Constantes intentos de conexión a la red

[bionom]

El firewall de mi antivirus se pasa la vida bloqueando intentos de conexión a la red. Cada vez que me conecto a Internet, el informe refleja veinte o treinta de estos intentos de conectar con distintas direcciones I.P.

A veces dice Destination Unreachable, otras Router Selection y siempre indica Dirección:saliente

¿Es esa la señal inequívoca de que hay adware o spyware en mi ordenador?

Como lego total, agradeceré una respuesta, porque no he encontrado nada sobre este tema con el buscador

Gracias y saludos a quien lo lea

[maura63]

Prueba a pasar un antivirus online



Antivirus On-line:



· Computer Associates

https://www.virustotal.com/es/



Y elimina basura del PC con estos programas



Eliminacion de adwares y spywares

Pasos a seguir una ver descargados es instalarlos, actualizados (update) y escanear el sistema



· Spybot - Search & Destroy 1.3

SpyBot Search & Destroy es una herramienta que detecta y elimina casi un millar de formas distintas de spyware que, aunque en la mayoría de casos no se considere como un virus, puede ser más devastador.

Sitio 1 - Descargar Spybot - Search & Destroy 1.3

http://download.com.om/3000-2144-10122137.html?part=104443&subj=dlpage&tag=button

----------------------------------------------------------------

Sitio 2 - Descargar Spybot - Search & Destroy 1.3 desde zonavirus.com

http://www.zonavirus.com/descargas/spybot-sd.asp



Comprueba tambien que estes al dia en cuanto a actualizaciones de windows, para ello conecta con windows update.



Saludos

maura63

[bionom]

Los constantes intentos de conexión a la red que notifica el firewall

¿SON UNA SEÑAL CLARA DE QUE HAY SPYWARE EN EL ORDENADOR, O PUEDE DEBERSE A OTRAS CAUSAS?

Gracias por contestar de forma sencilla a una pregunta sencilla

[maura63]

Pues si, normalmente al instalar el firewal le indicamos que programas pueden acceder a internet sin preguntar, como antivirus, explorer, anti-spyware etc.. Todo lo demas seran intrusos (virus o espias)



Pasa el antivirus y anti spyware en modo seguro o a prueba de fallos , si usas XP o ME no olvides antes desactivar restaurar sistema, elimina todo lo que detecte.



Luego en modo normal comprueba si continuan los intentos de aceso a internet desde tu PC.



Saludos

maura63

[bionom]

Gracias



---------------------------------------------------------------------------

Todos nuestros actos, y un acto es el pensar, van como preguntas o como respuestas referidos siempre a aquella porción del mundo que en cada instante existe para nosotros. Nuestra vida es un diálogo, donde es el individuo sólo un interlocutor: el otro es el paisaje, lo circundante. ¿Cómo entender al uno sin el otro? [...] Devolvamos a nuestros pensamientos el fondo en que nacieron: presentémoslos humildemente como cosas que hallamos en nuestro paisaje, que se levantan ante nosotros ni más ni menos que aquellos olmos junto a aquel río, que estos humos trémulos sobre las chimeneas aldeanas.

(Ortega)

[macbest]

lo siento me he equivocado de tema

[bionom]

NUEVA PREGUNTA:



Y cuando el firewall notifica un intento de conexión a la red y lo bloquea, pero este intento no procede de un programa concreto sino que simplemente se indica:

Ip de Origen :

IP local :

Tipo ICMP :

IP remota :

Protocolo :

Dirección :

¿Hay alguna forma de saber qué programa o proceso es el que provoca el intento de conexión, o alguna herramienta que permita identificarlo, o la única solución es eliminar sin más los elementos que detectan los programas antispyware, como por ejemplo DSOExploit y CoolWWWSearch?

Atentamente,

BioNom

[maura63]

Todo lo que te detecten los anti-spyware que tenga eliminalos sin contemplaciones. Por ese motivo lo detectan , porque son basura mala.



Saludos

maura63

[bionom]

Gracias por contestar.



De CoolWWWSearch ya me ocuparé, porque creo que hay soluciones en posts de este foro, pero si no he entendido mal, lo de DSOExploit no está tan claro:



- AntiDSO no lo elimina, sólo protege contra él para que no entre más

- DSOStop2 funciona (aunque no quita todas las entradas) pero se carga el correo de Terra (que es mi correo principal y más antiguo)

- Spybot no lo elimina porque tiene un bug. Lo han corregido en la versión beta 1.3.1, pero no todo el mundo tiene vocación de betatester (Spybot ya provoca algún cuelgue total, aunque tengas desactivada la protección permanente del antivirus). AdAware tampoco.

