Firefox me bloquea webs

Novlucker · 12 Agosto 2010, 17:41 PM

Castiblanco, tienes bind9 instalado?, fijate que uno de los archivos que se marcan como peligroso en el análisis es de ese programa.

CitarProceso = named.exe 604 ; NT AUTHORITY\SYSTEM ; ( 6: Desconocido ) ;
Tamaño del archivo = 233472
SHA1 = C5A0B7061EE548341B52F5894BB176F6B7734523
Hora de creación = 2005/10/11 17:52
Hora de última escritura = 2005/10/11 17:52
Vinculado a = Procesos en ejecución -> named.exe -> c:\windows\system32\dns\bin\named.exe
Vinculado a = Conexiones de red -> Conexiones TCP -> 127.0.0.1:53|0.0.0.0:55350|LISTEN
Vinculado a = Conexiones de red -> Conexiones TCP -> 127.0.0.1:953|0.0.0.0:2144|LISTEN
Vinculado a = Conexiones de red -> Conexiones TCP -> 192.168.0.3:53|0.0.0.0:30727|LISTEN
Vinculado a = Conexiones de red -> Conexiones UDP -> 0.0.0.0:1032
Vinculado a = Conexiones de red -> Conexiones UDP -> 127.0.0.1:53
Vinculado a = Conexiones de red -> Conexiones UDP -> 192.168.0.3:53
Vinculado a = Servicios -> c:\windows\system32\dns\bin\named.exe

Tiene varias conexiones a la escucha y tiene que ver con lo de los DNS, y lo tienes como servicio bajo el nombre twdns
:http://www.virustotal.com/file-scan/report.html?id=3c7e7218de13427d548151b15ea94b5de825d98bf4b2c531fc9a069ee49d0f36-1280358235
En teoría no es malware, pero revisalo por si acaso.

Y también el siguiente driver

CitarControlador de protocolo TCP/IP = c:\windows\system32\drivers\tcpip.sys Sistema ; En ejecución ; ( 6: Desconocido ) ; TCP/IP Protocol Driver ; Microsoft Corporation ;
Nombre interno = tcpip.sys
Nombre del producto = Microsoft® Windows® Operating System
Versión del archivo = 5.1.2600.5512 (xpsp.080413-0852)
Nombre de la compañía = Microsoft Corporation
Descripción del archivo = TCP/IP Protocol Driver
Tamaño del archivo = 361344
SHA1 = 086687171B8338CE9FDD4A873DB8B7AE1B76F71C
Hora de creación = 2009/06/21 16:48
Hora de última escritura = 2009/06/21 16:48
Vinculado a = Controladores -> c:\windows\system32\drivers\tcpip.sys

:http://www.virustotal.com/file-scan/report.html?id=a3333d917850abacecff8875fd2f9689be6dfb4aa0c84eaa57ada0692ca32fd7-1276242182

Es detectado por un solo AV, pero de cualquier manera he revisado mi mismo archivo y no salta nada en virustotal, aunque es una versión diferente al tuyo.

Si prestamos atención, todo lo que comento "salta" en la revisión con Sysinspector, y todo tiene que ver con las conexiones. $:-\$

Saludos

Castiblanco · 12 Agosto 2010, 17:51 PM

Le puse el AVG Anti-virus Free a todo el disco y solo cogió mi Bifrost y ya lo borro jajaja, bueno no se perdió mucho.

Osea en conclusión si no es un malware que es? no es nada grave para alarmarme, puedo seguir estudiando calculo integral sin miedo ^^

Saludos y gracias por colaborar.

Novlucker · 12 Agosto 2010, 17:58 PM

Esto te iba a decir, que habías comentado que no tenías AV pero salía el AVG Free 9.0.

CitarOsea en conclusión si no es un malware que es? no es nada grave para alarmarme, puedo seguir estudiando calculo integral sin miedo ^^

No me has entendido

, tienes bind9? puede que sea problema de la resolución de dominios de bind9, que al parecer lo tienes configurado en el sistema como servidor DNS, o puede que el tcpip.sys este parchado para cargar un rootkit en memoria

Saludos

Castiblanco · 12 Agosto 2010, 18:12 PM

^^

Jaja si lo instale mientras mi ayudabas

Bueno que más da, el foro es para sacarnos de dudas así que voy a decir todas la cosas que se me vienen a la mente y ya tu me corriges en todo

Es la primera vez que escucho la palabra Bind9, que si lo he instalado o no, posiblemente sin saber que así se llamada. leí lo de la Wiki y no entendí muy bien francamente, tengo la leve sospecha que es lo que conecta mi el bifrost osea uno en ese programa le da una IP pero como la de uno es dinámica se crea un cuenta en un lugar y con un programa crea la conexión, bueno eso es lo único que pienso, ya creo que no es así que dime tu que es y para que sirve a ver si posiblemente yo si lo instale.

En cuanto al controlador, ese como hago pues si lo borro jodo algo, entonces?

PD: Gracias por tener tanta paciencia

Novlucker · 12 Agosto 2010, 19:14 PM

Se supone que sirve para tener un servidor DNS local. Un servidor DNS sirve para que cuando tu ingresas foro.elhacker.net en el navegador, eso te lleve hasta la IP 66.118.151.59, es lo que convierte esa dirección en IP.

Lo que tu dices del bifrost es el NO-IP ,que lo que hace es actualizar continuamente tu IP, la cual es apuntada por un domino.

No has probado restaurar el sistema a un punto anterior?

Saludos

Castiblanco · 12 Agosto 2010, 19:20 PM

Pero igual yo elimino el proceso y no pasa nada, osea puedo borrarlo y no va a pasar nada?

No mi Windows es super adulterado jejeje y no tiene esa opción.

Novlucker · 12 Agosto 2010, 19:25 PM

CitarNo mi Windows es super adulterado jejeje y no tiene esa opción.

A lo mejor por eso tiene el bind9 instalado

, igual algo muy tonto que no he preguntado, te pasa solo con firefox? o con IE también?

Saludos

Castiblanco · 12 Agosto 2010, 19:43 PM

No, pasaba con todos, solo que me di cuenta después de crear el titulo.

Bueno muchas gracias por todo, mejor sigo estudiando y mañana que no necesito el PC lo borro a ver que pasa

Saludos...

Novlucker · 12 Agosto 2010, 19:47 PM

Bueno, suponiendo que se trata de un rootkit y da un poco más de trabajo quitarlo, por que no pruebas con un live-cd AV?

http://foro.elhacker.net/software/cds_autoarrancables_para_casos_de_emergencia-t204137.0.html

Saludos