Que le pasa al foro?

Iniciado por Pablo Videla, 9 Junio 2015, 03:45 AM

0 Miembros y 1 Visitante están viendo este tema.

WHK

Recuerda que está comprobado que los antivirus y derivados como antispywares no detectan mas del 1% de todas las amenzasas a las que puedas estar expuesto.

De todas maneras en el único antivirus que he confiado siempre ha sido el nod32 y el avira y como firewall el zone alarm.

engel lex

Cita de: WHK en  9 Junio 2015, 18:10 PM
amenzasas

suena como una efermedad (o jugo) brasilero  :xD



pero por eso dije, ni sigue consejo, ni da retroalimentación  :¬¬ yo lo dejé ya a su suerte!

CitarNi idea como pude pegarme algo como eso si no hago nada irresponsable en la red
si los virus solo se pegaran así, en un foro como este no recomendaríamos su uso...  :silbar:

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.

Pablo Videla

Cita de: engel lex en  9 Junio 2015, 18:17 PM
suena como una efermedad (o jugo) brasilero  :xD



pero por eso dije, ni sigue consejo, ni da retroalimentación  :¬¬ yo lo dejé ya a su suerte!
si los virus solo se pegaran así, en un foro como este no recomendaríamos su uso...  :silbar:



CitarAlgún tema específico o siempre?
Http o https?
Con sesión abierta?
Ves alguna publicidad sobre el foro?
En tus extensiones no conseguiste nada raro?
Usas chrome?
El firewall dudo que pare publicidad, al final es una conexión "normal" del navegador a un enlace valido, pasa el antivirus y Dime que tal los resultados del scan completo

jajaja disculpa Engel.

1.- Ocurrio con protocolo http.
2.- Con sesion abierta.
3.- No tengo ninguna extensión rara.
4.- Si, uso chrome.
5.- El antivirus se me colgo anoche mientas escaneaba, lo pondre de nuevo esta noche.
6.- El spybot encontro los tipicos tracking cookies. Y borre todo. Después de eso no me ha vuelto a suceder el problema.



Sobre las conexiones raras del chrome esto es lo que ocurre.