- Se desaconseja andar toqueteando el registro (elemental)

- Y en mi caso, además, eso no serviría para nada porque yo tengo el valor 3 y no el 0 en el campo "descargar los controles no firmados para Active X", tal y como explicais en varios posts. A mí el Spybot sólo me notifica "cambio en el registro".



Así que, o soy más burro de lo que creía, o me he perdido algo, o puedo apostar que la mitad de la basca de este foro sigue con sus dos entradas de DSOExploit (a mí me ha desaparecido una espontáneamente, je je..) y así será al menos hasta que aparezc la versión definitiva de Spyware 1.3.1



¿No?

[bionom]

... Continuación: DSO Exploit sólo se elimina con la versión Beta 1.3.1 de Spybot S&D.

Por favor, si alguien sabe cómo se quita COOLWWWSEARCH, agradecería su ayuda

Gracias

[cañera]

intentalo descargantote el adaware y spywareblaster,en este link los encontraras;



te pasas el spybot adaware y antivirus actualizados en a modo seguro desactivando restaurar sistema(si tienes xp o me) y una vez terminado

pasas el spywareblaster(tambien actualizdo)una vez que termines reinicia y activa el restaurar sistema.

cuentanos como te fue.

PD:

por casualidad te has bajado el msn plus?

[bionom]

Muchas gracias por contestar.



Respondiendo a tus sugerencias:

-No he pasado spywareblaster porque ese programa no chequea por spyware, sólo impide que entre

-Ad Aware SE no detecta CoolWWWSearch, ni en modo a prueba de fallos

-Panda tampoco

-SpyBot S&D no la elimina en modo a prueba de fallos.



Tal y como se aprecia en el informe más abajo, coolwwwsearch está asociado al correo Terra, que me mete cuatro cookies cada vez que lo uso. Esas sólo las detecta Ad Aware. Lo curioso es que el otro día limpié un ordenador (que tenía XP) con SpyBot y se le quitaron las entradas de coolwwwsearh a la primera ¿?



El log de SpyBot es este:



--- Search result list ---



CoolWWWSearch: Marcador (Internet Explorer: xav) (Libreta de direcciones, nothing done)



CoolWWWSearch: Marcador (Internet Explorer: .DEFAULT) (Libreta de direcciones, nothing done)





--- Spybot - Search & Destroy version: 1.3 .1 (build: 20040801) ---



2004-09-16 unins000.exe (51.13.0.0)

2004-05-12 blindman.exe (1.0.0.0)

2004-08-05 SpyBotSD.exe (1.3.0.12)

2004-05-12 TeaTimer.exe (1.3.0.12)

2004-05-12 Update.exe (1.3.0.0)

2004-08-01 advcheck.dll (1.0.1.0)

2004-05-12 borlndmm.dll (7.0.4.453)

2004-05-12 delphimm.dll (7.0.4.453)

2004-08-04 SDHelper.dll (1.3.0.12)

2004-05-12 Tools.dll (2.0.0.0)

2004-05-12 UnzDll.dll (1.73.1.1)

2004-05-12 ZipDll.dll (1.73.2.0)

2004-08-11 Includes\Cookies.sbi

2004-10-11 Includes\Dialer.sbi

2004-10-14 Includes\Hijackers.sbi

2004-10-07 Includes\Keyloggers.sbi

2004-10-12 Includes\Malware.sbi

2004-10-05 Includes\Revision.sbi

2004-09-16 Includes\Security.sbi

2004-10-12 Includes\Spybots.sbi

2004-10-11 Includes\Trojans.sbi

2004-05-12 Includes\LSP.sbi

2004-08-30 Includes\Tracks.uti







--- System information ---

Windows 98 (Build: 2222) A

/ DirectX: DirectX Update 819696

/ Windows Media Player: Windows Media Update 817787

/ Windows Media Player: Windows Media Update 320920

/ DataAccess: Buffer Overrun in Microsoft Data Access Components Could Lead to Code Execution

