Módem transmite datos a direcciones remotas (SOLUCIONADO)

[ivanovic77]

He instalado el firewall Outpost para intentar solucionar el problema que explicaba en los siguientes hilos:

[url]http://foros.zonavirus.com/conexion-lenta-modem-transmite-datos-solucionado-vt13506.html[/url]

[url]http://foros.zonavirus.com/conexion-lenta-modem-transmite-datos-2-solucionado-vt13522.html[/url]



A través del firewall, he visto que mi equipo envía una enorme cantidad de paquetes de datos a direcciones remotas, todo en un lapso de tiempo muy corto (en menos de 1 minuto puede intentar establecer más de 200 conexiones, bloqueando el módem). Ejemplos de direcciones con las que trata de establecer contacto (según el registro del firewall Outpost):



18:57:10 mail.botsnet.bw 168.167.71.132

18:56:59 mail.telelingua.fr 212.180.37.162

18:56:58 svdgtec29.mhcp.gob.ni 165.98.49.18

18:56:57 email.bureauveritas.com 83.145.101.189, 83.206.16.189

18:56:56 mx.us.army.mil 143.69.243.34

18:56:44 mail.students.yeditepe.edu.tr 195.49.216.9

18:56:43 mail7.hsphere.cc 216.157.145.27

18:56:43 smtp.synergia-france.com.fr 83.206.160.243

18:56:41 smtp.gulf.or.jp 218.228.197.66

18:56:41 mail.mediarete.it 213.92.102.108



Véanse los pocos segundos que transcurren entre cada conexión. Muchas de ellas son conexiones a puertos cerrados.



Expongo aquí la lista de conexiones activas que aparece después de teclear [b]NETSTAT -NA[/b] en la pantalla de MS-DOS. (Nota: Test tomado justo cuando se están produciendo las misteriosas conexiones):



Conexiones activas



Proto Dirección local Dirección remota Estado

TCP 0.0.0.0:135 0.0.0.0:0 LISTENING

TCP 0.0.0.0:445 0.0.0.0:0 LISTENING

TCP 0.0.0.0:803 0.0.0.0:0 LISTENING

TCP 88.9.136.104:139 0.0.0.0:0 LISTENING

TCP 127.0.0.1:1026 0.0.0.0:0 LISTENING

TCP 127.0.0.1:10110 0.0.0.0:0 LISTENING

UDP 0.0.0.0:445 *:*

UDP 0.0.0.0:500 *:*

UDP 0.0.0.0:1032 *:*

UDP 0.0.0.0:1033 *:*

UDP 0.0.0.0:1034 *:*

UDP 0.0.0.0:1054 *:*

UDP 0.0.0.0:1055 *:*

UDP 0.0.0.0:1056 *:*

UDP 0.0.0.0:1057 *:*

UDP 0.0.0.0:1058 *:*

UDP 0.0.0.0:1059 *:*

UDP 0.0.0.0:1060 *:*

UDP 0.0.0.0:4500 *:*

UDP 88.9.136.104:123 *:*

UDP 88.9.136.104:137 *:*

UDP 88.9.136.104:138 *:*

UDP 88.9.136.104:1900 *:*

UDP 127.0.0.1:123 *:*

UDP 127.0.0.1:1038 *:*

UDP 127.0.0.1:1900 *:*



El log del HijackThis está limpio (según me dijeron ayer), pero vuelvo a adjuntar el log (de hoy) para más información:



Logfile of HijackThis v1.99.1

Scan saved at 19:21:28, on 20/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\WINDOWS\system32\sistray.EXE

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\AntiVirus\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Archivos de programa\TechSmith\SnagIt 7\SnagItIEAddin.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 4

O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe

O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall 1.0\outpost.exe /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/ocis/OSInfo.cab

O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/ocis/SiSAutodetectNT.cab

O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{66F6F410-86DB-40FF-B7B1-32A1F878DDC2}: NameServer = 80.58.61.250 80.58.61.254

O20 - AppInit_DLLs: C:\ARCHIV~1\Agnitum\OUTPOS~1.0\wl_hook.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe





Gracias de antemano.