Hago un netstat -nb para ver las conexiones segun la aplicacion

Citar

Conexiones activas

  Proto  Direcci¢n local        Direcci¢n remota       Estado
  TCP    127.0.0.1:19872        127.0.0.1:45718        ESTABLISHED
[Dropbox.exe]
  TCP    127.0.0.1:45718        127.0.0.1:19872        ESTABLISHED
[Dropbox.exe]
  TCP    127.0.0.1:45780        127.0.0.1:45781        ESTABLISHED
[Dropbox.exe]
  TCP    127.0.0.1:45781        127.0.0.1:45780        ESTABLISHED
[Dropbox.exe]
  TCP    127.0.0.1:49304        127.0.0.1:5357         TIME_WAIT
  TCP    192.168.1.111:45632    65.52.108.216:443      ESTABLISHED
[Explorer.EXE]
  TCP    192.168.1.111:45667    64.233.186.125:5222    ESTABLISHED
[googledrivesync.exe]
  TCP    192.168.1.111:45705    108.160.172.236:443    CLOSE_WAIT
[Dropbox.exe]
  TCP    192.168.1.111:45710    108.160.172.225:443    CLOSE_WAIT
[Dropbox.exe]
  TCP    192.168.1.111:45742    64.233.186.188:5228    ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:45754    54.230.227.213:443     CLOSE_WAIT
[Dropbox.exe]
  TCP    192.168.1.111:45758    64.233.186.125:5222    ESTABLISHED
[pidgin.exe]
  TCP    192.168.1.111:45759    173.252.81.6:5222      ESTABLISHED
[pidgin.exe]
  TCP    192.168.1.111:45760    195.148.124.79:6667    ESTABLISHED
[pidgin.exe]
  TCP    192.168.1.111:46332    54.230.227.213:443     CLOSE_WAIT
[Dropbox.exe]
  TCP    192.168.1.111:48564    54.77.180.114:443      CLOSE_WAIT
[avguard.exe]
  TCP    192.168.1.111:48567    54.77.213.133:443      CLOSE_WAIT
[avguard.exe]
  TCP    192.168.1.111:48745    108.160.172.236:443    CLOSE_WAIT
[Dropbox.exe]
  TCP    192.168.1.111:49042    54.192.225.175:443     CLOSE_WAIT
[Dropbox.exe]
  TCP    192.168.1.111:49130    108.160.172.236:443    CLOSE_WAIT
[Dropbox.exe]
  TCP    192.168.1.111:49141    190.45.0.40:443        ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49159    54.231.2.116:80        ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49170    64.233.186.83:443      ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49184    199.16.158.81:443      ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49186    108.160.165.54:443     ESTABLISHED
[Dropbox.exe]
  TCP    192.168.1.111:49227    190.45.0.199:443       ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49228    190.45.0.212:80        CLOSE_WAIT
[chrome.exe]
  TCP    192.168.1.111:49229    190.45.0.212:80        CLOSE_WAIT
[chrome.exe]
  TCP    192.168.1.111:49230    190.45.0.212:80        CLOSE_WAIT
[chrome.exe]
  TCP    192.168.1.111:49231    91.236.51.38:80        ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49234    74.125.239.56:80       ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49235    64.233.186.95:443      ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49237    190.45.0.212:80        CLOSE_WAIT
[chrome.exe]
  TCP    192.168.1.111:49251    31.13.85.8:443         ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49255    190.45.0.148:80        ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49256    107.21.10.179:80       ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49263    64.233.186.155:443     ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49270    190.45.0.148:80        ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49273    54.230.225.52:80       ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49278    190.46.255.24:80       ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49279    190.46.255.24:80       ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49280    190.46.255.8:80        ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49281    190.46.255.8:80        ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49284    190.46.255.11:80       ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49285    190.46.255.11:80       ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49286    190.46.255.11:80       ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49287    190.46.255.11:80       ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49288    190.46.255.18:80       ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49289    190.46.255.18:80       ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49290    190.46.255.18:80       ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49291    190.46.255.18:80       ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49292    190.46.255.18:80       ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49300    190.45.0.119:443       ESTABLISHED
[chrome.exe]
  TCP    192.168.1.111:49303    192.168.1.101:139      TIME_WAIT
  TCP    192.168.1.111:49305    192.168.1.101:139      TIME_WAIT
  TCP    [::1]:2869             [::1]:49301            ESTABLISHED
No se puede obtener informaci¢n de propiedad
  TCP    [::1]:2869             [::1]:49302            ESTABLISHED
No se puede obtener informaci¢n de propiedad
  TCP    [::1]:49301            [::1]:2869             ESTABLISHED
  EventSystem
[svchost.exe]
  TCP    [::1]:49302            [::1]:2869             ESTABLISHED
  EventSystem
[svchost.exe]



Las conexiones que puse en negrita, hay algunas con conexion segura y si le hago un lookup ip me sale una ip de mi ISP VTR pero si ingresan la ip al navegador me abre GOOGLE.

Si me pueden dar una explicación logica a eso seria muy bueno, les agradezco un monton la ayuda, saludos y disculpen si no respondi de la forma correcta.

123456

Prueba accediendo a: chrome://plugins/ tal vez tengas algo raro por ahí

scott_

La verdad, no hay que tratar de encontrar la inmortalidad del cangrejo. Mas sencillo ir al grano. Si no se esta interesado en deducir que es lo que ocasiona el error. Y simplemente queremos deshacernos de el, pues erradicarlo de raíz.
Trata de Reinstalar Chrome.

Saludos.
Si no intentas salvar una vida, jamás salvarás la de nadie más

Pablo Videla

Cita de: scott_ en 10 Junio 2015, 01:54 AM
La verdad, no hay que tratar de encontrar la inmortalidad del cangrejo. Mas sencillo ir al grano. Si no se esta interesado en deducir que es lo que ocasiona el error. Y simplemente queremos deshacernos de el, pues erradicarlo de raíz.
Trata de Reinstalar Chrome.

Saludos.
Es que dejo de suceder.. Lo que si me paso de nuevo hoy dia es que el antivirus se cancelo solo. Estuvo mas de 4 horas scaneando y de repente desaparecio el system scanner de avira. Y viendo los eventos decia que se cancelo. Aun así ahora mismo no veo nada extraño en los procesos, excepto por las conexiones de chrome que puse anteriormente.

WHK

Debes estar infectado hasta las masas.

Lo mas probable es que te hayas pegado un avkiller que haya inutilizado tu antivirus y otro que ha modificado tu navegador para insertar código en tus paginas. Normalmente los malwares que hacen esto son para hacer publicidad a escondidas o robarte cuentas bancarias o sacarte todas las claves para después subirlos a pastebin.

Con antivirus y cosas así no creo que llegues muy lejos detectando el problema que tienes, talves te has infectado por algún pendrive o por algún software que venia con malware inyectado o alguien te lanzó algo remoto por el navegador, quien sabe.

Si se solucionó reinstalando google chrome quiere decir que no era ninguna extensión ni plugin ya que cuando desinstalas esas carpetas con agregados quedan guardadas y no se eliminan de manera automática al igual que lo hace firefox asi que lo mas probable es que el mismo binario haya estado infectado, si es así entonces todo tu sistema debería estar tambien infectado de alguna manera, o talves fue solo un acceso directo que fue modificado y desde ahi te controlaban el navegador, quien sabe.

Son muchas las posibilidades, lo que si está claro es que tu sistema está jodidamete jodido. Yo que tu hago un respaldo en un disco externo o pendrive y le pongo el live cd de ubuntu y verifico que no tenga bichos eliminando posibles autoarranques o ejecutables escondidos como carpetas y luego formateo el windows y despues antes de pasar los respaldos instalo el nod32 y después paso los archivos, asi si viene algo raro el nod32 no lo dejará pasar.

Yo hace muchos años que dejé de usar antivirus desde que me metí con unos tipos y me lanzaron un exploit remoto y me reiniciaron el pc usando windows 7, desde esa ves que uso debian en un pc y ubuntu en otro y no he vuelto a tener mas problemas y me ahorré el giga de memoria ram que me ocupaba el antivirus y tengo un notebook chico con windows 7 y me cuido lo básico, no entro a paginas extrañas, uso firefox, no ejecuto cualquier cosa que no provenga de un sitio de confianza, etc y llevo casi4 años con el y no he tenido problemas de ningún tipo.

Pablo Videla

Ok lo que pienso hacer es efectivamente formatear esto e instalar ambos SO windows y ubuntu.

Lo que si primero quiero hacer es encontrar al bicho.  Y ver quien es de la ip que esta recibiendo datos por ssl.

Asi que me pondre a investigar un poco sobre las maquinas. Les cuento cualquier cosa, cualquier sugerencia es bienvenida.

Gh057

Hola Pablo Videla, podrías desde otra estación ver el tráfico de tu lan desde el arranque, luego abres el navegador y te enfocas en las peticiones extrañas... y te aseguras que solo sea inyección de publicidad y no un backdoor que esté subiendo info, saludos!
4 d0nd3 1r4 3l gh057? l4 r3d 3s 74n v4s74 3 1nf1n1t4...

Pablo Videla

Cita de: Gh057 en 10 Junio 2015, 15:07 PM
Hola Pablo Videla, podrías desde otra estación ver el tráfico de tu lan desde el arranque, luego abres el navegador y te enfocas en las peticiones extrañas... y te aseguras que solo sea inyección de publicidad y no un backdoor que esté subiendo info, saludos!

