Hola. Hace unos días que he detectado una actividad sospechosa en mi pc. Uso Windows Server 2003 con service pack 2 y todas las actualizaciones instaladas. Nod32 antivirus y Comodo Firewall Pro.
La actividad sospechosa la he detectado con la herramienta de Sysinternals, el Tcpview.exe ayudado de la herramienta Explorador de Software que viene con la instalación de Windows Defender para ver los programas conectados a la red.

He probado el análisis profundo con mi Nod32, no se ha encontrado nada.
He probado con Karpesky Online: No ha encontrado nada.
He probado con Ewido: No ha encontrado nada.
Spybot S&D: No ha encontrado nada.
SUPERAntiSpyware:No ha encontrado nada.

Relato la actividad sospechosa antes mencionada:

Por un lado lo que me dice el Explorador de Software de Windows Defender:

Nombre de archivo: svchost.exe
Nombre para mostrar: Microsoft Generic Host Process for Win32 Services
Descripción: Generic Host Process for Win32 Services
Fabricante: Microsoft Corporation
Firmado digitalmente por: Microsoft Windows Verification Intermediate PCA
Tipo de archivo: Aplicación
Inicio automático: No
Ruta de acceso al archivo: C:\WINDOWS\system32\svchost.exe
Tamaño de archivo: 14848
Versión del archivo: 5.2.3790.3959 (srv03_sp2_rtm.070216-1710)
Fecha de instalación: 03/04/2007 22:38:54
Id. del proceso: 1192
Nombre de usuario: NT AUTHORITY\SERVICIO LOCAL
Servicios: Ayuda de NetBIOS sobre TCP/IP, Horario de Windows, Servicio de Descubrimiento automático de proxy Web WinHTTP
Clasificación: Todavía sin clasificar
Incluido en el sistema operativo: Sí
Votación de SpyNet: No disponible

Protocolo Dirección local Dirección externa Estado
UDP 00.00.000.00:123 *:*
TCP 00.00.000.00:1037 66.116.109.93:80 ESTABLISHED
66.116.109.44


Los ceros los he puesto en lugar de mi ip que es estática con telefónica.

La resolución de la ip 66.116.109.44 es: mdnh-parking-adult-109.las.marchex.com
La primera detección fue contra bw.las.marchex.com con la ip 66.116.109.93

He detectado que generalmente la conexión (cuando no estaba bloquedada por reglas de filtrado de mi 3Com 812) era de unos minutos al encender el pc, luego durante el dia nada. En si el pc va muy bien, pero claro, leer una conexion saliente del tipo ...mdnh-parking-adult... suena preocupante.

Dándome por vencido, decidí formatear, pues también ya le tocaba, la instalación es de 2004. Pensando en esto formateo e instalo nuevamente mi Windows Server 2003. Desconecto Internet, apago el pc un par de minutos, formateo, termino, instalo el Service Pack 2 y me conecto a Internet. ¡Sorpresa! La actividad antes referida ocurre nuevamente.
¡Vale! Apago el Pc, desconecto Internet y formateo OTRA VEZ. No instalo el Service Pack 2 y me conecto a Internet. Ejecuto el TpcView de Sysinternal y detecto nuevamente la actividad contra el sitio: mdnh-parking-adult-109.las.marchex.com

He cortado con reglas de entrada y salida con mi router Adsl de telefónica 3Com 812 las ips antes comentadas. Ahora se ve que intenta conectar pero no puede: SYN_SENT

En este enlace os muestro las dos capturas de pantalla con el Sysinternals

CAPTURAS PANTALLA


Casi estoy seguro de que se trata de otra pifia más de Microsoft (recordemos que el famoso Blaster ya afectaba al pc nada más conecarlo a la red. Y eso que el 2003 Server lo cobran a precio de oro. Me ha costado un pastón y ahora en la misma máquina, estoy usando una copia de Windows Xp Home que venía preinstalado mientras no soluciono este problema con el 2003 Server.

Buscando en la red, he visto que en Alerta Antivirus un usuario reporta algo parecido, pero en fecha es del ¡2005!

Foros Alerta Antivirus :: Seguridad Informática :: conexion a: bw.las.marchex.com:http



Estoy ya frustrado con esto. Llevo una semana luchando contra esta conexión molesta. Y quiero usar con seguridad mi Windows Server 2003 que me ha costado una pasta.

POr lo que he visto, se trataba, aparentemnete de mi router 3com 812. Tiene cerca de 6 años. He probado con otros routers adsl y no aparece para nada dicha conexion, por el momento estoy usando entre mi máquina y mi router adsl un router wifi de delink.
Recomiendo a los que tengais routers descatalogados como el mio que hagais unas pruevas con el tcpview de sysinternals.


La solucion al final fue el router 3Com 812. Es un colador para spammers y demás gente.
Para muestra un botón:

http://admin-webmaster.blogspot.com/2006/10/vulnerabilidades-del-router-3com.html

He verificado que mi 3com 812 es un colador. Me lo dio telefonica con mi alta de adsl en 2002 y lo tengo desde ese año.
He comprado un nuevo router y ahora va bien....

Mira tu que era. :lol:

Saludos y gracias a todos.

Hola Bienvenid@ al Foro de Infospyware


por favor realizate lo siguiente

Descarga Cleaner + Manual para eliminar cookies y archivos temporales de internet
realiza un escaneo en linea con Ewido Online Scan + Manual al terminar el escaneo das a Remove All Infections
realiza un escaneo en linea con Kaspersky Online Scaner + Manual

pegas los reportes que te genere Ewido y Kaspersky

saludos ..

Hola. He realizado las tareas que me has indicado con los siguientes resultados:

__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: Not-A-Virus.RemoteAdmin.Win32.RAdmin.22
Path: [1440] C:\WINDOWS\system32\r_server.exe
Risk: Low

Name: Not-A-Virus.RemoteAdmin.Win32.RAdmin.20
Path: C:\Archivos de programa\Radmin\raddrv.dll
Risk: Low

Name: Not-A-Virus.RemoteAdmin.Win32.RAdmin.22
Path: C:\Archivos de programa\Radmin\radmin.exe
Risk: Low

Name: Not-A-Virus.RemoteAdmin.Win32.RAdmin.22
Path: C:\Archivos de programa\Radmin\r_server.exe
Risk: Low

Name: Not-A-Virus.RemoteAdmin.Win32.RAdmin.20
Path: C:\WINDOWS\system32\raddrv.dll
Risk: Low

Name: Not-A-Virus.RemoteAdmin.Win32.RAdmin.22
Path: C:\WINDOWS\system32\r_server.exe
Risk: Low


=== El radmin es una aplicacion de control remoto, una solucion tipo vnc pero de pago =====

-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
jueves, 25 de septiembre de 2008 16:19:15
Sistema operativo: Microsoft Windows Server 2003 family, Enterprise Edition, Service Pack 2 (Build 3790)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 25/09/2008
Registros en la base antivirus: 1258684
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: estendidas
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
A:\
C:\
G:\
H:\
I:\
J:\
K:\

Estadísticas:
Número de objeros analizados: 30035
Virus encontrados: 3
Objetos infectados: 6 / 0
Objetos sospechosos: 0
Duración del análisis: 00:36:02

