avisos intentos conexion

Estado
Cerrado para nuevas respuestas

minredan

Nuevo Miembro
Miembro
hola gente, a ver si me podéis ayudar, desde hace unos días el kaspersky antihacker me esta avisando de varios intentos de conexiones de iexplore.exe, a traves del pto. http.80 y con sin datos, solo estos: 66.102.9.104 - 64.8.20.5.0 - hostlife.net - resolver5starhosting.biz y así varios mas, cuando pico encima de nombre iexplore.exe me lleva a las carpetas de fonts y de cursors, en la primera no veo nada, pero en la segunda, hay un iexplore.exe que creo que no debería estar ahí, debería haber solo cursores no, en fin que es un coñazo estar así a cada momento, yo por ahora no le doy permisos, pero siguen saliendo, he pasado ewido y kaspersky, spiwareblaster y ad-aware pero no detectan nada. que puedo hacer

Descarga el programa HijackThis 1.99.1 y colócalo en una carpeta propia para el HijackThis (por ejemplo una carpeta C:\HijackThis\). Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está. Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta a este tema.

Una vez descargado, da doble click en el icono del HijackThis.exe.

Primero da click en el botón "Config", y aparecerán 7 opciones . Fíjate que no estén tildadas la primera ( “Mark everything found for fixing alter scan”) y la última (“Run Hijack This scan at startup and show it ítems are fond”).Luego presiona "Back"

Para empezar el escaneo de posibles hijackers, clickea en el botón "Scan". Se te presentará una lista con todos los elementos encontrados por el programa .

Baja el HijackThis

Comienza un nuevo post y pega el log

Un Saludo
Insertar CODE, HTML o PHP:
Logfile of HijackThis v1.99.1

Scan saved at 18:23:49, on 13/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\antonio\Mis documentos\ram pro\ramsaverpro.exe

C:\Archivos de programa\Executive Software\Diskeeper\DkService.exe

C:\Documents and Settings\antonio\Mis documentos\ewido\ewido anti-spyware 4.0\guard.exe

C:\WINDOWS\system32\netdde.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe

C:\Documents and Settings\antonio\Mis documentos\emule\emule.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\antonio\Mis documentos\ewido\ewido anti-spyware 4.0\ewido.exe

C:\Documents and Settings\antonio\Mis documentos\hijackthis\HijackThiswww.trucoswindows.net]trucoswindows.exe

C:\WINDOWS\system32\Notepad.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOCUME~1\antonio\MISDOC~1\spybot\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [RAMSaverPro] "C:\Documents and Settings\antonio\Mis documentos\ram pro\ramsaverpro.exe"

O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\DOCUME~1\antonio\MISDOC~1\office\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\DOCUME~1\antonio\MISDOC~1\office\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1156869088702

O17 - HKLM\System\CCS\Services\Tcpip\..\{9F66EBD6-9E02-46AB-A3CB-F49A8886A873}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: DirectX Service (DirectXejk) - Unknown owner - c:\windows\system32\directx.exe (file missing)

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Archivos de programa\Executive Software\Diskeeper\DkService.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Documents and Settings\antonio\Mis documentos\ewido\ewido anti-spyware 4.0\guard.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 

minredan

Nuevo Miembro
Miembro
Disculpa el retraso para contestar, aquí dejo el log y el de ewido, una vez echo todo lo que me decías, gracias
Insertar CODE, HTML o PHP:
Logfile of HijackThis v1.99.1

Scan saved at 18:22:44, on 14/09/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Executive Software\Diskeeper\DkService.exe

C:\Documents and Settings\antonio\Mis documentos\ewido\ewido anti-spyware 4.0\guard.exe

C:\Documents and Settings\antonio\Mis documentos\ram pro\ramsaverpro.exe

C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe

C:\WINDOWS\system32\netdde.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Documents and Settings\antonio\Mis documentos\spybot\Spybot - Search & Destroy\SpybotSD.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\antonio\Mis documentos\hijackthis\HijackThiswww.trucoswindows.net]trucoswindows.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\DOCUME~1\antonio\MISDOC~1\spybot\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [KAVPersonal50] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize

O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [RAMSaverPro] "C:\Documents and Settings\antonio\Mis documentos\ram pro\ramsaverpro.exe"

O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\DOCUME~1\antonio\MISDOC~1\office\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\DOCUME~1\antonio\MISDOC~1\office\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1156869088702

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1158168930640

O17 - HKLM\System\CCS\Services\Tcpip\..\{9F66EBD6-9E02-46AB-A3CB-F49A8886A873}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Archivos de programa\Executive Software\Diskeeper\DkService.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Documents and Settings\antonio\Mis documentos\ewido\ewido anti-spyware 4.0\guard.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
ewido anti-spyware - Scan Report
Insertar CODE, HTML o PHP:
 + Created at:    19:38:25 13/09/2006

 + Scan result:   

C:\Documents and Settings\antonio\Cookies\antonio@statcounter[1].txt -> TrackingCookie.Statcounter : Cleaned.

::Report end
 

lobezzno

Miembro Activo
Miembro
Tu log se ve limpio pero espera que lo confirmen algúno de mis compañeros que son los verdaderos maestros de esto xDD

En cuanto a los ataques que reconoce el kaspersky no te preocupes que son muy comunes pero como ves el antivirus está deteniendolos y te advierte de tales ataques.

Lo unico que si te recomiendo es que actualices la consola de Java aquí http://java.sun.com/javase/downloads/index.jsp Debes bajarte la versión Java Runtime Environment (JRE) 5.0 Update 8.

