mdnh-parking-adult-109.las.marchex.com (Solucionado)

Foro referente al sistema operativo Windows Server 2003
underdub
Usuario linuxero
Usuario linuxero
Mensajes: 11
Registrado: 15 Oct 2008, 14:07
Contactar:

mdnh-parking-adult-109.las.marchex.com (Solucionado)

Mensajepor underdub » 15 Oct 2008, 14:18

Hola. Saludos a la gente del Foro.

Hace unos días que he detectado una actividad sospechosa en mi pc. Uso Windows Server 2003 con service pack 2 y todas las actualizaciones instaladas. Nod32 antivirus y Comodo Firewall Pro.
La actividad sospechosa la he detectado con la herramienta de Sysinternals, el Tcpview.exe ayudado de la herramienta Explorador de Software que viene con la instalación de Windows Defender para ver los programas conectados a la red.

He probado el análisis profundo con mi Nod32, no se ha encontrado nada.
He probado con Karpesky Online: No ha encontrado nada.
He probado con Ewido: No ha encontrado nada.
Spybot S&D: No ha encontrado nada.
SUPERAntiSpyware:No ha encontrado nada.

Relato la actividad sospechosa antes mencionada:

Por un lado lo que me dice el Explorador de Software de Windows Defender:

Nombre de archivo: svchost.exe
Nombre para mostrar: Microsoft Generic Host Process for Win32 Services
Descripción: Generic Host Process for Win32 Services
Fabricante: Microsoft Corporation
Firmado digitalmente por: Microsoft Windows Verification Intermediate PCA
Tipo de archivo: Aplicación
Inicio automático: No
Ruta de acceso al archivo: C:\WINDOWS\system32\svchost.exe
Tamaño de archivo: 14848
Versión del archivo: 5.2.3790.3959 (srv03_sp2_rtm.070216-1710)
Fecha de instalación: 03/04/2007 22:38:54
Id. del proceso: 1192
Nombre de usuario: NT AUTHORITY\SERVICIO LOCAL
Servicios: Ayuda de NetBIOS sobre TCP/IP, Horario de Windows, Servicio de Descubrimiento automático de proxy Web WinHTTP
Clasificación: Todavía sin clasificar
Incluido en el sistema operativo: Sí
Votación de SpyNet: No disponible

Protocolo Dirección local Dirección externa Estado
UDP 00.00.000.00:123 *:*
TCP 00.00.000.00:1037 66.116.109.93:80 ESTABLISHED
66.116.109.44


Los ceros los he puesto en lugar de mi ip que es estática con telefónica.

La resolución de la ip 66.116.109.44 es: mdnh-parking-adult-109.las.marchex.com
La primera detección fue contra bw.las.marchex.com con la ip 66.116.109.93

He detectado que generalmente la conexión (cuando no estaba bloquedada por reglas de filtrado de mi 3Com 812) era de unos minutos al encender el pc, luego durante el dia nada. En si el pc va muy bien, pero claro, leer una conexion saliente del tipo ...mdnh-parking-adult... suena preocupante.

Dándome por vencido, decidí formatear, pues también ya le tocaba, la instalación es de 2004. Pensando en esto formateo e instalo nuevamente mi Windows Server 2003. Desconecto Internet, apago el pc un par de minutos, formateo, termino, instalo el Service Pack 2 y me conecto a Internet. ¡Sorpresa! La actividad antes referida ocurre nuevamente.
¡Vale! Apago el Pc, desconecto Internet y formateo OTRA VEZ. No instalo el Service Pack 2 y me conecto a Internet. Ejecuto el TpcView de Sysinternals y detecto nuevamente la actividad contra el sitio: mdnh-parking-adult-109.las.marchex.com

He cortado con reglas de entrada y salida con mi router Adsl de telefónica 3Com 812 las ips antes comentadas. Ahora se ve que intenta conectar pero no puede: SYN_SENT

En este enlace os muestro las dos capturas de pantalla con el Sysinternals

http://www.underdub.net/pantallazos/tcpView.html


Buscando en la red, he visto que en Alerta Antivirus un usuario reporta algo parecido, pero en fecha es del ¡2005! Hilo en el que yo he comentado algo.

http://alerta-antivirus.inteco.es/foros/read.php?4,37501,62226


Ahora he detectado que haciendo click en inicio, ejecutar y escribo http://localhost y pulso enter veo en el pie del navengador: Conectando a 66.116.109.93

Me tiene crispado este tema.
Última edición por underdub el 01 Nov 2008, 14:17, editado 1 vez en total.

