Foros de daboweb
SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc => Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware => Mensaje iniciado por: adg en 16 de Marzo de 2006, 01:08:05 pm
-
Hola a todos:
Hoy mismo el Norton Antivirus me ha empezado a detectar un virus, que no se si preocùparme o no. Por cierto lo detecta cada 10 min.
El Norton me dice:
Nombre: MS ASN1 Integrer Overflow TCP.
y su Ip: 81.44.193.16 (4008), y esta dirección va variando.
Me he de preocupar?
Está mi equipo en riesgo?
-
Hola:
Será el firewall.. ¿Tienes el equipo totalmente actualizado?
http://www.microsoft.com/technet/security/bulletin/MS04-007.mspx
Mira a ver si tienes alguno de los programas que se indican en este listado, quiza por ahí venga el asunto..
http://securityresponse.symantec.com/avcenter/attack_sigs/s20409.html
Un saludo
-
lo tengo totalmente actualizado, pero el firewal de windows desactivado, porque el norton me lo hecho.
por cirto tengo todo original, o sea supongo que todo está bien.
-
Escanea entonces con tu antivirus en modo seguro y con algun programa antiespias, mas que nada por confirmar que no tienes nada.
un saludo
-
Escanea entonces con tu antivirus en modo seguro y con algun programa antiespias, mas que nada por confirmar que no tienes nada.
¿a qué te refieres en modo seguro?, Tengo también el spyware doctor, ¿símplemente le hago un análisis del equipo?
-
Hola:
Modo seguro o a prueba de fallos, con el antivirus y antiespias ad aware y spybot
http://www.windowsfacil.com/manuales/modo-seguro/modo-seguro.htm
De todos modos si la alerta es del firewall y lo está parando quizá no tengas nada..
un saludo
-
Vale pero tengo alguna maner de parar ese virus?, me entra cada 2 min, y no puedo trabajar normal
-
En el modo a prueba de fallos solo se cargan los controladores necesarios para que el ordenador funcione , no tendrás conexión a internet , así que no debería salirte ese aviso mientras reaizas los escaneos.
-
Vale, ya hecho la búsqueda de virus en el modo a prueba de fallos. No tengo nada, pero el gusano me suigue intentando entrar cada minuto.
¿Qué puedo hacer?, me da miedo estar en internet así.
-
Hola:
Algo he leido por ahí que hacia referencia a este error y parece que en el mensaje de error que mostraba el puerto atacado indicaba al 139.. Revisa este enlace y deshabilita netbios si no lo tienes hecho ya..
http://www.daboweb.com/foros/index.php/topic,4457.0.html
Un saludo
-
Hola:
Ya he desabilitado la net bios, y me sigue intentando atacar.
El puerto 139, ¿qué es?
-
Prueba a instalar un cortafuego que vuelva los puertos de tu ordenador invisibles.
De todos modos si la alerta es del firewall y lo está parando quizá no tengas nada..
Casi seguro que no hay nada , no merece mucho la pena seguir buscando ... si lo ha bloqueado es que no ha entrado.
Mira lo del firewall , poner los puertos invisibles o incluso navegar anónimamente a través de un proxy , lo cual te dará un IP distinta a la real de cara al resto del mundo.
-
Vale, me parece una buena idea lo de ocultar mi Ip, he visto un programas que hacen esto. Pero lo que dices del proxy, ¿qué es eso?
Se puede hacer gratuitamente lo de ocultar la Ip?
Gracias por las respuestas.
-
Sí , hay programas gratuitos que lo hacen ... incluso páginas que te hacen de puerta de enlace a internet , pero mejor un programa.
http://www.daboweb.com/foros/index.php?topic=19697.0
http://www.daboweb.com/foros/index.php?topic=4456.0
-
Vale, ya he mirado esos 2 enlaces pero no he logrado descargar el programa gratuto comentado. Sabeis de otros programas para ésto sencillos?
Por cierto, yo tengo contratada una Ip dinámica, no debería de parar el virus cundo se cambie la Ip, llevo ya 3 días con el gusano intentado entrar cada 6 min.
-
¿ Usas el emule ?
-
Teniendo todos los programas cerrados, excepto el antivirus, conecto internet y me empiezan a atacar los gusanos. No tengo nada abierto, ni si quiera el internet explorer.
