excesivo trafico de salida, direccion aolclient-24-74-243-10

[axlman]

Hola tengo actualizado los antivirus en la red de mi trabajo, pero no consigo encontrar cual es el problema, inmediatamente iniciamos los equipos, resulta que el ancho de banda de ssalida se desborda, produciendo lentitud en el servicio, con un anlizador de protocolos encontramos el equipo que mas realiza dicho trafico, como les explico no encuentro el nombre del virus o ad aware que esta en los pc pero esta la direccion que se muestra



aolclient-24-74-243-103.aol.nc.rr.com

con un trafico del 70 % o mas



repetidas veces si saben algo por favor informenme gracias.

[carolxsiempre]

Axlman:





Si ya identificaste dentro de la red el equipo que genera más tráfico, verifica que éste no tenga instalado ningún programa de redes p2p, porque esto podría ser la primera causa de tráfico excesivo, inclusive la compañía que te da el servicio de internet podría decirte a que puerto es que ese equipo hace el mayor número de llamadas.



Si no tuviera ningún programa para compartir archivos en redes p2p, verifica con tu proveedor el puerto al que se hacen más llamadas.



Y luego procede a desconectar el equipo de la red, para su revisión por separado, al desconectarlo de la red te darás cuenta si está mantiene un tráfico fluido, si vuelve a excederse el motivo podria ser otro.



Nos quedamos a esperas de tus respuestas.



Saludos

Carolxsiempre

[msc hotline sat]

Efectivamente, como indica Carolxsiempre hay que ver por donde sale, aparte de quien lo ocasiona, que es de lo que se trata.



Podría tratarse de un keylogger, o de un PWS que enviara datos a dicha direccion cliente de Ameica On Line,



Sugiero lanzar el HiJackThis para ver tareas residentes y analizar las desconocidas:



· Hijackthis

Sitio 1 - Descargar Hijackthis

http://www.spywareinfo.com/~merijn/files/hijackthis.zip

----------------------------------------------------------------

Sitio 2 - Descargar Hijackthis desde zonavirus.com

http://www.zonavirus.com/descargas/hijackthis.zip



y acceder al log y copiarlo en un proximo post, a ver si podemos descubrir el intruso



saludos



ms, 13-07-2004

[axlman]

ogfile of HijackThis v1.97.7

Scan saved at 12:42:05 a.m., on 14/07/2004

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v5.50 (5.50.4134.0100)



Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\CAFEAGENT.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MCAFEE VIRUSSCAN\AVSYNMGR.EXE

C:\WINDOWS\SYSTEM\CAFEAGENT.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MCAFEE VIRUSSCAN\VSSTAT.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MCAFEE VIRUSSCAN\VSHWIN32.EXE

C:\ARCHIVOS DE PROGRAMA\MCAFEE\MCAFEE VIRUSSCAN\AVCONSOL.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\FARSTONE\VIRTUALDRIVE\VDTASK.EXE

C:\WINDOWS\VCDPLAYX.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\ESCRITORIO\HIJACKTHIS\HIJACKTHIS.EXE



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://rusbrides.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - C:\WINDOWS\NEM219.DLL

O3 - Toolbar: @msdxmLC.dll,-1@3082,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O3 - Toolbar: McAfee VirusScan - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - C:\ARCHIVOS DE PROGRAMA\MCAFEE\MCAFEE VIRUSSCAN\VSCSHELLEXTENSION.DLL

O4 - HKLM\..\Run: [VirtualDrive] "C:\Archivos de programa\FarStone\VirtualDrive\VDTask.exe" /AutoRestore

O4 - HKLM\..\Run: [vcdplayx] "C:\WINDOWS\vcdplayx.exe"

O4 - HKLM\..\Run: [CafeAgent] C:\WINDOWS\SYSTEM\CAFEAGENT.EXE /normal

O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder

O4 - HKLM\..\RunServices: [CafeAgent] C:\WINDOWS\SYSTEM\CAFEAGENT.EXE /normal

O4 - HKLM\..\RunServices: [McAfeeVirusScanService] C:\Archivos de programa\McAfee\McAfee VirusScan\AVSYNMGR.EXE

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O5 - control.ini: inetcpl.cpl=no

O9 - Extra button: Coches (HKLM)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {2C0F2AEA-3A9B-46DB-A7BE-80FF329E415D} (PremiumInternacional Class) - http://www.accesoplugin.com/dialercab/PPremiumInternacional.cab

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://www.accesoplugin.com/dialercab/IberoDialerHTML.cab

O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/download/F/6/E/F6E491A6-77E1-4E20-9F5F-94901338C922/wmv9VCM.CAB

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {51641EF3-8A7A-4D84-8659-B0911E947CC8} - http://www.contenidospc.com/instalador.cab

O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://www.mangahentaix.com/ruboskizo2.cab

O16 - DPF: {5C24626A-CC0D-49D6-8454-AAA5B97D4410} (UDConnect Class) - http://09.sharedsource.org/html/HGMNetworkUD_1.0.0.3ie.cab?

O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/games/clients/y/potd_x.cab

O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339} - http://www.netvenda.com/sites/games-intl/ww/games3.cab

O17 - HKLM\System\CCS\Services\VxD\MSTCP: Domain = inter.bo

O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 166.114



estos datos fueron tomados luego de pasar el adaware y macafee ambos actualizados

[axlman]

con el adware se encontro cerca de 40 items sospechosos y 1 con el mcafee, pero por lo que veo aun siguen algunos restos software que no esta instalado, lo del incremento de datos en salida de alguna manera se soluciono, he tomado algunos cuidados como el de evitar compratir directorios, actualizar los parches, etc. y me encontre que al apagar uno de los equipos con windows ME me indica que el usuario \\rgalindo-old\ aun esta conectado , pero se equipo no pertenece a mi red ¡¡ debo suponer qeu es un troyano que tambien me come por asi decirlo el trafico de salida a internet?. conocen algun software que me indique equipo por equipo su trafico de red? estoy usando el kerio network monitor pero es algo limitado gracias

[msc hotline sat]

De la revision superficial del HJT, aparece residente un CAFEAGENT.EXE que se carga en RUN y en RUNSERVICES, que no lo conocemos



Lo tiene en C:\Windows\System



si no es una utilidad que conozca y quiera tener instalada, envienos este fichero a zonavirus@satinfo.es como anexado de un mail cuyo texto sea un copiar y pegar de este post, y le contestaremos como respuesta a este Tema



saludos



ms, 14-07-2004

[axlman]

EL cafeagent.exe es parte del software con que se gestiona permisos de uso en nuestra red, es parte del cafesuite v 3.12, eso esta en todas las maquinas de acceso libre. tambien permite administrar los dicos y preferencias de escritorio en los equipos instalados como un gestor de cybercafe.

[msc hotline sat]

Enterado. No es de uso habitual en empresas, por esto no lo conocíamos.



Pues revisaremos de nuevo el HJT



saludos



ms, 14-06-2004

[msc hotline sat]

No conozco tampoco esta DLL, y estña en el directorio Windows ???:



C:\WINDOWS\NEM219.DLL



y hay otras aplicaciones que no son de sistema operativo, Dale tú tambien un vistazo al log para proceder con la que desconozcamos todos.



saludos



ms, 14-07-2004