Conexiones de firefox sospechosas y no autorizadas

Estimados amigos de Spyware, a ver si podéis ayudarme con lo siguiente" Desde hace una semana o así muy a menudo, navegando por Internet con Firefox aparece un mensaje del Antivirus más o menos como sigue: “Conexión sospechosa bloqueada”, Bitdefender a bloqueado una conexión sospechosa de Firefox, Más detalles"

Al ver los detalles leo cosas, como estas o parecidas:

Conexión sospechosa bloqueada

hace 32 minutos

Característica:

Prevención de amenazas online

firefox.exe ha intentado establecer una conexión confiando en un certificado caducado de img-zhuting.com. Hemos bloqueado la conexión para mantener sus datos a salvo ya que las páginas web deben renovar sus certificados con una entidad de certificación para mantenerlos actualizados y los certificados de seguridad obsoletos representan un riesgo.

Añadir a excepciones
==========

A veces aparecen casi continuamente.
 También aparecen mensajes (en avisos del antivirus Bitdefender), aunque no general avisos visibles externos, somo sigue:

==========
La aplicación tiene permiso para acceder a la red

hace 5 minutos

Característica:

Cortafuego

La aplicación YourPhone.exe ha intentado conectarse a Internet: Ruta de archivo: C:\Program Files\WindowsApps\Microsoft.YourPhone_1.19123.13.0_x64__8wekyb3d8bbwe\YourPhone.exe Destino: 13.107.5.88 Protocolo: TCP (6) Puerto: HTTPS (6) El Cortafuego de Bitdefender ha permitido el acceso a esta aplicación. Si desea denegárselo, haga clic en el botón de abajo o vaya a Cortafuego – Reglas.
Bloquear
U otras aplicaciones o programas que yo no estoy usando en ese momento (creo)
Por eso os solicito vuestra ayuda, la verdad es que los mensajes primeros son algo cansinos

Gracias y un saludo

¿Cuanto hace que utilizas Bitdefender, es una nueva instalación?

¿El primer aviso te salió por un casual navegando por Amazon o Aliexpress? Porque efectivamente hace referencia a un sitio web de un proveedor chino de cepillos.

La segunda conexión es del servicio yourphone de Microsoft.

Pon el cortafuegos de ese antivirus en modo aprendizaje para que cree su tabla de reglas inicial y no te esté alertando de toda conexión que hagas.

Bitdefender llevo utilizándolo unos 5 o 6 años, la última versión, la de 2020 creo que la instalé en noviembre de 2019 O bien po Amazon o Ebay, buscando pequeñas cajas de plástico transparente para almacenar minerales No conozco el servicio yourphone de Microsoft, no sé si digo una burrada, pero nunca lo he utilizado, al menos intencionadamente Probaré el consejo que me dais en el último punto, aunque no sé si seré capaz, apenas conozco del todo el Antivirus, por cierto es el Bitdefender Interne Security 2020 Gracias

También me está apareciendo este tipo de mensajes “la aplicación SpeechModelDownload o SpeechRuntime ha cambiado y está intentando acceder a internet permitir bloquear (dos botones)” Se están conectando en mi ordenador un montón de aplicaciones nuevas que está apareciendo ahora (cuatro o cinco días) más o menos cuando W10 se actualizó completamente a la nueva versión y creo que pierdo el control de lo que se me conecta

Por cierto en el cortafuegos de Bitdefender no aparece el modo aprendizaje, es muy simple o soy un poco bruto y no consigo verlo Gracias por vuestra ayuda es impagable Un saludo muy cordial

Lo que si he hecho es actualizar las reglas del cortafuego que había cientos y han desaparecido y de momento me han pedido acceso bitorrent Firefos y Chrome. No sé si he hecho bien ?

Estoy esperando una posible solución sobre esta incidencia, ha quedado colgada, y se siguen produciendo los aviso, si queréis más copias de los mismos os los os envío. Os rogaría me indicaráis una posible solución, si la hay Os agradezco mucho vuestra ayuda Un cordial saludo

Este problema continua en la actualidad estoy esperando una posible solución si la tenéis, lo cierto es que cada vez aparece más veces y no sé por qué, si es la nueva version del antivirus Bitdefender 2020, a alguna actualización del nuevo Mozilla Firefox. Por favor mirad si podéis ayudarme

Realiza los siguientes pasos, , sin cambiar el orden

1) Descarga, instala y ejecuta Malwarebytes’ Anti-Malware.

