: Para que ésto no quede sólo en el tropezón de un negado cuando le tocó la china, describo a continuacion las "herramientas" que usé:

Process Explorer para mí un programa indispensable, antiguo pero capaz de ofrecer una increíble cantidad de información sobre los procesos abiertos y sus recursos.
ComboFix
HijackThis
RogueKiller
OTL
CCCleaner
MalwareBytes
ADWCleaner

No voy a entrar en los antivirus, porque es el cuento de nunca acabar, y en el tema de los rootkits, Fassou ha puesto ya el enlace. ;D

Sylver

Nada nada, si tampoco digo que fuese el DT, pero como te ha sucedido a ti pues había que mirar por si acaso, que viene a ser un momentito y así se queda uno tranquilo xD
Todo está como hasta ahora, es decir, correctamente

Gracias por compartir los pasos y programas que has usado, este post servirá mucho y a muchos sin duda

¡Saludos!

PD: Si, dije que me iba a dormir a las 12 y poco y aquí sigo… :ugly: Benditos exámenes finales... :alone: