Autor Tema: Petición de conexión no autorizada (Leído 5749 veces)

FatsGordon · « **Respuesta #10 en:** 04 de Mayo de 2005, 09:49:51 pm »

Bueno, veamos qué se puede limpiar.

Primero reiniciá la máquina en modo seguro (presionando repetidas veces la tecla F8 cuando está reiniciando y eligiendo modo seguro del menú que te aparece). Una vez en dicho modo abrí el HijackThis.

Apretá el SEGUNDO BOTÓN, contando desde arriba (Do a system scan only), y ponele una marca a lo siguiente (y SÓLO a lo siguiente):

O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O16 - DPF: {11111111-1111-1111-1111-511111193457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111193458} - file://c:\x.cab
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://C:\foo.mht!http://82.179.166.145/x15.chm::/trs15.exe
O16 - DPF: {23232323-2323-2323-2323-232323291122} - file://c:\x.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab

La verdad es que no me gusta esta entrada:

O4 - HKLM\..\Run: [LG_PLUtil] C:\Archivos de programa\LG\SecureCell\PLBkMon.exe

Haciendo búsquedas siempre sale diferente, y la explicación de qué es no me convence. No estaría de más entrar en Kaspersky ( http://www.kaspersky.com ) y revisar este archivo en particular online. Si no da nada, lo dejamos tranquilo.

Una vez que pusiste las marcas que te mencioné (todos los O16), presioná Fix checked y cerrá el HijackThis.

Reiniciá la máquina y publicá un nuevo log del HT junto con tus comentarios sobre cómo está todo.

Yedai22 · « **Respuesta #11 en:** 04 de Mayo de 2005, 10:52:29 pm »

Bueno, he seguido los pasos y borrado los 016
sigue apareciendo el temita
os pongo el nuevo log

Logfile of HijackThis v1.99.1
Scan saved at 22:45:31, on 06/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\David i Núria\Mis documentos\Programes\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LG_PLUtil] C:\Archivos de programa\LG\SecureCell\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\System32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Universal Plug and Play Device Configuration (UPnP Configuration) - Unknown owner - C:\WINDOWS\System32\upnp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Gracias

FatsGordon · « **Respuesta #12 en:** 05 de Mayo de 2005, 04:30:46 pm »

Bien!

Ahora se ve algo más que antes no estaba.

Volvé a entrar en modo seguro y abrí el HT.

Marcá y apretá Fix checked para lo siguiente:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing

Este item...:

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)

Con respecto al O21, agrego esta info:

Citar

O21 - ShellServiceObjectDelayLoad
What it looks like:
O21 - SSODL - AUHOOK - {11566B38-955B-4549-930F-7B7482668782} - C:\WINDOWS\System\auhook.dll

What to do:
This is an undocumented autorun method, normally used by a few Windows system components. Items listed at HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad are loaded by Explorer when Windows starts. HijackThis uses a whitelist of several very common SSODL items, so whenever an item is displayed in the log it is unknown and possibly malicious. Treat with extreme care.

En mi opinión al decir (no file) es que hemos eliminado algo que algun agente malicioso necesitaba. Dejo a tu criterio la eliminación del mismo, pero dado que el HijackThis realiza por defecto copias de backup de lo que se elimina, si yo fuera vos lo eliminaría sin más.

De cualquier modo, como con las enfermedades, podés consultar a otros "médicos"... :D

Cualquiera sea la opción que tomes, nos gustaría ver un nuevo log del HT y tus impresiones con respecto al funcionamiento de la máquina.

Yedai22 · « **Respuesta #13 en:** 05 de Mayo de 2005, 07:35:18 pm »

He eliminado lo que comentais menos el O21¿ Tendría que eliminarlo?
La cosa sigue igual. Como cuesta el condenao!!!!!

Os poongo el nuevo log

Logfile of HijackThis v1.99.1
Scan saved at 19:28:46, on 07/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\David i Núria\Mis documentos\Programes\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LG_PLUtil] C:\Archivos de programa\LG\SecureCell\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\System32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Universal Plug and Play Device Configuration (UPnP Configuration) - Unknown owner - C:\WINDOWS\System32\upnp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

FatsGordon · « **Respuesta #14 en:** 05 de Mayo de 2005, 07:55:45 pm »

¿Vos reconocés este archivo? ¿De qué programa o aplicación proviene?

