Actividad sospechosa en la red: ¿mi sistema está comprometido?

2

Al usar Firefox para abrir una página en blanco, tengo una conexión de red extraña que se muestra en Actividad de red en el Monitor de recursos (Windows 7).

La dirección es: insiders-guide.pacedev.com . Una captura de pantalla:

¿Qué diablos es esto? Nunca he visitado su sitio antes de hoy. ¿De dónde viene? ¿Como me deshago de esto?

    
pregunta Disgustipated 05.05.2016 - 05:38
fuente

2 respuestas

1

Tuve este mismo problema hace aproximadamente 2-3 semanas, con el mismo sitio que aparece después de ejecutar varias exploraciones con Roguekiller.

Antes de eso, los navegadores se bloquearían o funcionarían de forma intermitente, (Firefox, Chrome, Edge, IE, Opera, etc.) Usar un navegador web en un juego, ejecutar una máquina virtual o Tor funcionó, pero incluso Tor se bloquea después de una hora.

Esto estaba en Win 10 64bit, con malwarebytes (completo), Sophos home y malwarebytes anti-exploit en ejecución. No se ha instalado Java ni Flash, se han instalado los orígenes de Ublock y Noscript para Firefox, flash incorporado incorporado en Edge.

Desinstalar los navegadores y restablecer IE, luego reinstalar otros navegadores podría funcionar tal vez un día antes de que vuelva a ocurrir el problema. (Incluso eliminando IE y utilizando otros navegadores en instalaciones nuevas, ¡el mismo problema!)

Malwarebytes bloqueó los intentos de conexión a la PC más de 5 veces al día mientras esto ocurría, después de que Roguekiller recogió los ganchos y las teclas de registro, sin más problemas;)

¡No se detectó nada en los escaneos (MB, Sophos o roguekiller) hasta la actualización más reciente para roguekiller! Me volví loco, terminé haciendo CDs en vivo para arrancar y navegar con ellos. Los navegadores funcionaron en modo seguro por cierto.

Supuse que la compañía de bienes raíces había sido violada o que solo era falsa cuando vi la dirección también.

    
respondido por el HammerKeys 05.05.2016 - 10:59
fuente
0

Es difícil decirlo solo en base a esto. Se necesitaría más información para sacar conclusiones sólidas.

Si realmente quieres decir si está comprometido; reinicie el sistema, use netstat para ver las conexiones activas. Si se instala un rootkit, debería ver una conexión no reconocida. La parte difícil es eliminar esta conexión entre todas las conexiones estándar a Microsoft (estas conexiones buscan actualizaciones en el arranque, etc.).

Hice algunos hurones y no puedo encontrar ese nombre de dominio en ninguna parte. Después de intentar hacer pings, traceroutes y usar nslookup, simplemente no puedo encontrarlo. Puede revisar su caché de DNS para asegurarse de que el nombre de dominio no esté configurado de manera estática para contactar a un servidor a través de Internet.

Si bien esta actividad es realmente sospechosa, no creo que sea suficiente para marcar el sistema como comprometido. Si se siente preparado para ello, tome las precauciones mencionadas anteriormente y ejecute algunos análisis antivirus (no es una solución perfecta, pero si un rootkit se ejecuta sin privilegios a nivel del sistema, no debería ser tan difícil encontrarlo).

NOTA: Si esta actividad solo está relacionada con su navegador, es posible que su navegador haya sido conectado en algún lugar de Internet. Para solucionar esto, simplemente borre todos los ajustes de su navegador. Limpie todo, y el gancho ofensivo también debería limpiarse.

    
respondido por el The Defalt 05.05.2016 - 06:24
fuente

Lea otras preguntas en las etiquetas