Dudo que mi Pc este tan protegido como me pienso !!!

[mojitoo]

Uso el Spybot el ADWARE todos actualizados tb uso el NORTON firewall junto al Anntivirus actualizado al maximo y ademas uso el Scan online de TRENDMICRO aun asi creo que no estoy protegido... ayer de golpe me aparecio un mensaje del firewall q me comentaba que lsass.exe intentaba conectarse a internet.



Bueno las preguntas son las siguientes como he visto que la gente postea el log del Hijack os posteo tb el mio.



Porfavor comentadme si veis algo raro que seguro que hay algo.







Logfile of HijackThis v1.97.7

Scan saved at 23:35:35, on 08/09/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

D:\U\Internet\Proteccion\Firewall\NISUM.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

D:\U\Internet\Proteccion\Firewall\ccPxySvc.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\AdvTools\NPROTECT.EXE

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Efficient Networks\SpeedStream DSL\SPDSTRM.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

D:\U\Internet\Proteccion\Pasakche\pasakche.exe

D:\U\Internet\Proteccion\Hazzar 14\P2PHazard.exe

C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

D:\U\Mp3\Appz\Winamp\winampa.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

F:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\u\visores\imagenes\Adobe\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\U\Internet\PROTEC~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Archivos de programa\Siber Systems\AI RoboForm\RoboForm.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\U\Internet\Ftp\FlashFXP\IEFlash.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Archivos de programa\Siber Systems\AI RoboForm\RoboForm.dll

O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\U\Internet\DESCAR~1\FlashGet\fgiebar.dll

O4 - HKLM\..\Run: [DSL Monitor] C:\Archivos de programa\Efficient Networks\SpeedStream DSL\SPDSTRM.EXE

O4 - HKLM\..\Run: [WindowsRegKey%update] ethernet32m.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [PasaKche] D:\U\Internet\Proteccion\Pasakche\pasakche.exe

O4 - HKLM\..\Run: [P2PHazard] D:\U\Internet\Proteccion\Hazzar 14\P2PHazard.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_04\bin\jusched.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccRegVfy] C:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [Advanced Tools Check] C:\ARCHIV~1\NORTON~2\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [WinampAgent] D:\U\Mp3\Appz\Winamp\winampa.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime

O4 - HKLM\..\RunServices: [WindowsRegKey%update] ethernet32m.exe

O4 - HKLM\..\RunServices: [ATI VIDEO REGKEY] ati2vid.exe

O4 - HKCU\..\Run: [WindowsRegKey%update] ethernet32m.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Archivos de programa\ATI Technologies\ATI.ACE\CLI.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Descargar con Fl&ashGet - D:\U\Internet\Descargas\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - D:\U\Internet\Descargas\FlashGet\jc_all.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Guardar Formularios &^ - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComSavePass.html

O8 - Extra context menu item: Personalizar &Menú - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html

O8 - Extra context menu item: Rellenar Formularios &] - file://C:\Archivos de programa\Siber Systems\AI RoboForm\RoboFormComFillForms.html

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: Rellenar Formularios (HKLM)

O9 - Extra 'Tools' menuitem: Rellenar Formularios &] (HKLM)

O9 - Extra button: Guardar (HKLM)

O9 - Extra 'Tools' menuitem: Guardar Formularios &^ (HKLM)

O9 - Extra button: Run WinHTTrack (HKLM)

O9 - Extra 'Tools' menuitem: Launch WinHTTrack (HKLM)

O9 - Extra button: RoboForm (HKLM)

O9 - Extra 'Tools' menuitem: RF Barra de Herramientas &2 (HKLM)

O9 - Extra button: FlashGet (HKLM)

O9 - Extra 'Tools' menuitem: &FlashGet (HKLM)

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093551296750

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38192.6020833333

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{231FDD2F-0756-45EE-80F7-DB2C4EFC1F93}: NameServer = 193.152.63.197,195.235.113.3

O17 - HKLM\System\CS1\Services\Tcpip\..\{231FDD2F-0756-45EE-80F7-DB2C4EFC1F93}: NameServer = 193.152.63.197,195.235.113.3

O17 - HKLM\System\CS2\Services\Tcpip\..\{231FDD2F-0756-45EE-80F7-DB2C4EFC1F93}: NameServer = 193.152.63.197,195.235.113.3



otra cosa...

lo sucedido en lsass.exe que se quiera conectar a internet ¿eso no es normal verdad.?

[caito]

No veo nada raro en tu log, el proceso Lsass.exe es normal de windows.

Te puedes bajar este programa para evitar futuras infecciones por active x:

http://www.majorgeeks.com/download2859.html

Salu2

Caito

[mojitoo]

muchas gracias CAITO.



Por lo que veo eres el tecnico en analizar este tipos de logs.



Seria bueno que explicaras como se analizan estos logs. Me encantaria aprender sobre el tema.



Enga un saludo y gracias.

[caito]

Encuentras un tutorial en español en :

http://www.arwinianos.net/biblioteca/articulo/2/10

Salu2

Caito

[piripe]

Hola,



Puedes comprobar la seguridad de tu ordenador en la siguiente página:



http://www.grc.com/



Ahí puedes pasarle el programa "SHIELDS UP" que te hace varios tests para ver como está de protegido tu ordenador.

[msc hotline sat]

Además de todas las herramientas de seguridad, es muy importante tener actualizados los parches de microsoft, sin los cuales puedes tener ataques víricos a pesar de los antivirus, e incluso de los cortafuegos en funcion de los ports abiertos y cerrados.



De hecho lo que indicas del LSASS es la manera de intentar entrar de mas de 50 diferentes virus, desde el primer Sasser hasta la última cariante del korgo, que a través del TCP445 intentan provocar un desbordamiento de buffer del LSASS, que no tiene ninguna culpa, pues se recuerda que es un " Local Security Authority", un proceso para seguridad de validacion de usuarios de las politicas de los sistema con tecnología NT (XP, W2000)



Para esta vulnerabilidad especifica, Microsoft hizo el parche MS04-011, y como este son críticos muchos mas, que se aplican facilmente a traves de acceder al windowsupdate, buscar los parches no instalados e instalarlos. Para ello, sencillamente abrir el Onternet Explorer, ir a Herramientas y allí escoger windowsupdate y proceder.



Evidentemente con un cortafuegos bien configurado se logra ir interceptando dichos intentos de intrusion, pero independientemente se deben tener instalados los parches de microsoft, que todo el mundo deberóa mantener actualizados ...



saludos



ms, 9-09-2004