Continuos intentos de conexion, posible hijack????

[llimona]

Hola a todos, desde hace unos dias tengo continuos intentos de conexion de algo que no he logrado identificar,creo que es un hijack o browser modifier o asi lo describe el unico programa que lo detecta y "elimina" es el Microsoft antispyware, lo que vuelve a aparecer ipso facto.Estos intentos tienen una ip de origen variable y normalmente ataca a los puertos 4672 y 4662.

Os dejo el log del hijackthis por si sirve de ayuda ya que no se interpretarlo.

Gracias y SALU2. :oops: :oops: :oops:



Logfile of HijackThis v1.99.1

Scan saved at 11:57:53, on 09/04/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\passrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\carpserv.exe

C:\Archivos de programa\Archivos comunes\Nokia\Services\ServiceLayer.exe

C:\Archivos de programa\Archivos comunes\Nokia\NCLTools\NclTray.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\psimsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\SRVLOAD.EXE

C:\Archivos de programa\Nokia\PC Suite for Nokia N-Gage\connmngmntbox.exe

C:\Archivos de programa\Nokia\PC Suite for Nokia N-Gage\ectaskscheduler.exe

C:\ARCHIV~1\Nokia\PCSUIT~1\Elogerr.exe

C:\Program Files\interMute\SpySubtract\SpySub.exe

C:\Archivos de programa\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe

C:\ARCHIV~1\Nokia\PCSUIT~1\BROADC~1.EXE

C:\ARCHIV~1\Nokia\PCSUIT~1\SCRFS.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\WebProxy.exe

C:\torrents\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [CARPService] carpserv.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [ServiceLayer] C:\Archivos de programa\Archivos comunes\Nokia\Services\ServiceLayer.exe

O4 - HKLM\..\Run: [Nokia Tray Application] C:\Archivos de programa\Archivos comunes\Nokia\NCLTools\NclTray.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033 -noicon

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe" /0

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: PCSuiteForNokiaN-Gage Detect.lnk = ?

O4 - Global Startup: PCSuiteForNokiaN-Gage TS.lnk = ?

O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Software - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\emule-pillasoft\index.html (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {10ABC6DB-E091-4EAE-98DD-21B5A2460714} (DetInstaller Class) - http://www.pandasoftware.es/avchecker/controles/AvDetInst.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093367389328

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/vso/en-us/tools/mcfscan/2,0,0,4463/mcfscan.cab

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Panda Antispam Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\passrv.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Panda Imanager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\psimsvc.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)

[maura63]

Lo unico raro salvo que lo instalaras es







O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe -

O4 - Global Startup: PCSuiteForNokiaN-Gage Detect.lnk = ? - Unknown

O4 - Global Startup: PCSuiteForNokiaN-Gage TS.lnk = ? - Unknown

O9 - Extra button: Software - {AF0828BC-CB46-4C8D-95B6-8A7C4988F9FF} - c:\emule-pillasoft\index.html (file missing) - y

O16 - DPF: {10ABC6DB-E091-4EAE-98DD-21B5A2460714} (DetInstaller Class) -

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab -



O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing) -



Saludos

maura63

[llimona]

Gracias, he eliminado los que no he instalado yo, pero todo sigue igual!!! En la información adicional del intento de conexión pone algo de echo request y algunos protocolo ICMP, no se si eso tendrá algo que ver. Le he vuelto a pasar el Microsoft Antispyware y me avisa que se ha bloqueado un intento de cambio de página de inicio del IE, de about:blank. He estado leyendo sobre este tema y no me parece que tenga nada que ver, la página de inicio no ha cambiado, he buscado el se.dll (por ej.) y no he encontrado nada, aparte de muchos otros archivos. Por cierto, el windows recovery me ha desaparecido. Te dejo el nuevo log del hijackthis, por si sirve de algo. Muchas gracias por la ayuda y Salu2. :roll: :roll:



Logfile of HijackThis v1.99.1

Scan saved at 20:02:30, on 11/04/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Archivos comunes\Nokia\Services\ServiceLayer.exe

C:\Archivos de programa\Archivos comunes\Nokia\NCLTools\NclTray.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\passrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe

C:\Archivos de programa\Nokia\PC Suite for Nokia N-Gage\connmngmntbox.exe

C:\Archivos de programa\Intuwave\Shared\mRouterRunTime\mRouterRuntime.exe

C:\Archivos de programa\Nokia\PC Suite for Nokia N-Gage\ectaskscheduler.exe

C:\ARCHIV~1\Nokia\PCSUIT~1\Elogerr.exe

C:\Program Files\interMute\SpySubtract\SpySub.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqgalry.exe

C:\ARCHIV~1\Nokia\PCSUIT~1\BROADC~1.EXE

C:\ARCHIV~1\Nokia\PCSUIT~1\SCRFS.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\SRVLOAD.EXE

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\psimsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\AVENGINE.EXE

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\WebProxy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\IFACE.EXE

C:\torrents\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ServiceLayer] C:\Archivos de programa\Archivos comunes\Nokia\Services\ServiceLayer.exe

O4 - HKLM\..\Run: [Nokia Tray Application] C:\Archivos de programa\Archivos comunes\Nokia\NCLTools\NclTray.exe

O4 - HKLM\..\Run: [SCANINICIO] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\APVXDWIN.EXE" /s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de HP Image Zone.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: PCSuiteForNokiaN-Gage Detect.lnk = ?

O4 - Global Startup: PCSuiteForNokiaN-Gage TS.lnk = ?

O4 - Global Startup: SpySubtract.lnk = C:\Program Files\interMute\SpySubtract\SpySub.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {10ABC6DB-E091-4EAE-98DD-21B5A2460714} (DetInstaller Class) - http://www.pandasoftware.es/avchecker/controles/AvDetInst.cab

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1093367389328

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Panda Antispam Service (PASSRV) - Unknown owner - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\passrv.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\Firewall\PavFires.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\pavsrv51.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Panda Imanager Service (PSIMSVC) - Panda Software Internacional - C:\Archivos de programa\Panda Software\Panda Platinum Internet Security\psimsvc.exe

O23 - Service: Remote Administrator Service (r_server) - Unknown owner - C:\WINDOWS\system32\r_server.exe" /service (file missing)

[caito]

Por favor haz una copia del archivo:

C:\WINDOWS\system32\r_server.exe



y envíalo a zonavirus@satinfo.es anexadas a un mail cuyo texto sea un copiar y pegar de este post, gracias

Salu2

Caito

[caito]

Y esta es para eliminar ya:

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

Salu2

Caito

[llimona]

Gracias ya la he borrado, cuando reinicie veremos, en cuanto al windows/system32/r_server.exe no tengo nada de nada lo he buscado manualmente y con busqueda de xp y no esta.

SALU2

[maura63]

Seguramente lo borrastes cuando lo indique con el hijackthis.



Saludos

maura63

[llimona]

He riniciado y sigo igual, me temo que tendre que format c:, :cry: :cry: :cry: ,he desactivado todoas las actualizaciones automaticas que he encontrado, y nada, sabeis de que se puede tratar????, ya no se si puede ser un virus, un programa o la bruja averia que se aburre....

[llimona]

Acabo de ver una cosa, tengo un intento de intrusion de la ip: 62.42.234.4, lo bueno es que tambien varios intentos de conexion de la misma ip. Curioso, NO????

:wink: :wink: :wink: