Ataques DDos (SOLUCIONADO)

jjgm · Mensaje por **jjgm** » 27 Mar 2006, 08:43

Buenas

Tengo un ordenador particular que no forma parte de una red y estoy sufriendo ataques de DDos desde hace unos cuantos dias y ningun antivirus ni antispyware detecta nada.

Lo q ocurre en concreto es que cuando enciendo el cablemodem (Ono 4Mg) se genera un virus q el unico antivirus q lo detecta es el Avg Free,pues anteriormente se ha cargado el Norton y el Karpesky.He realizado analisis online con casi todos los antivirus disponibles (tanto en modo seguro.m.seg. con funciones de red y modo normal) y ninguno detecta nada.Tambien he pasado diferente programas antispyware (Ad-awarw,spybot,spyware doctor) con el mismo resultado.

Consecuencias:cuando sufro el ataque me quedo sin conexion realizada por el kapersky anti-hacker que detecta el ataque y por ejemplo tb me borra la lista de servidores del emule cuando consigo estar conectado un rato.

Estoy desesperado no se que hacer mas y si los ataques con lo q pasa en m ordenador estan relacionados o no tienen nada que ver,POR FAVOR AYUDA.

Os envio el analisis del Hijackthis por si alguien ve algo raro:

Logfile of HijackThis v1.99.1

Scan saved at 10:40:38, on 26/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Spyware Doctor\sdhelp.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\Program Files\ASUS\Probe\AsusProb.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\svchost.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\nvsvcd.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe

C:\Archivos de programa\WinRAR3.5\WinRAR.exe

C:\DOCUME~1\Juanjo\CONFIG~1\Temp\Rar$EX00.609\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onobox.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [AWMON] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/036325a72a911abd3306/netzip/RdxIE601_es.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {B1826A9F-4AA0-4510-BA77-9013E74E4B9B} - http://www.trendmicro.com/spyware-scan/as4web.cab

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Archivos de programa\Spyware Doctor\sdhelp.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

gracias

Mensaje por **msc hotline sat** » 27 Mar 2006, 11:56

Ante todo faltan parches de microsoft !!! No tienes instalado todos los del SP2 ni posteriores.

Debes actualizarlos lanzando un windowsupdate, pues sino no vale la pena seguir, ya que el virus que tienes puede entrar por el agujero de seguridad sin parchear

Tras ello trataremos de controlar estos dos ficheros sospechosos:

:\WINDOWS\system\smss.exe

C:\WINDOWS\system32\nvsvcd.exe

para lo cual probaremos primnero nuestra utilkidad ELITRIIP.EXE:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Y tras reiniciar nos comenta el resultado, gracias

saludos

ms, 27-3-2006

jjgm · Mensaje por **jjgm** » 27 Mar 2006, 12:23

Ante todo muchas gracias por la velocidad en la respuesta.

He instalado el programa que me recomendabais y ha bloqueado los archivos que indicabais com sospechosos y po ahora parece que va bien...al menos el antivirus no ha detectado el trojan horse generic RSU que detectaba las veces anteriores.

Despues pedir disculpas pues me he equivocado al enviar el archivo de registro del hijack y he puesto uno que tenia antes de actualizar Windows a SP2 y con todas las actualizaciones de seguridad publicadas hasta ayer.

Perdonar pero he intentado tantas cosas que uno llega a peder la cuenta de todo lo que ha hecho

De todas maneras he vuelto ha aplicar el Hijack y os envio los resultados,por si veis algo raro:

Logfile of HijackThis v1.99.1

Scan saved at 12:14:03, on 27/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\ASUS\Probe\AsusProb.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgwb.dat

C:\Archivos de programa\WinRAR3.5\WinRAR.exe

C:\DOCUME~1\Juanjo\CONFIG~1\Temp\Rar$EX00.734\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onobox.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKCU\..\Run: [AWMON] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4724/mcfscan.cab

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Muchas gracias y os enviare copia de los archivos como me pedis.

Mensaje por **msc hotline sat** » 27 Mar 2006, 13:11

Pues no debiera persistir la carga del smss.exe desde C:\windows\system, ya que si no es desde system32 es troyano, y en este caso, acompalante del nvsvcd.exe

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

Cuando recibamos las muestras, las monitorizarenmos para ver si es que esta clave se regenera y tenemos que eliminarla de otra forma, se lo cual informaremos

saludos

ms, 27-3-2006

PD aparte de ello el log del HJT ya esta limpio

jjgm · Mensaje por **jjgm** » 27 Mar 2006, 13:40

Muchas gracias por todo.