O4 - HKLM\..\Run: [LG_PLUtil] C:\Archivos de programa\LG\SecureCell\PLBkMon.exe

La pregunta viene porque no logro asociar el ejecutable a LG_PLUtil (de hecho no existe si uno busca LG_PLUtil en Google). El archivo PLBkMon.exe en general y por lo que puedo ver en Google está asociado a la firma Prolific, específicamente a un USB FLASH DISK UTILITY, aunque podría ser totalmente válido... :shock:

Por otra parte, eliminemos esta entrada:

O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - (no file)

Luego de lo que hagas, volvé a publicar un HT y tu impresiones.

Yedai22 · « **Respuesta #15 en:** 05 de Mayo de 2005, 08:27:42 pm »

A ver
la entrada que comentas supongo que es de la memoria usb de la marca LG. Hace tiempo que la tengo y el problema actual no existia.

He eliminado la entrada O21 pero siguen aparecendo las peticiones de conexion.

Pongo el log

Logfile of HijackThis v1.99.1
Scan saved at 20:21:19, on 07/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\David i Núria\Mis documentos\Programes\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LG_PLUtil] C:\Archivos de programa\LG\SecureCell\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\System32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Universal Plug and Play Device Configuration (UPnP Configuration) - Unknown owner - C:\WINDOWS\System32\upnp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

FatsGordon · « **Respuesta #16 en:** 06 de Mayo de 2005, 07:19:49 pm »

Por favor, probá (si no lo hiciste antes) de limpiar TODOS los temporales, tanto los de Internet como los propios.

Yo no tengo XP ni ME, pero sé que hay algo más que hacer para limpiar por completo el sistema. Siempre se me olvida (mal lo mío...

)

¿Alguien puede dar una mano aquí con ese tema?

Mientras tanto voy a investigar un poco más, pero necesito más info:

- ¿Quién te avisa de los intentos de conexión? ¿Cuál es el mensaje exacto? Digo, porque tal vez en el mensaje esté la clave.

- ¿Qué firewall estás usando?

Yedai22 · « **Respuesta #17 en:** 08 de Mayo de 2005, 01:02:27 pm »

Vale, a ver
Inicio el ordenador, se carga Windows y al finalizar la carga (todo correcto) aparece una petición de conexión típica

" un progrma solicita información y desea conectarse a dev.lsass.cc"

Le digo que CANCELAR y le marco la pestaña de no volver a preguntar durante esta sesión.

A veces me hace caso y no vuelve, otras al momento (y con la pestaña marcada) me pide lo mismo pero pa otra dirección "dev.lsass.org" o "0x41.cybercrime.com". Le vuelvo a dar a cancelar y listos, ya no aparece más.

Utilizo lo siguiente en materia de Anti virus,etc.
- Kaspersky Antivirus
-Zone Alarm Pro
-Ad Aware SE Personal
-Spybot Search and destroy
-e-Squared

Ya está
Gracias

FatsGordon · « **Respuesta #18 en:** 09 de Mayo de 2005, 05:22:37 pm »

Ok, ahí se ve más claro.

Por favor andá a Inicio, luego Ejecutar y escribí MSConfig y luego Enter.

Esto debería traer la lista de procesos que se ejecutan al inicio. Tratá de identificar al lsass.exe y marcalo (o desmarcalo) para que NO se ejecute al inicio.

Mi consejo es que entres a Kaspersky y revises el archivo C:\WINDOWS\system32\lsass.exe con el esaneo online que te permite analizar por archivo.

Lo que se ve por ahí es que es un proceso válido de Windows pero al cual infecta el Sasser. Creo que mis colegas aquí tienen más experiencia en el tema del Sasser que yo, en todo caso seguí mis instrucciones, que luego alguien seguirá con el tema (mis instrucciones no van a dañar nada).

Yedai22 · « **Respuesta #19 en:** 10 de Mayo de 2005, 11:30:25 am »

Vale, me imaginaba que era un exploit del lsass y que algún agente externo me lo había modificado.

He pasado el Kaspersky online pero no me ha detectado nada.

¿Puedes decirme como identifico al lsass.exe en el MSConfig? No lo he visto como tal y debe ser un proceso, pero no me marca la ruta para saber cual es.

Un saludo.

Noticias:

Autor Tema: Petición de conexión no autorizada (Leído 5749 veces)