He pensado restaurar el sistema al día anterior al que empezaron a bom.ardearme. ¿se puede hacer eso?, ¿cómo se hace?
-
Al final habías pasado el Ad-Aware y el Spybot en el modo a prueba de fallos ?
Si no lo hiciste deberías hacerlo y también el Ewido y el A2 Squared ... tienes manuales de todos ellos en la web y el subforo de manuales de Seguridad informática.
Si ninguno de esos programas encuentra nada saca un log del HijackThis , http://www.daboweb.com/foros/index.php?topic=13633.0 :)
-
Antes había pasado el spybot, pero me decía que no había nada. Ahora he pasado el Ad-Aware, y me ha encontrado amenazas. Las he puesto en cuarentena porque me da miedo eliminarlas. Son estas:
EZULA
»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»
obj[3]=File : C:\Documents and Settings\Administrador\Configuración local\Temp\bit2.exe
obj[4]=File : D:\jacnsn\bit2.exe
¿tengo riesgo al eliminarlas por completo?
-
No deberías tener problemas eliminando eso , de todas formas lo puedes dejar en cuarentena unos dias o hasta que todo ande bien.
Nueva pregunta - ¿ tienes o has tenido instalado el KaZaa ?
Deberías sacar el log del HijackThis y publicarlo en este mismo hilo .... es posible que aún tengas algo de malware por ahí.
-
No nunca lo he utilizado
-
Pues es algo propio del KaZaa , el caso es que se te ha colado .....
Deberías sacar el log del HijackThis y publicarlo en este mismo hilo .... es posible que aún tengas algo de malware por ahí.
-
Ya he pasado el HijackThis, y me ha dado esto:
Logfile of HijackThis v1.99.1
Scan saved at 14:26:52, on 20/03/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\hijackthis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\ARCHIV~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton\NavShExt.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll
O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PCMService] "C:\Archivos de programa\Arcade\PCMService.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [LManager] C:\Archivos de programa\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 4
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Archivos de programa\Spyware Doctor\swdoctor.exe" /Q
O4 - HKCU\..\RunOnce: [NeroHomeFirstStart] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroScoutOptions.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\ARCHIV~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://groups.msn.com/controls/PhotoUC/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O20 - AppInit_DLLs: PAVWAIT.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe
O23 - Service: EvtEng - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton\IWP\NPFMntor.exe
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: RegSrvc - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton\SAVScan.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Archivos de programa\Spyware Doctor\sdhelp.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe
O23 - Service: SPBBCSvc - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
-
No se si tiene algo que ver, pero el spyware doctor me ha encontrado diversos virus. Trojan.Start page.GEN, y dice que está en: HKCU/Software/microsoft/multimedia/activemovie. y más en HKCU
-
Yo desinstalaria spyware doctor, no me da confianza
veo que tienes varios toolbar como el de msn google, te sugiero los desinstales
Tu norton antivirus esta actualizado ?? si no lo está yo empezaria por desactivarlo
Instala Ewido haces una exploración completa
Instala Antivir Personal y configuralo para un escaneo a todos los archivos en modo heuristico
Limpia registros cookies temporales con CCleaner, Regcleaner e Easy cleaner
Ejecuta MSCONFIG y remueve los programas no necesarios durante toda la sesión de la pestaña de inicio (winzip, office, quicktme, todo lo de multimedia, deja solo antivirus y explorer)
Reinicia y ve si siguen tus problemas
-
Sí el Norton lo tengo original y totalmente actualizado, en cuanto a las barras de herramientas ya las he eliminado. El programa que dijiste, Antivir Personal, está entero en Alemán y no me entero de nada. Además también he desinstalado el spyware doctor.
¿Sabes si puedo encontrar el antivir en castellano?
Gracias por las respuestas.
-
Disculpa no me percate de tu respuesta, Antivir no hay versión en español pero si en ingles creo que es mas entendible que el aleman
Descargalo de aqui (http://www.free-av.com/antivirus/allinonen.html)
-
Gracias por darme el enlace en Inglés, así lo he podido entender.
El antivir me ha metido 13 elementos en cuarentena, de los que 11 son temporales, y dos son 2 archivos .bat
Me siue intentando entrar el gusanito, qué puedo seguir haciendo?
Gracias por las respuestas.