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: mdnh-parking-adult-109.las.marchex.com

Mensajepor Souto » 15 Oct 2008, 18:50

Una posibilidad.
Comprueba si existe esta clave en tu Registro. En caso afirmativo expórtala a Escritorio, raton derecho/editar y pegas su contenido en tu próximo post (no te preocupes por su extensión, luego la borro).

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartMenu\StartPanel\ShowOEMLink]

Saludos
Qui dove il mare luccica e tira forte il vento

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: mdnh-parking-adult-109.las.marchex.com

Mensajepor Souto » 15 Oct 2008, 19:58

Tampoco sobraría desmenuzar y mirar qué subproceso de svchost.exe
está haciendo esa llamada: aquí explico (para XP) como mirar dentro de él:

post3469.html?hilit=svchost#p3469

Yo, desde luego, ya tengo claro quien puede ser el culpable. Tiempo al tiempo

Saludos
Qui dove il mare luccica e tira forte il vento

underdub
Usuario linuxero
Usuario linuxero
Mensajes: 11
Registrado: 15 Oct 2008, 14:07
Contactar:

Re: mdnh-parking-adult-109.las.marchex.com

Mensajepor underdub » 15 Oct 2008, 21:37

Existia la clave, la he exportado y te la pego aqui

Nombre de clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartMenu\StartPanel\ShowOEMLink
Nombre de clase: <Ninguna clase>
Hora de última escritura: 20/09/2008 - 18:45
Valor 0
Nombre: Type
Tipo: REG_SZ
Datos: checkbox

Valor 1
Nombre: Text
Tipo: REG_SZ
Datos: @shell32.dll,-30516

Valor 2
Nombre: HKeyRoot
Tipo: REG_DWORD
Datos: 0x80000001

Valor 3
Nombre: RegPath
Tipo: REG_SZ
Datos: Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Valor 4
Nombre: ValueName
Tipo: REG_SZ
Datos: Start_ShowOEMLink

Valor 5
Nombre: CheckedValue
Tipo: REG_DWORD
Datos: 0x1

Valor 6
Nombre: UncheckedValue
Tipo: REG_DWORD
Datos: 0

Valor 7
Nombre: DefaultValue
Tipo: REG_DWORD
Datos: 0x1

Valor 8
Nombre: NoOEMLinkInstalled
Tipo: REG_DWORD
Datos: 0x1


Nombre de clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartMenu\StartPanel\ShowOEMLink\Policy
Nombre de clase: <Ninguna clase>
Hora de última escritura: 20/09/2008 - 18:45

Nombre de clave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartMenu\StartPanel\ShowOEMLink\Policy\NoOEMLinkInstalled
Nombre de clase: <Ninguna clase>
Hora de última escritura: 20/09/2008 - 18:45
Valor 0
Nombre: RegKey
Tipo: REG_SZ
Datos: Software\Microsoft\Windows\CurrentVersion\Explorer\StartMenu\StartPanel\ShowOEMLink

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: mdnh-parking-adult-109.las.marchex.com

Mensajepor Souto » 15 Oct 2008, 21:46

Por aquí correcto.