[msc hotline sat]

Pues aparte de esta clave que yo eliminaria de mi equipo, si bien es opcional, su loh estña limpio, por lo que muevo este tema al apartado de firewalls ya que es donde le corresponde



saludos



ms, 20-9-2006

[ivanovic77]

Pues entonces qué está pasando! Porque se intentan establecer conexiones hasta con la embajada de Chile! ¡No puedo navegar! No sé cómo pararlo con el firewall, porque los procesos no tienen ni nombre. Todos tienen un patrón similar a este:



n/a TCP netviscomputers.com HTTP local:88.9.136.104 1475 Bloquear paquetes en tránsito ENTRANTE RECHAZADO 20:06:01 09 s(s) 0 bytes 0 bytes 0 Bps ---





Protocolo: TCP

Puerto local: SMTP

Motivo de permiso/bloqueo: Bloquear paquetes en tránsito

ESTADO: Entrante rechazado.



No sé si me lo rechaza o no, el caso es que me bloquea el módem y no se puede navegar. ¿Alguna recomendación? :(

[msc hotline sat]

Retomo el Tema por qie se me acaba de ocurrir la posibilidad de un Rootkit que te esconda un servidor proxy a traves del cual esten haciendo spam a traves tuyo



Veamos tui log del HJT pero arrancando en modo seguro.



Lo lanzas en dicho modo, guardas el log y luego, tras reiniciar. nos lo posteas como respuesta a este Tema, gracias



saludos



ms, 21-9-2006



Nota: Un Rootkit esconde procesos, claves y ficheros cuando está en uso ... ms.

[ivanovic77]

Log del HijackThis después de iniciar Windows XP en modo seguro:



Logfile of HijackThis v1.99.1

Scan saved at 22:56:08, on 21/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\AntiVirus\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Archivos de programa\TechSmith\SnagIt 7\SnagItIEAddin.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe

O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [adiras] adiras.exe

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 4

O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe

O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall 1.0\outpost.exe /waitservice

O4 - HKLM\..\Run: [OutpostFeedBack] C:\ARCHIV~1\Agnitum\OUTPOS~1.0\feedback.exe /dump:os_startup

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: Barra de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\Plugins\BrowserBar\ie_bar.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {05317530-B882-449D-9421-18D94FA3ED34} (OSInfo Control) - http://www.sis.com/ocis/OSInfo.cab

O16 - DPF: {16095503-786F-4097-AED6-5D567A26D760} (SiS_OCX Control) - http://www.sis.com/ocis/SiSAutodetectNT.cab

O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab

O20 - AppInit_DLLs: C:\ARCHIV~1\Agnitum\OUTPOS~1.0\wl_hook.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\ARCHIV~1\Agnitum\OUTPOS~1.0\outpost.exe





Me atrevo a decir que está limpio. He estado estudiando el problema y me parece que ya sé lo que ocurre:



Mirando la pantalla de "Actividad de la red" del firewall, he podido comprobar que los envíos de paquetes de datos no proceden de mi equipo, sino que lo hacen de equipos remotos que intentan establecer conexión con el mío. Es decir, que me equivocaba cuando decía que mi módem transmite datos: en realidad, simplemente se colapsa. Deduzco que son ataques DoS o DDoS procedentes de los millones de ordenadores infectados que pueden haber en internet. El firewall, como es lógico, rechaza estas conexiones, pero el módem (USB ADSL CT-351 de Comtrend) debe ser de muy mala calidad y se colapsa. Lo único que se me ocurre es comprar un router (aprovechando que ahora necesito conectar un segundo ordenador a internet). ¿Es posible que un router de buena calidad soporte los ataques DoS sin colapsarse?



Gracias de nuevo.

[msc hotline sat]

Antes de analizar el log he leido todo su post y le contesto la pregunta:



Si va a cambiar el router, instale uno con cortafuegos por hardware y saldrá ganando !



Ahora voy con el log...



Efectivamente, no aparece ningun rootkit



Considere pues su hipotesis como posible y obre en consecuencia.



Por nuestra parte, dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 22-9-2006