/ DataAccess: Patch Available For XMLHTTP Vulnerability





--- Startup entries list ---

Located: HK_LM:Run, APVXDWIN

command: "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Apvxdwin.exe" /s

file: C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Apvxdwin.exe

size: 299008

MD5: 6d0661891b313191204ef165a3bcb121



Located: HK_LM:Run, DXM6Patch_981116

command: C:\WINDOWS\p_981116.exe /Q:A

file: C:\WINDOWS\p_981116.exe

size: 497376

MD5: 8f2e2a9b5b4a433f43010c9b1aa8718c



Located: HK_LM:Run, InCD

command: C:\Program Files\Ahead\InCD\InCD.exe

file: C:\Program Files\Ahead\InCD\InCD.exe

size: 1022976

MD5: 4aaaa745c046ebad3ef88280a475b229



Located: HK_LM:Run, LoadPowerProfile

command: Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

file: C:\WINDOWS\Rundll32.exe

size: 24576

MD5: ef3897e3c533f016c3a446eae0f6cd84



Located: HK_LM:Run, LVComs

command: C:\WINDOWS\SYSTEM\LVComS.exe

file: C:\WINDOWS\SYSTEM\LVComS.exe

size: 86016

MD5: e0a8757ae1e98e65a0d512ef267dd3a1



Located: HK_LM:Run, SCANINICIO

command: "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe"

file: C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Inicio.exe

size: 20480

MD5: 7fda58f110f73564ff2e2c530b92006c



Located: HK_LM:Run, ScanRegistry

command: C:\WINDOWS\scanregw.exe /autorun

file: C:\WINDOWS\scanregw.exe

size: 90112

MD5: d6e3cae0d92870b972377f7f29265ed7



Located: HK_LM:Run, SystemTray

command: SysTray.Exe

file: C:\WINDOWS\SYSTEM\SysTray.Exe

size: 32768

MD5: 4cb42a47f52030808f8e96d780c3d261



Located: HK_LM:Run, TaskMonitor

command: C:\WINDOWS\taskmon.exe

file: C:\WINDOWS\taskmon.exe

size: 28672

MD5: 36e6645e0f8cdf6c92308d6268e0ba33



Located: HK_LM:RunServices, LoadPowerProfile

command: Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

file: C:\WINDOWS\Rundll32.exe

size: 24576

MD5: ef3897e3c533f016c3a446eae0f6cd84



Located: HK_LM:RunServices, PANDASCHEDULER

command: "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Pavsched.exe"

file: C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Pavsched.exe

size: 110592

MD5: 1943cedc4bbeebee860143ed4ce41e19



Located: HK_LM:RunServices, PAVFIRES

command: "C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\Pavfires.exe"

file: C:\Archivos de programa\Panda Software\Panda Antivirus Platinum\Firewall\Pavfires.exe

size: 151552

MD5: eff1ebc743077eea0e4c80d60cc5a9ce



Located: HK_LM:RunServices, SchedulingAgent

command: mstask.exe

file: C:\WINDOWS\SYSTEM\mstask.exe

size: 113424

MD5: 5f7a179017c60a56137f5f74ac7bacd5



Located: Inicio (usuario), Búsqueda rápida de Microsoft.lnk

command: C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

file: C:\Archivos de programa\Microsoft Office\Office\FINDFAST.EXE

size: 111376

MD5: fae67f2e3965aecf7094680b346e5b98



Located: Inicio (usuario), HotSync Manager.lnk

command: C:\Archivos de programa\Palm\HOTSYNC.EXE

file: C:\Archivos de programa\Palm\HOTSYNC.EXE

size: 299008

MD5: 7fb566c5816d8959c9f3ab918c00cd1f



Located: Inicio (usuario), Inicio de Office.lnk

command: C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

file: C:\Archivos de programa\Microsoft Office\Office\OSA.EXE

size: 51984

MD5: d06276d4cad46cdceabefdeb1a0d3c0d







--- Browser helper object list ---





--- ActiveX list ---

{166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control)

DPF name:

CLSID name: Shockwave ActiveX Control

description: Macromedia ShockWave Flash Player 7

classification: Unknown

known filename: SWDIR.DLL

info link:

info source: Patrick M. Kolla

Path: C:\WINDOWS\SYSTEM\MACROMED\SHOCKWAVE 8\

Long name: Download.dll

Short name: DOWNLOAD.DLL

Date (created): 28/03/02 16:13:06

Date (last access): 18/10/04

Date (last write): 28/03/02 16:13:06

Filesize: 65536

Attributes:

MD5: 9FA268C045BD642CC6297A4D9A5B5C86

CRC32: 36C691B2

Version: 0.8.0.5



{4B0999FD-6937-11D5-8FEC-00606779369C} (NetConf)

DPF name:

CLSID name: NetConf

Path: C:\WINDOWS\DOWNLOADED PROGRAM FILES\

Long name: NetConf.dll

Short name: NETCONF.DLL

Date (created): 09/07/03 13:34:30

Date (last access): 18/10/04

Date (last write): 09/07/03 13:34:30

Filesize: 512000

Attributes:

MD5: 246519854D6723AE6CDA7F257C07D6D5

CRC32: F1DEEAFB

Version: 0.1.0.1



{9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class)

DPF name:

CLSID name: ActiveScan Installer Class

Path: C:\WINDOWS\DOWNLOADED PROGRAM FILES\

Long name: asinst.dll

Short name: ASINST.DLL

Date (created): 07/08/03 9:02:50

Date (last access): 18/10/04

Date (last write): 07/08/03 9:02:50

Filesize: 110592

Attributes:

MD5: BF100C75EBD536E45B2BE67A685DD39C

CRC32: 99F54DBA

Version: 0.55.0.2







--- Process list ---



PID: 4293879827 (2122267211) C:\WINDOWS\SYSTEM\KERNEL32.DLL

PID: 4294540091 (4294961999) C:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\SPYBOTSD.EXE

PID: 4294589999 (4294812907) C:\WINDOWS\SYSTEM\WMIEXE.EXE

PID: 4294623523 (4294723875) C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\PAVPROXY.EXE

PID: 4294723875 (4294961999) C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\APVXDWIN.EXE

PID: 4294763439 (4294961999) C:\ARCHIVOS DE PROGRAMA\PALM\HOTSYNC.EXE

PID: 4294768687 (4294961999) C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE

PID: 4294769623 (4294961999) C:\WINDOWS\NOTEPAD.EXE

PID: 4294812907 (4294961999) C:\WINDOWS\SYSTEM\SYSTRAY.EXE

PID: 4294814483 (4294961999) C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE

PID: 4294815411 (4294961999) C:\WINDOWS\TASKMON.EXE

PID: 4294820503 (4294961999) C:\WINDOWS\SYSTEM\LVCOMS.EXE

PID: 4294832235 (4294961999) C:\PROGRAM FILES\AHEAD\INCD\INCD.EXE

PID: 4294841115 (4294943615) C:\ARCHIVOS DE PROGRAMA\PANDA SOFTWARE\PANDA ANTIVIRUS PLATINUM\FIREWALL\PAVFIRES.EXE

PID: 4294849947 (4294943615) C:\WINDOWS\SYSTEM\MSTASK.EXE

PID: 4294879283 (4294950787) C:\WINDOWS\SYSTEM\mmtask.tsk

PID: 4294943615 (4294950787) C:\WINDOWS\SYSTEM\MPREXE.EXE

PID: 4294950787 (4293879827) C:\WINDOWS\SYSTEM\MSGSRV32.EXE

PID: 4294961999 (4294950787) C:\WINDOWS\EXPLORER.EXE

Spybot - Search && Destroy process list report, 18/10/04 23:45:51





--- Browser start & search pages list ---

Spybot - Search && Destroy browser pages report, 18/10/04 23:45:51



HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Local Page

C:\WINDOWS\SYSTEM\blank.htm

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page

http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page

about:blank

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchUrl\@

http://home.microsoft.com/access/autosearch.asp?p=%s

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Local Page

C:\WINDOWS\SYSTEM\blank.htm

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Search Page

http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Start Page

http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Page_URL

http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&pver=6&ar=msnhome

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\Default_Search_URL

http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\SearchAssistant

http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchasst.htm

HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Search\CustomizeSearch

http://ie.search.msn.com/{SUB_RFC1766}/srchasst/srchcust.htm





--- Winsock Layered Service Provider list ---





Muchas gracias por tu interés y un saludo

[maura63]

Has pasado este



Eliminación de paginas de inicio en el internet explorer y no restaurables,

dialers, etc:

Pasos a seguir una ver descargados es instalarlos, actualizados (update)

y escanear el sistema



· Cwshredder

Sitio 1 - Descargar Cwshredder

http://www.aluriasoftware.com/tools/cwshredder.zip

----------------------------------------------------------------

Sitio 2 - Descargar Cwshredder desde zonavirus.com

http://www.zonavirus.com/descargas/trend-micro-cwshredder.asp



Saludos

maura63

[bionom]

Muchas gracias por contestar y perdona mi tardanza en responder yo, pero lo cierto es que no he podido probar el Cwshredder porque ya no tengo donde probarlo, tal y como se explica en el tópico "Mi ordenador ha fallecido (RIP)" en la sección "Problemas (fatales) con el hardware"...



Así que, si es por mí puede CERRARSE ESTE TEMA porque podría decirse que el problema se ha resuelto ...



Salud (y a vuestros ordenadores)