Saludos
Qui dove il mare luccica e tira forte il vento

underdub
Usuario linuxero
Usuario linuxero
Mensajes: 11
Registrado: 15 Oct 2008, 14:07
Contactar:

Re: mdnh-parking-adult-109.las.marchex.com

Mensajepor underdub » 15 Oct 2008, 22:02

Despues de aplicar el comando tasklist /svc /fi "imagename eq svchost.exe

Despues de activar actualizaciones automáticas vemos como el subproceso de svchos.exe

svchost.exe:908 y vemos que los subproceso 980 esta con AeLookupSvc, W32Tie, WinHttpAutoProxySvc

Veamos la pantalla (lo que se ve debajo de la venta de comandos es el systinternals.

http://www.underdub.net/pantallazos/svchost.html

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: mdnh-parking-adult-109.las.marchex.com

Mensajepor Souto » 16 Oct 2008, 10:36

Por lo que veo ha habido suerte, ha aparecido la llamada a mdnh-parking... :thumbsup:

Como seguramente ya conoces, el establecimiento de un conexión TCP pasa por varias fases y los estados que se pueden contemplar son: LISTEN,SYN-SENT,SYN-RECEIVED,ESTABLISHED,FIN-WAIT-1,FIN-WAIT-2,CLOSE-WAIT,CLOSING,LAST-ACK,TIME-WAIT,CLOSED

El estado actual es SYN-SENT, lo cual quiere decir (si no me falla el coco, hace tiempo que no ando en esto) que estamos a la espera de que el TCP remoto nos envie de regreso un paquete SYN-ACK (conformación de sincronización). Esta operación no se da completado, en este caso, porque probablemente ese servidor ya no exista.

Una aplicación ajena al sistema operativo es la responsable de esta situación (alguno de esos antiespias, corrupto?). De momento no alcanzo a más.

Por otra parte habría que valorar si el cambio del servicio WinHttpAutoProxySvc (WinHTTP Web Proxy Auto-Discovery Service) a Manual ó incluso a Deshabilitado afectaría en algo a las funciones que está realizando ese equipo. De manera que, salvo que fuese imprescindible, deberías proceder en ese sentido. No deja de ser un importante agujero en la seguridad del sistema.


Saludos
Qui dove il mare luccica e tira forte il vento

underdub
Usuario linuxero
Usuario linuxero
Mensajes: 11
Registrado: 15 Oct 2008, 14:07
Contactar:

Re: mdnh-parking-adult-109.las.marchex.com

Mensajepor underdub » 16 Oct 2008, 11:24

Gracias.

Miro el servicio de WinHttpAutoProxySvc. Esta en manual. Lo paso a desactivado y veo a ver si deja algo de funcionar, por lo menos que yo necesite.

Que la conexion esté en SYN-SENT es porque he creado una regla de filtrado de entra da y otra de salida para bloquear las dos ips de las que hablo anteriormente.

Lo que mas me extraña es que continue mdnh-parking-adult-109.las.marchex.com aun despues de formatear y reinstalar.

underdub
Usuario linuxero
Usuario linuxero
Mensajes: 11
Registrado: 15 Oct 2008, 14:07
Contactar:

Re: mdnh-parking-adult-109.las.marchex.com

Mensajepor underdub » 16 Oct 2008, 11:37

Marcado como desactivado el servicio y la maltida conexion persiste. Agggg :o

Avatar de Usuario
Souto
Usuario Bill Gates
Usuario Bill Gates
Mensajes: 10665
Registrado: 25 Feb 2008, 10:21
Ubicación: Galicia
Agradecido : 6 veces
Agradecimiento recibido: 647 veces
Contactar:

Re: mdnh-parking-adult-109.las.marchex.com

Mensajepor Souto » 16 Oct 2008, 11:52

Lo que mas me extraña es que continue mdnh-parking-adult-109.las.marchex.com aun despues de formatear y reinstalar.

.- el cd de Windows Server no es legal y trae "premio"
.- cualquier otro software que has instalado procedente de una descarga, tiene premio.
.- un bug del propio Server

Es lo único que puedo aportar.

Saludos
Qui dove il mare luccica e tira forte il vento


Volver a “Windows Server 2003”

¿Quién está conectado?

Usuarios navegando por este Foro: Yahoo [Bot] y 1 invitado