No se si os sirve de algo porque a estos niveles a mi ya me sobrepasa totalmente,pero tengo una clave de usuario puesta en el pc para reconocerme como usuario de inicio de sesion.

Puede que sea esto lo que detecta el Hijack?

Lo dicho,muchas gracias por todo y un muy buen trabajo; por ahora parece que todo funciona con normalidad y es que te agovias mucho cuando algo (y no sabes que) se carga dos antivirus diferentes y te deja sin conexion a internet.

jjgm · Mensaje por **jjgm** » 27 Mar 2006, 14:03

Soy yo otra vez,pero sigo teniendo ataques DDos que me dejan sin conexion.

Es normal que afecten a a mi equipo?

Segun he leido estos ataques solo se han realizado contra multinacionales (Google,Yahoo,etc) para causarles perdidas y no contra usuarios particulares.

Estoy agobiado,necesito la conexion a internet y lo maximo que dura es media hora y solo me detectan ataques de Hellkern y DDos consecutivamente. (detectados por Kasperky anti-hacker)

Gracias y espero resolvais mis dudas.

Mensaje por **msc hotline sat** » 27 Mar 2006, 15:51

Aparte de lo que pueda tener ya en el ordenador, los ataques desde la Red los puede tener desde el momento que se conecte a Internet, si bien para esto estan los cortafuegos, de los que le sugiero los de hardware, por no colisionar con residentes y no poder ser desactivados por los virus, como los otros.

~~[b]~~INFORMACION DE CORTAFUEGOS POR HARDWARE, PLUG AND PLAY, BASICO:[/b]

[url=http://www.dsav.net/productos.php?accion=lista&idProducto=60]~~[b]~~CORTAFUEGOS POR HARD, PLUG AND PLAY, BASICO[/b][/url]

El que su sistema actual le avise de estos ataques, está bien y si le impide que le entren, aunque sean un incordio los avisos, le evita qie la intrusion.

Y sobre el porqué le atacan a Vd es porque tiene un servidor SQL, sin lo cual el Helkern no intentaría el ataque.

ver la informacion al respecto que se daba en:

https://foros.zonavirus.com/viewtopic.php?t=7834&highlight=

moraleja, protejase con un cortafuegos por hard y olvidese de los intentos de intrusion

saludos

ms, 27-3-2006

jjgm · Mensaje por **jjgm** » 27 Mar 2006, 16:47

Hola

Los ataques del Hellkern,aunque son un incordio,como usted dice, no son los molestos.A mi los que realmente me molestan son los ataques de DDos (denegación de servicio) que me dejan sin conexión a internet en todas las aplicaciones y queria saber si me pudiesen recomendar alguna solucion,pues la anterior que me dieron no la ha solucionado; no se si porque son problemas totalmente distintos o estan relacionados desde el principio.

Les envio el registro del Karpesky anti-hacker para que me digan si es normal tanto ataque (que anteriormente al problema del virus no tenia) o se debe a algun programa malintencionado que genera tal cantidad de ataques.

24/03/2006 23:56:16 Su equipo ha sido atacado. Ataque: DDoS (denegación de servicio). El ataque se repelió con éxito.

25/03/2006 1:01:40 Su equipo ha sido atacado desde 219.153.7.101. Ataque: Helkern. El ataque se repelió con éxito.

25/03/2006 11:39:37 Su equipo ha sido atacado desde co89.opt2.point.ne.jp. Ataque: Helkern. El ataque se repelió con éxito.

25/03/2006 12:13:02 Su equipo ha sido atacado desde 222.216.3.250. Ataque: Helkern. El ataque se repelió con éxito.

25/03/2006 12:55:26 Su equipo ha sido atacado desde upseros.org. Ataque: Exploración de puertos TCP. El ataque se repelió con éxito.

25/03/2006 20:49:38 Su equipo ha sido atacado. Ataque: DDoS (denegación de servicio). El ataque se repelió con éxito.

25/03/2006 21:44:40 Su equipo ha sido atacado. Ataque: DDoS (denegación de servicio). El ataque se repelió con éxito.

25/03/2006 23:38:07 Su equipo ha sido atacado desde 222.81.34.246. Ataque: Helkern. El ataque se repelió con éxito.

25/03/2006 23:54:47 Su equipo ha sido atacado. Ataque: DDoS (denegación de servicio). El ataque se repelió con éxito.

26/03/2006 12:06:48 Su equipo ha sido atacado desde 218.201.57.193. Ataque: Helkern. El ataque se repelió con éxito.

26/03/2006 13:07:59 Su equipo ha sido atacado desde 218.25.253.18. Ataque: Helkern. El ataque se repelió con éxito.

26/03/2006 13:27:47 Su equipo ha sido atacado desde host-se86.res.openband.net. Ataque: Helkern. El ataque se repelió con éxito.

26/03/2006 13:30:32 Su equipo ha sido atacado desde 203.81.215.121. Ataque: Helkern. El ataque se repelió con éxito.

26/03/2006 19:55:51 Su equipo ha sido atacado desde 221.235.112.94. Ataque: Helkern. El ataque se repelió con éxito.

26/03/2006 19:56:01 Su equipo ha sido atacado. Ataque: DDoS (denegación de servicio). El ataque se repelió con éxito.

26/03/2006 19:56:04 Su equipo ha sido atacado desde 61.154.10.3. Ataque: Helkern. El ataque se repelió con éxito.

26/03/2006 19:56:04 Su equipo ha sido atacado desde ip64-75-173-146.hsia.aloha.net. Ataque: Helkern. El ataque se repelió con éxito.

26/03/2006 19:58:34 Su equipo ha sido atacado. Ataque: DDoS (denegación de servicio). El ataque se repelió con éxito.

26/03/2006 21:15:52 Su equipo ha sido atacado desde 218.71.217.109. Ataque: Helkern. El ataque se repelió con éxito.

26/03/2006 23:12:04 Su equipo ha sido atacado desde 59-124-35-188.HINET-IP.hinet.net. Ataque: Helkern. El ataque se repelió con éxito.

26/03/2006 23:49:02 Su equipo ha sido atacado desde 219.147.230.85. Ataque: Helkern. El ataque se repelió con éxito.

27/03/2006 0:22:59 Su equipo ha sido atacado. Ataque: DDoS (denegación de servicio). El ataque se repelió con éxito.

27/03/2006 1:33:41 Su equipo ha sido atacado desde 61.153.209.235. Ataque: Helkern. El ataque se repelió con éxito.

27/03/2006 3:40:01 Su equipo ha sido atacado. Ataque: DDoS (denegación de servicio). El ataque se repelió con éxito.

27/03/2006 7:45:37 Su equipo ha sido atacado. Ataque: DDoS (denegación de servicio). El ataque se repelió con éxito.

27/03/2006 12:12:02 Su equipo ha sido atacado desde 222.180.10.5. Ataque: Helkern. El ataque se repelió con éxito.

27/03/2006 13:49:06 Su equipo ha sido atacado. Ataque: DDoS (denegación de servicio). El ataque se repelió con éxito.

27/03/2006 14:43:47 Su equipo ha sido atacado desde 222.182.83.62. Ataque: Helkern. El ataque se repelió con éxito.

27/03/2006 15:05:32 Su equipo ha sido atacado. Ataque: DDoS (denegación de servicio). El ataque se repelió con éxito.

27/03/2006 15:11:18 Su equipo ha sido atacado desde upseros.org. Ataque: Exploración de puertos TCP. El ataque se repelió con éxito.

27/03/2006 16:29:42 Su equipo ha sido atacado. Ataque: DDoS (denegación de servicio). El ataque se repelió con éxito.

Muchas gracias por anticipado

Mensaje por **msc hotline sat** » 27 Mar 2006, 17:28

Pero eso es normal y corriente si tgiene un servidor SQL u no tiene cortafuegos por hard, y no creo que sea lo que le provoca el colapso de internet, sino que posiblemente algo desde su ordenador le esté ocupando su ancho de banda, aparte de que éste no sea el nominal...

No hemos recibido las muestras solicitadas, para ver si el smss.exe de marras es una variante del conocido y por ello se ha resistido a su eliminacion. Envienos los ficheros pedidos, pues puede ser que su colapso sea por ellos.

Aparte voy a ver las IP desde donde recibe el ataque, y sigo

Mensaje por **msc hotline sat** » 27 Mar 2006, 18:00

helkern

219.153.7.101

co89.opt2.point.ne.jp

222.216.3.250

222.81.34.246

218.201.57.193

218.25.253.18

host-se86.res.openband.net

203.81.215.121.

221.235.112.94

61.154.10.3

ip64-75-173-146.hsia.aloha.net

218.71.217.109.

26/059-124-35-188.HINET-IP.hinet.net

219.147.230.85

61.153.209.235

222.180.10.5

222.182.83.62

exploracion de puertos:

upseros.org

upseros.org

DDoS

varias no identificadas

Pues en Pekin (Beijing) y otras partes de China, tiene "amigos":

219.153.7.101 CN China 35.0000 105.0000 Data Communication Division Data Communication Division

co89.opt2.point.ne.jp JP Japan 40 Tokyo Tokyo 35.6850 139.7514 DREAM TRAIN INTERNET,Inc. DREAM TRAIN INTERNET,Inc.

222.216.3.250 CN China 16 Guangxi Nanning 22.8167 108.3166 CHINANET Guangxi province network CHINANET Guangxi province network

222.81.34.246 CN China 22 Beijing Beijing 39.9289 116.3883 CHINANET xinjiang province network CHINANET xinjiang province network

218.201.57.193 CN China 33 33 Chongqing 29.5628 106.5528 China Mobile Communications Corporation China Mobile Communications Corporation - chongqin

218.25.253.18 CN China 35.0000 105.0000 CNCGROUP Liaoning province network CNCGROUP Liaoning province network

host-se86.res.openband.net US United States VA Virginia Leesburg 20176 39.1748 -77.5326 Level 3 Communications OPENBAND MULTIMEDIA, LLC 511 703

203.81.215.121. PK Pakistan 30.0000 70.0000 WorldCALL DotCom WorldCALL DotCom

221.235.112.94 CN China 22 Beijing Beijing 39.9289 116.3883 CHINANET Hubei province network CHINANET Hubei province network

61.154.10.3 CN China 35.0000 105.0000 Data Communication Division chinanet fujian province network

ip64-75-173-146.hsia.aloha.net US United States HI Hawaii Koloa 96756 21.9081 -159.4763 Hawaii Online Ebbtide Kauai LLC 744 808

218.71.217.109. CN China 02 Zhejiang Ningbo 29.8750 121.5419 Data Communication Division CHINANET-ZJ Ningbo node network

26/059-124-35-188.HINET-IP.hinet.net N/A N/A N/A N/A 0 0

219.147.230.85 CN China 08 Heilongjiang Hegang 47.4000 130.3667 Data Communication Division HEGANG FIFTH SCHOOL

61.153.209.235 CN China 03 Jiangxi Xuri 28.4667 117.9667 Data Communication Division DingHai XuRi Technology Corp

222.180.10.5 CN China 22 Beijing Beijing 39.9289 116.3883 CHINANET Chongqing province network CHINANET Chongqing province network

222.182.83.62 CN China 22 Beijing Beijing 39.9289 116.3883 CHINANET Chongqing province network CHINANET Chongqing province network

De alli recibe la mayoría de ataques del Helkern, de máquinas infectadas con el mismo.

Ha sido simple curiosidad, para saber el pais con máquinas infectadas que estám propagando dicho virus por Internet.

Pero ello no creo que sea la causa del colapso de su Internet, veremos cuando solucionemos lo del smss.exe de system (no system32!!!) a ver si persiste el problema.

saludos

ms, 27-3-2006

jjgm · Mensaje por **jjgm** » 28 Mar 2006, 16:18

Hola.

Perdona pero no se que es un servidor SQL.No lo he usado en mi vida y no tengo ni idea de lo que es ni porque dice que tengo un servidor de este tipo.

Agradeceria una explicacion básica y sencilla de lo que es,pues ya le digo que nunca habia oido hablar de ellos y mucho menos de que mi ordenador personal fuera un servidor.

Gracias de antemano.

Mensaje por **msc hotline sat** » 28 Mar 2006, 17:15

Pues había que suponer que si tenias ataques del slamer o Helkern es por tener instalado un sevrvidor SQL...

Las bases de datos se dividen oara moinousuarios o pocos usuarios como el ACCES de microsoft, y derivados como OPEN ACCES, y para multiusuarios como el SQL , que son los atacados por este gusano:

Es extraño que no lo tengas instalado y te ataqie. Quizas estuvo instalado y detecta restos de claves del mismo:

http://www.codine.es/001/virus_helkern.php

saludos

ms, 28-3-2006

jjgm · Mensaje por **jjgm** » 28 Mar 2006, 21:28

Hola

Sigo teniendo una barbaridad de intentos de conexion desde fuera de mi equipo y he instalado el zonealarm y parece que los detiene todos pero en 1h que lleva instalado ha detenido 450 intentos de intrusion.

El gran problema lo tengo cuando,por ejemplo, intento conectar el emule,algo (y no se que es) empieza ha abrir puertos como si fuera el emule y no hay manera de pararlo,ni con el karpesky anti-hacker,ni con el zonealarm,claro pudiendo utilizar yo mi equipo normalmente.

El problema inicial de los archivos smms.exe y el nvcxx... ya no lo tengo,pues asi indica el HJT,pero;podeis darme una solucion para mi problema,teniendo en cuenta que no se que es un SQL server ni porque me atacan a mi,pues anteriormente no ocurria,desde el ataque de el virus inicial.

Tengo dos particiones en el disco duro,una para programas y otra para archivos,¿si formateo la particion de programas resolvere mi problema?

Gracias otra vez y añado el registro de HJT por si hay algo mas.

Logfile of HijackThis v1.99.1

Scan saved at 21:08:15, on 28/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\Program Files\ASUS\Probe\AsusProb.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\System32\drivers\CDAC11BA.EXE

C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\MSSearch\Bin\mssearch.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\WinRAR3.5\WinRAR.exe

C:\DOCUME~1\Juanjo\CONFIG~1\Temp\Rar$EX00.765\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.onobox.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [AWMON] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: EPSON Status Monitor 3 Environment Check(2).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV02.EXE

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1143541727078

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender-es.com/scan/Msie/bitdefender.cab

O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.commandondemand.com/eval/cod/cabs/cssweb.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,1,0,4724/mcfscan.cab

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mensaje por **msc hotline sat** » 29 Mar 2006, 09:07

Lo unico superfluo, aunque no virico es esta clave, eliminela:

http://www.commandondemand.com/eval/index.cfm

Aparte de ella su HJT aparece limpio

Tras ello comentenos el resultado, y si persiste el problema, instale un cortafuegos por hard... yu olvidese del problema por 100 € !

~~[b]~~INFORMACION DE CORTAFUEGOS POR HARDWARE, PLUG AND PLAY, BASICO:[/b]

[url=http://www.dsav.net/productos.php?accion=lista&idProducto=60]~~[b]~~CORTAFUEGOS POR HARD, PLUG AND PLAY, BASICO[/b][/url]

saludos

ms, 29-3-2006

jjgm · Mensaje por **jjgm** » 29 Mar 2006, 10:52

Gracias pero la cosa sigue igual,con ataques muy seguidos desde fuera que intentan entrar por el puerto 1026 y que el zonealarm repele.

Los puertos que abre el emule no los puedo comprobar porque no consigo conectarlo pues me dice error fatal con la conexion.

Probare a formatear la particion de programas y volver a instalar el sistema operativo,a ver si asi me deshago de este dichoso problema de una vez por todas.

¿Creen que tendrá resultado esta solución?

Muchas gracias por todo

jjgm · Mensaje por **jjgm** » 30 Mar 2006, 07:52

Hola

He formateado la particion de programas y he vuelto a instalar el sistema operativo XP sp2 y lo tengo actualizado.

Les envio el registro del HJT por si ven algo "sospechoso":

Logfile of HijackThis v1.99.1

Scan saved at 7:44:16, on 30/03/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\NORTON~1\navapw32.exe

C:\Archivos de programa\ASUS\Probe\AsusProb.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\eMule\emule.exe

C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe

C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Juanjo\CONFIG~1\Temp\Rar$EX00.438\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [NAV Agent] C:\ARCHIV~1\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [ASUS Probe] C:\Archivos de programa\ASUS\Probe\AsusProb.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1143647823049

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

El zonealarm me sigue detectando una cantidad enorme de ataques de los cuales hay 4 de alta peligrosidad,ya no se si es un poco de obsesion mia o sigue residiendo algo en mi programa que "llama" a este tipo de ataques.

Muchas gracias por todo.

Mensaje por **msc hotline sat** » 30 Mar 2006, 09:38

No, los ataques de DDoS no tienen porqué eliminarse formateando el ordenador

Ya sabes la solucion que te indicamos: Instalar un cortafuegos de hardware, el que quieras del mercado segun tus otras necesidades, para el uso con el Edonkey te recomiendo cualquier programable, que puedas abrir ports para acceso remoto a traves de ellos, como el modelo PRO de Alphashield:

~~[b]~~INFORMACION DE CORTAFUEGOS POR HARDWARE, PROGRAMABLE:[/b]

[url=http://www.dsav.net/productos.php?accion=lista&idProducto=73]~~[b]~~CORTAFUEGOS POR HARDWARE PROGRAMABLE[/b][/url]

Y ya con esto consideramos queda solucionado el Tema y procedemos a cerrarlo

saludos

ms, 30-3-2006