• Presiona clic en “Use Malewarebytes Free” (Usar Malewarebyte gratis).

• Pulsa en el botón “Open Malewarebytes Free”.

• Presiona el botón “Scan” (Escaneo).

Una vez finalizado el escaneo aparecerá la siguiente pantalla:

• Pulsa en “View report” (Ver informe).

• Luego presionar el botón “Export” (Exportar). Elijes “Text file” (fichero de texto). Elijes un nombre y guardas ese archivo en el escritorio…

2) Descarga Adwcleaner en el escritorio.

• Desactiva tu antivirus Como deshabilitar temporalmente un antivirus y cualquier programa de seguridad.

• Ejecuta Adwcleaner.exe (Si usas Windows Vista/7 u 8 presiona clic derecho y selecciona "Ejecutar como Administrador.")

• Pulsar en el botón Analizar Ahora, y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Iniciar Reparacion.

• Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas.

• Si no encuentra nada, pulsamos “Omitir Reparación”

• El log lo encontramos en la pestaña “Informes”, volviendo a abrir el programa, si es necesario o en"C:\AdwCleaner\Logs\AdwCleaner[C0].txt"

Puedes mirar su manual >> Manual de Adwcleaner

3) Descarga Ccleaner

Instalalo y ejecútalo. En la pestaña limpiador dejas como esta configurada predeterminadamente, haces clic en analizar esperas que termine > clic en ejecutar limpiador. Clic en la pestaña Registro > clic en buscar problemas esperas que termine > clic en Reparar Seleccionadas y haces una copia de seguridad.

Pega los reportes de Malwarebytes, AdwCleaner y comentas como va el problema.

Informe de Malwarebytes
Code
Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 7/5/20
Hora del análisis: 12:11
Archivo de registro: 2807df1a-904b-11ea-9eae-ec8eb52a550d.json

-Información del software-
Versión: 4.1.0.56
Versión de los componentes: 1.0.896
Versión del paquete de actualización: 1.0.23562
Licencia: Gratis

-Información del sistema-
SO: Windows 10 (Build 18362.778)
CPU: x64
Sistema de archivos: NTFS
Usuario: TRANTOR6\Ricar

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 325878
Amenazas detectadas: 1
Amenazas en cuarentena: 1
Tiempo transcurrido: 9 min, 36 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 1
RiskWare.DontStealOurSoftware, C:\WINDOWS\SYSTEM32\DRIVERS\ETC\HOSTS, Sustituido, 5249, 353142, 1.0.23562, , ame, 

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

/code

Informe de Malwarebytes AdwCleaner
Code
# -------------------------------
# Malwarebytes AdwCleaner 8.0.4.0
# -------------------------------
# Build:04-03-2020
# Database: 2020-04-08.2 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:05-07-2020
# Duration: 00:00:32
# OS:   Windows 10 Home
# Cleaned:  51
# Failed:   1


***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

No malicious registry entries cleaned.

