Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

hola.

busco ayuda ante un comportamiento inesperado de mi equipo que no logro resolver.
los síntomas son los siguientes:

• cuando incicio firefox conectado a internet el firewall (sygate personal firewall) detecta una petición con las siguientes características:
  
  Local Port : 1053
  Remote Name : www.lanacion.com.ar
  Remote Address : 200.61.33.120
  Remote Port : 80 (HTTP - World Wide Web)
  
  cuando inicio el mismo programa sin conexión, la petición no ocurre. la página de inicio del navegador está configurada como blank.
  yo nunca solicité la visita de ese sitio.
  
  
• cuando inicio el internet explorer, con o sin conexión a internet, ocurre una petición con las siguientes caracteríasticas:
  
  Local Address : 201.252.65.77
  Local Port : 1056
  Remote Name : www.microsoft.com
  Remote Address : 207.46.198.60
  Remote Port : 80 (HTTP - World Wide Web)
  
  aclaro que ya he pasado por la página de inicio de "primera vez" del explorer y configuré la página de inicio como blank.
  
  
• cada vez que inicio el IE, el ad-watch presenta la siguiente alerta:
  
  Root:HKEY_CURRENT_USER
  Key:Software\Microsoft\Internet Explorer\Main
  Value:First Home Page
  Data:http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&ar=runonce&pver={ SUB_PVER}&plcid={SUB_CLSID}
  New Data:no
  
  
• siempre, en el inicio de windows, ad-watch alerta lo siguiente:
  
  Root:HKEY_CURRENT_USER
  Key:Software\Microsoft\Windows\CurrentVersion\Run
  Value:CTFMON.EXE
  Data:C:\WINDOWS\System32\ctfmon.exe
  New Data:C:\WINDOWS\system32\ctfmon.exe
  
  
• como síntomas secundarios, observo periódicamente una sobrecarga injustificada del procesador, dificultad en la conexión a internet y, muy de vez en cuando, repentinos cortes en la misma. también encuentro problemas para conectarme con windows update y sistemáticas peticiones de conexión con diversos ips de general hosts process y del kernel.

gracias!!

Buenas..........


Aunque, en realidad ninguna de las páginas que haz colocado es "ilegal" o tiene contenidos que puedan perjudicar a tu sistema (los procesos que comentas también son legítimos) para desbloquear las páginas de inicio puedes usar el Inirem.bat


Dado que sospechas de la existencia de virus en tu sistema, comienza por seguir estas indicaciones con las herramientas que allí se muestran, cuando termines, haces un chequeo con 2 antivirus online y nos cuentas los resultados




Salu2

hola acron0248,
gracias por la respuesta.
el explorer logré destrabarlo. el problema estaba en la configuración del ad-watch que me bloqueaba todos los cambios de la registry.

sin embargo no logré resolver el problema con el firefox. lo he desintsalado y vuelto a instalar, limpiando todos los rastros, y en cuanto lo abro estando conectado aparece siempre la misma petición. pasé el antivirus acutalizado (norton corporate 9.0), el ad-aware, el spybot, el ewido y el trend micro online. nada. todo limpio. pero el firefox no responde al seteo de la hompage.

hay algo que no está bien. la petición es extraña a todo uso del sistema. nunca pasé por ese dominio y, cuando acepto la petición no lleva a ninguna parte visible.

me tiene completamente intrigado, y bastante molesto.

gracias por tu respuesta,
salud!

Podrías hacer un chequeo con dos antivirus online (Kaspersky y Ewido preferiblemente) a ver si consiguen algo en tu sistema


Ahora, podrías indicarnos mas datos para facilitar la ayuda que te podamos dar:

- Sistema operativo que utilizas?

- Que fue lo último que se instaló/modificó en el sistema antes de este comportamiento?



Salu2

hola,

tenés razón, disculpame.

estoy usando windows xp sp2. está actualizado al día de hoy.
escaneé el sistema con spybot, ad-aware, norton corporative, ewido, kaspensky y trend micro y nunca encontré nada. también con hijackthis en cuyos informes no encontré nada sospechoso.

es dificil decirte qué fue lo último que instalé antes de que empezara el problema. sé que empecé a notar peticiones extrañas en el arranque de firefox cuando mi servicio de adsl había bloqueado mi conexión por error.

a aprtir de ahí, con formateos de por medio, no he logrado normalizar el sistema. desinstalé el firefox varias veces. en las últimas instalaciones he notado lo siguiente:
cuando ejecuto el instalador de firefox bajado del wesite oficial de mozilla estando conectado, el firewall (sygate personal) alerta sobre una petición a crl.thawte.com, que por lo que pude ver en la web es un dominio relacionado con la distribución de troyanos. sin embargo, cuando ejecuto sin conexión la petición no ocurre.
instalé una copia que tenía en un cd, y no hubo ninguna petición. sin embargo el problema de base, las peticiones ilegales en el arranque de firefox, no desapareció jamás.

el informe del firewall respecto a estas peticiones incluye lo siguiente:

Connection origin : local initiated
Protocol : TCP
Local Address : 201.252.65.77
Local Port : 1053
Remote Name : www.lanacion.com.ar
Remote Address : 200.61.33.120
Remote Port : 80 (HTTP - World Wide Web)

aclaro que nunca visité ese sitio y que, cuando acepté la petición en otras instalaciones, nuinca me envió a ningún sitio.
potr último, la página de inicio de firefox está configurada como blank.

¡¡gracias por atender el asunto!!

h.

A ver................

Haz un chequeo con el mwav y nos dejas aca el reporte


NOTA: El reporte de esa herramienta es muy largo, solo debes colocar las entradas que digan Tagged o Infected




Salu2

acron, creo que ya dí con el problema

tal vez deba pedirte disculpas. encuentro en la barra de navegación del navegador un enlace a "últimas noticias". parece ser que el periódico la nación coloca ese enlace por default, y el navegador chequea las noticias en el inicio.
nunca imaginé tal cosa, ni se informa en la instalación nada de eso.

pido disculpas,
gracias por todo.

Bueno, me alegro que hayas dado con el problema, no problem


Damos el tema por terminado



Salu2