SEGURIDAD INFORMATICA, Firewall, parches, vacunas, antivirus, anti troyanos, spyware etc > Seguridad Informatica - Firewall - Virus - Troyanos - Spyware - Ad Aware - Malware
Petición de conexión no autorizada
Yedai22:
A ver
la entrada que comentas supongo que es de la memoria usb de la marca LG. Hace tiempo que la tengo y el problema actual no existia.
He eliminado la entrada O21 pero siguen aparecendo las peticiones de conexion.
Pongo el log
Logfile of HijackThis v1.99.1
Scan saved at 20:21:19, on 07/05/2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\David i Núria\Mis documentos\Programes\hijackthis\HijackThis.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LG_PLUtil] C:\Archivos de programa\LG\SecureCell\PLBkMon.exe
O4 - HKLM\..\Run: [PLFFAP] C:\WINDOWS\System32\HotfixQ0306270.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE
O4 - Global Startup: Consola KIT ADSL.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak EasyShare software\bin\EasyShare.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: Universal Plug and Play Device Configuration (UPnP Configuration) - Unknown owner - C:\WINDOWS\System32\upnp.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
FatsGordon:
Por favor, probá (si no lo hiciste antes) de limpiar TODOS los temporales, tanto los de Internet como los propios.
Yo no tengo XP ni ME, pero sé que hay algo más que hacer para limpiar por completo el sistema. Siempre se me olvida (mal lo mío... :cry: )
¿Alguien puede dar una mano aquí con ese tema?
Mientras tanto voy a investigar un poco más, pero necesito más info:
- ¿Quién te avisa de los intentos de conexión? ¿Cuál es el mensaje exacto? Digo, porque tal vez en el mensaje esté la clave.
- ¿Qué firewall estás usando?
Yedai22:
Vale, a ver
Inicio el ordenador, se carga Windows y al finalizar la carga (todo correcto) aparece una petición de conexión típica
" un progrma solicita información y desea conectarse a dev.lsass.cc"
Le digo que CANCELAR y le marco la pestaña de no volver a preguntar durante esta sesión.
A veces me hace caso y no vuelve, otras al momento (y con la pestaña marcada) me pide lo mismo pero pa otra dirección "dev.lsass.org" o "0x41.cybercrime.com". Le vuelvo a dar a cancelar y listos, ya no aparece más.
Utilizo lo siguiente en materia de Anti virus,etc.
- Kaspersky Antivirus
-Zone Alarm Pro
-Ad Aware SE Personal
-Spybot Search and destroy
-e-Squared
Ya está
Gracias
FatsGordon:
Ok, ahí se ve más claro.
Por favor andá a Inicio, luego Ejecutar y escribí MSConfig y luego Enter.
Esto debería traer la lista de procesos que se ejecutan al inicio. Tratá de identificar al lsass.exe y marcalo (o desmarcalo) para que NO se ejecute al inicio.
Mi consejo es que entres a Kaspersky y revises el archivo C:\WINDOWS\system32\lsass.exe con el esaneo online que te permite analizar por archivo.
Lo que se ve por ahí es que es un proceso válido de Windows pero al cual infecta el Sasser. Creo que mis colegas aquí tienen más experiencia en el tema del Sasser que yo, en todo caso seguí mis instrucciones, que luego alguien seguirá con el tema (mis instrucciones no van a dañar nada).
Yedai22:
Vale, me imaginaba que era un exploit del lsass y que algún agente externo me lo había modificado.
He pasado el Kaspersky online pero no me ha detectado nada.
¿Puedes decirme como identifico al lsass.exe en el MSConfig? No lo he visto como tal y debe ser un proceso, pero no me marca la ruta para saber cual es.
Un saludo.
Navegación
[#] Página Siguiente
[*] Página Anterior
Ir a la versión completa