Aparte de eso la unica entrada que posiblemente se pueda borrar junto con el archivo que la produce es la

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

que corresponde al spysweeper que al parecer ya no lo usas. Aun así espera a mis compañeros que te lo sabrán decir mejor.
 

minredan

Nuevo Miembro
Miembro
ya he actualizado java, y tienes razon, ya no uso spiweeper, pero pregunto, aunque kaspersky detecta y para los avisos,
 

minredan

Nuevo Miembro
Miembro
perdon, di al intro sin querer.

decía qué, aunque kaspersky sigue detectando los intentos de conexión, ELIMINO O NO, el archivo iexplore.exe que esta dentro de c/windows/cursors, y que es uno de los que quiere enviar mensajes salientes.

gracias
 

minredan

Nuevo Miembro
Miembro
aquí pego el resultado del analisis con dos diferentes, kaspersky
Insertar CODE, HTML o PHP:
Known viruses: 223428 Updated: 15-09-2006

File size (Kb): 86 Virus bodies: 0

Files: 1 Warnings: 0

Archives: 0 Suspicious: 0
y virustotal:
Insertar CODE, HTML o PHP:
ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "IEXPLORE.EXE" que VirusTotal ha recibido el día 15.09.2006 a las 01:17:53 (CET).

Antivirus Version Actualización Resultado

AntiVir 7.2.0.16 14.09.2006 HEUR/Crypted

Authentium 4.93.8 14.09.2006  no ha encontrado virus

Avast 4.7.844.0 13.09.2006  no ha encontrado virus

AVG 386 14.09.2006  no ha encontrado virus

BitDefender 7.2 14.09.2006  no ha encontrado virus

CAT-QuickHeal 8.00 14.09.2006 (Suspicious) - DNAScan

ClamAV devel-20060426 14.09.2006  no ha encontrado virus

DrWeb 4.33 14.09.2006 DLOADER.Trojan

eTrust-InoculateIT 23.72.125 15.09.2006  no ha encontrado virus

eTrust-Vet 30.3.3076 13.09.2006  no ha encontrado virus

Ewido 4.0 14.09.2006  no ha encontrado virus

Fortinet 2.82.0.0 13.09.2006 suspicious

F-Prot 3.16f 14.09.2006  no ha encontrado virus

F-Prot4 4.2.1.29 14.09.2006  no ha encontrado virus

Ikarus 0.2.65.0 14.09.2006 Net-Worm.Win32.Mytob.DE

Kaspersky 4.0.2.24 15.09.2006  no ha encontrado virus

McAfee 4852 14.09.2006  no ha encontrado virus

Microsoft 1.1560 15.09.2006  no ha encontrado virus

NOD32v2 1.1756 14.09.2006 a variant of Win32/Rukap.BS

Norman 5.90.23 13.09.2006  no ha encontrado virus

Panda 9.0.0.4 14.09.2006 Suspicious file

Sophos 4.09.0 14.09.2006  no ha encontrado virus

Symantec 8.0 15.09.2006  no ha encontrado virus

TheHacker 5.9.8.210 13.09.2006  no ha encontrado virus

UNA 1.83 14.09.2006  no ha encontrado virus

VBA32 3.11.1 14.09.2006  no ha encontrado virus

VirusBuster 4.3.7:9 14.09.2006 no ha encontrado virus

Información adicional

Tamaño archivo: 88064 bytes

MD5: 79d18e2848b4f14f2bb6351275a5b684

SHA1: 3ad422b7fa8b04aec933cc95254d707658300f3a

packers: Troj-Crypt.E
 

Lestat

Ex- Mod
Miembro
Si estas seguro de que esta en esta carpeta...

c/windows/cursors/IEXPLORE.EXE

Haz esto:

Baja Killbox:

KillBox (No lo ejecutes)

Desactiva la opción de Restaurar Sistema

Asegura que tu sistema Muestre los archivos y carpetas ocultos

Reinicia en Modo Seguro (Desconectate fisicamente de internet)


Abre Kill Box

Doble clic para que arranque ,marca “Standard File Kill.”

En” Full Path of File to Delete” pones la ruta del archivo...

EJEMPLO: C:\WINDOWS\system32\issearch.exe

Y pulsa el botón que parece un circulo rojo con una X :blanca en él. Cuando te pregunte si deseas reiniciar ahora ("Reboot now"), dile que NO hasta eliminar todas estas:

c/windows/cursors/IEXPLORE.EXE

» Cierra el Kill Box, y busca estos archivos o carpetas y eliminalos, si existen:

c/windows/cursors/IEXPLORE.EXE

Un Saludo.
 

minredan

Nuevo Miembro
Miembro
otro mas, y cada uno dice una cosa, voy a eliminarlo y punto, pero esperare a ver que me comentan.
Insertar CODE, HTML o PHP:
Service load:  0%        100% 

File:  IEXPLORE.EXE 

Status:  INFECTED/MALWARE 

MD5  79d18e2848b4f14f2bb6351275a5b684 

Packers detected:  PESPIN

Scanner results 

AntiVir  Found Heuristic/Crypted (probable variant) 

ArcaVir  Found nothing

Avast  Found nothing

AVG Antivirus  Found nothing

BitDefender  Found nothing

ClamAV  Found nothing

Dr.Web  Found DLOADER.Trojan (probable variant) 

F-Prot Antivirus  Found nothing

Fortinet  Found nothing

Kaspersky Anti-Virus  Found nothing

NOD32  Found a variant of Win32/Rukap.BS 

Norman Virus Control  Found nothing

UNA  Found nothing

VirusBuster  Found nothing

VBA32  Found nothing
 

minredan

Nuevo Miembro
Miembro
si, parece que el tema ya se ha solucionado, al menos en todo este tiempo ya no sale ni un solo aviso, si empezaran otra vez, volvere a preguntar, así que muchísimas gracias a todos
 
Estado
Cerrado para nuevas respuestas
Arriba Pie