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\Archivos Manuales\Http file server\hfs.exe Infectados: not-a-virus:Server-FTP.Win32.SFH.d saltado
C:\Archivos de programa\Radmin\raddrv.dll Infectados: not-a-virus:RemoteAdmin.Win32.RAdmin.20 saltado
C:\Archivos de programa\Radmin\radmin.exe Infectados: not-a-virus:RemoteAdmin.Win32.RAdmin.22 saltado
C:\Archivos de programa\Radmin\r_server.exe Infectados: not-a-virus:RemoteAdmin.Win32.RAdmin.22 saltado
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Internet Explorer\MSIMGSIZ.DAT Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\Configuración local\Temp\~DF72D1.tmp Object is locked saltado
C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Administrador\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Administrador\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Windows NT\MSFax\ActivityLog\InboxLOG.txt Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Windows NT\MSFax\ActivityLog\OutboxLOG.txt Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ngen rootstorelock.dat Object is locked saltado
C:\WINDOWS\Microsoft.NET\ngenservice_pri3_lock.dat Object is locked saltado
C:\WINDOWS\SoftwareDistribution\EventCache\{E7BB22 6E-C308-4B9A-99A6-7275BF0DE0DC}.bin Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet Explorer.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\MsDtc\MSDTC.LOG Object is locked saltado
C:\WINDOWS\system32\MsDtc\Trace\dtctrace.log Object is locked saltado
C:\WINDOWS\system32\raddrv.dll Infectados: not-a-virus:RemoteAdmin.Win32.RAdmin.20 saltado
C:\WINDOWS\system32\r_server.exe Infectados: not-a-virus:RemoteAdmin.Win32.RAdmin.22 saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\Tasks\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\Temp\hlktmp Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.


Un saludo.

Hola por favor realiza lo siguiente




Descarga OTMoveit2 lo guardas en el Escritorio.

Haz un doble clic sobre OTMoveIt2.exe para ejecutarlo.
Asegurate que este marcado "Unregister Dll's and Ocx's".
Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco izquierdo de OTMoveIt nombrado Paste List of Files / Folders to be moved.


Haz clic en MoveIt! Para lanzar la supresión.
Cuando el resultado aparece en el marco Results, hace clic en Exit.
Reinicia el PC (Este paso es muy importante)





Envía el informe (reporte) de OTMoveIt situado sobre C: \ _ OTMoveIt\MovedFiles.


utiliza ATF-Cleaner ..

al final realiza un nuevo Scan con · Panda ActiveScan pegas aqui su reporte y lo envuelves con la etiqueta Quote ..

Hola. Ante todo muchas gracias por tu respuesta, pero de comentaré algo.

El C:\Archivos de programa\Archivos Manuales\Http file server\hfs.exe es una aplicacion que permite compartir carpetas usando un navegador web, al estilo webdav. Si quieres lo puedo borrar, no preciso ningún programilla, con la telca suprimir es suficiente.

Lá pagina oficial del Hfs es: http://www.rejetto.com/hfs/?f=ss en donde puedes ver algunas capturas de pantalla.

Las lineas referentes a:

C:\WINDOWS\system32\raddrv.dll
C:\WINDOWS\system32\r_server.exe

pertenecen al driver de pantalla y control remoto del Remote Admin, es una aplicación del tipo Vnc pero de pago. Para eliminar esas dos dll es suficiente desinstalar el Remote Admin.

Esos ficheros que me pides eliminar estana ahi porque yo los he instalado, el hfs para compartir carpetas por interner (un servidor de ftp da problemas con el comodo firewall pro instalado) y el remote admin es más economico que el terminal server. Estan instalados despues de haber formateado y descubrir que el problema no se hábía solucionado con formatear).
Recordemos que la conexion a mdnh-parking-adult-109.las.marchex.com con la ip 66.116.109.44 he notado que se hace siempre cuando desactivo las actualizaciones automáticas aplico los cambios y la vuelvo a activar, en ese momento, la conexion a mdnh-parking-adult-109.las.marchex.com se realiza, supongo que es tambien cuando windows al activar las actualizaciones autotmáticas busca actualizaciones.

Por último, no puedo pasar el Panda Online, no es compatible con Windows 2003

Gracias, ante todo por tu respuesta.

La solucion al final fue el router 3Com 812. Es un colador para spammers y demás gente.
Para muestra un botón:

http://admin-webmaster.blogspot.com/2006/10/vulnerabilidades-del-router-3com.html

He verificado que mi 3com 812 es un colador. Me lo dio telefonica con mi alta de adsl en 2002 y lo tengo desde ese año.
He comprado un nuevo router y ahora va bien....

Mira tu que era.

Saludos y gracias a todos.