Ok, pero primero hice un scaneo a la ip que dije


y miren lo que me entrego nmap

Citar
Starting Nmap 6.47 ( http://nmap.org ) at 2015-06-10 09:07 CLT
NSE: Loaded 118 scripts for scanning.
NSE: Script Pre-scanning.
Initiating Parallel DNS resolution of 1 host. at 09:07
Completed Parallel DNS resolution of 1 host. at 09:07, 0.17s elapsed
Initiating SYN Stealth Scan at 09:07
Scanning pc-35-0-45-190.cm.vtr.net (190.45.0.35) [1000 ports]
Discovered open port 80/tcp on 190.45.0.35
Discovered open port 443/tcp on 190.45.0.35
Completed SYN Stealth Scan at 09:07, 8.52s elapsed (1000 total ports)
Initiating Service scan at 09:07
Scanning 2 services on pc-35-0-45-190.cm.vtr.net (190.45.0.35)
Completed Service scan at 09:08, 12.36s elapsed (2 services on 1 host)
Initiating OS detection (try #1) against pc-35-0-45-190.cm.vtr.net (190.45.0.35)
Retrying OS detection (try #2) against pc-35-0-45-190.cm.vtr.net (190.45.0.35)
Initiating Traceroute at 09:08
Completed Traceroute at 09:08, 3.02s elapsed
Initiating Parallel DNS resolution of 6 hosts. at 09:08
Completed Parallel DNS resolution of 6 hosts. at 09:08, 0.07s elapsed
NSE: Script scanning 190.45.0.35.
Initiating NSE at 09:08
Completed NSE at 09:08, 1.81s elapsed
Nmap scan report for pc-35-0-45-190.cm.vtr.net (190.45.0.35)
Host is up (0.051s latency).
Not shown: 998 filtered ports
PORT    STATE SERVICE  VERSION
80/tcp  open  http     Google httpd 2.0 (GFE)
|_http-favicon: Unknown favicon MD5: A300693728F5CAA531A6886D9B8F38C2
|_http-generator: ERROR: Script execution failed (use -d to debug)
|_http-methods: No Allow or Public header in OPTIONS response (status code 405)
| http-robots.txt: 251 disallowed entries (15 shown)
| /search /sdch /groups /catalogs /catalogues /news /nwshp
| /setnewsprefs? /index.html? /? /?hl=*& /?hl=*&*&gws_rd=ssl
|_/addurl/image? /mail/ /pagead/
|_http-title: Did not follow redirect to http://www.google.com/
443/tcp open  ssl/http Google httpd 2.0 (GFE)

|_http-methods: No Allow or Public header in OPTIONS response (status code 404)
|_http-title: Error 404 (Not Found)!!1
| ssl-cert: Subject: commonName=google.com/organizationName=Google Inc/stateOrProvinceName=California/countryName=US
| Issuer: commonName=Google Internet Authority G2/organizationName=Google Inc/countryName=US
| Public Key type: rsa
| Public Key bits: 2048
| Not valid before: 2015-06-03T09:40:42+00:00
| Not valid after:  2015-09-01T00:00:00+00:00
| MD5:   3572 944c d528 1ee7 8eeb 9d51 47c9 27aa
|_SHA-1: 290c d85e 69c2 fd6b ead7 e064 73b8 068f 54f8 a3a5
|_ssl-date: 2015-06-10T13:08:11+00:00; -5s from local time.
| tls-nextprotoneg:
|   h2
|   h2-15
|   h2-14
|   spdy/3.1
|   spdy/3
|_  http/1.1
Warning: OSScan results may be unreliable because we could not find at least 1 open and 1 closed port
Device type: general purpose|WAP
Running (JUST GUESSING): FreeBSD 6.X (91%), Linux 2.6.X (88%), ZoneAlarm embedded (86%)
OS CPE: cpe:/o:freebsd:freebsd:6.2 cpe:/o:linux:linux_kernel:2.6 cpe:/h:zonealarm:z100g
Aggressive OS guesses: FreeBSD 6.2-RELEASE (91%), Linux 2.6.18 (88%), Linux 2.6.9 - 2.6.27 (86%), ZoneAlarm Z100G WAP (86%)
No exact OS matches for host (test conditions non-ideal).
Uptime guess: 2.710 days (since Sun Jun  7 16:05:17 2015)
Network Distance: 7 hops
TCP Sequence Prediction: Difficulty=260 (Good luck!)
IP ID Sequence Generation: Randomized
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

TRACEROUTE (using port 80/tcp)
HOP RTT      ADDRESS
1   15.55 ms 192.168.1.1
2   ...
3   52.44 ms 192.168.248.170
4   50.26 ms 192.168.22.141
5   50.26 ms 192.168.15.126
6   50.26 ms 192.168.99.138
7   49.72 ms pc-35-0-45-190.cm.vtr.net (190.45.0.35)

NSE: Script Post-scanning.
Read data files from: /usr/bin/../share/nmap
OS and Service detection performed. Please report any incorrect results at http://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 32.53 seconds
          Raw packets sent: 2092 (95.880KB) | Rcvd: 62 (3.808KB)