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

Deleted   Preinstalled.HPRegistrationService   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP REGISTRATION SERVICE
Deleted   Preinstalled.HPRegistrationService   Folder   C:\ProgramData\HEWLETT-PACKARD\HP REGISTRATION SERVICE
Deleted   Preinstalled.HPRegistrationService   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{D1E8F2D7-7794-4245-B286-87ED86C1893C}
Deleted   Preinstalled.HPSupportAssistant   Folder   C:\HP\SUPPORT
Deleted   Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP CUSTOMER FEEDBACK
Deleted   Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Deleted   Preinstalled.HPSupportAssistant   Folder   C:\ProgramData\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Deleted   Preinstalled.HPSupportAssistant   Folder   C:\Users\Ricar\AppData\Local\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Deleted   Preinstalled.HPSupportAssistant   Folder   C:\Users\Ricar\AppData\Roaming\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Deleted   Preinstalled.HPSupportAssistant   Folder   C:\Windows\System32\config\systemprofile\AppData\Local\HEWLETT-PACKARD\HP SUPPORT FRAMEWORK
Deleted   Preinstalled.HPSupportAssistant   Registry   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Deleted   Preinstalled.HPSupportAssistant   Registry   HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Deleted   Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Classes\CLSID\{335F9A62-FE4B-40CD-B4ED-BB4DE21DC95D}
Deleted   Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{335F9A62-FE4B-40CD-B4ED-BB4DE21DC95D}
Deleted   Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{C0ABBA07-B636-47B8-B9E1-BB96D7CD4831}
Deleted   Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Deleted   Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E76FD755-C1BA-4DCB-9F13-99BD91223ADE}
Deleted   Preinstalled.HPSupportAssistant   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{C556057F-7E81-47E5-A747-C35D8530312D}
Deleted   Preinstalled.HPSureConnect   Folder   C:\Program Files (x86)\HP INC\HP SURE CONNECT
Deleted   Preinstalled.HPSureConnect   Folder   C:\Program Files\HPCOMMRECOVERY
Deleted   Preinstalled.HPSureConnect   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{6468C4A5-E47E-405F-B675-A70A70983EA6}
Deleted   Preinstalled.HPTouchpointAnalyticsClient   Folder   C:\Program Files\HP\HP TOUCHPOINT ANALYTICS CLIENT
Deleted   Preinstalled.HPTouchpointAnalyticsClient   Folder   C:\ProgramData\HP\HP TOUCHPOINT ANALYTICS CLIENT
Deleted   Preinstalled.HPTouchpointAnalyticsClient   Registry   HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E5FB98E0-0784-44F0-8CEC-95CD4690C43F}
Deleted   Preinstalled.WildTangentGamesBundle   File   C:\ProgramData\Microsoft\Windows\Start Menu\Programs\WildTangent Games App - hp.lnk
Deleted   Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDGAMES
Deleted   Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDGAMES\BEJEWELED 3
Deleted   Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDGAMES\BUILD-A-LOT
Deleted   Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDGAMES\BUILDING THE GREAT WALL OF CHINA COLLECTORS EDITION
Deleted   Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDGAMES\CRAZY CHICKEN SOCCER
Deleted   Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDGAMES\DELICIOUS EMILYS WONDER WEDDING PREMIUM EDITION
Deleted   Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDGAMES\JEWEL MATCH 3
Deleted   Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDGAMES\POLAR BOWLER 1ST FRAME
Deleted   Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDGAMES\RANCH RUSH 2 - PREMIUM EDITION
Deleted   Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDGAMES\RUNEFALL
Deleted   Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDGAMES\TRINKLIT SUPREME
Deleted   Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDGAMES\VACATION QUEST - AUSTRALIA
Deleted   Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDGAMES\YOUDA JEWEL SHOP
Deleted   Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDTANGENT GAMES
Deleted   Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDTANGENT GAMES\APP
Deleted   Preinstalled.WildTangentGamesBundle   Folder   C:\Program Files (x86)\WILDTANGENT GAMES\WEB LINK - SEAFIGHT
Deleted   Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Classes\CLSID\{7A97880C-7DD3-4C6E-8DE0-881B1FC02BE6}
Deleted   Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Ext\Preapproved\{7A97880C-7DD3-4C6E-8DE0-881B1FC02BE6}
Deleted   Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangent wildgames Master Uninstall
Deleted   Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangentGDF-hp-commandandconqueralliances
Deleted   Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangentGDF-hp-mahjonggdarkdimensions
Deleted   Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\WildTangentGDF-hp-seafight
Deleted   Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{2FA94A64-C84E-49d1-97DD-7BF06C7BBFB2}.WildTangent Games App
Deleted   Preinstalled.WildTangentGamesBundle   Registry   HKLM\Software\Wow6432Node\\Microsoft\Windows\CurrentVersion\Uninstall\{70B446D1-E03B-4ab0-9B3C-0832142C9AA8}.WildTangent Games App-hp
Deleted   Preinstalled.WildTangentGamesBundle   Registry   HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7A97880C-7DD3-4C6E-8DE0-881B1FC02BE6}
Deleted   Preinstalled.WildTangentGamesBundle   Registry   HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{7A97880C-7DD3-4C6E-8DE0-881B1FC02BE6}
Not Deleted   Preinstalled.HPSupportAssistant   Folder   C:\Program Files (x86)\HEWLETT-PACKARD\HP SUPPORT SOLUTIONS


*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [7761 octets] - [04/03/2020 00:27:29]
AdwCleaner[S01].txt - [7822 octets] - [07/05/2020 12:56:41]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C01].txt ##########

No se ven infecciones.

Por otra parte, lo que pusiste en tu primera respuesta, es normal…cuando accedes a determinadas webs,anuncios incrustados,programas como Yourphone ( tu telefono app), que aunque no los uses, se conectan a intenet, para obtener actualzaciones por eujemplo,y tu antivirus simplemente te avisa.

En el Firewall de Bitdefender podras ver esas conexiones, y ademas, para eso lo tienes…para que evite conexiones que no considere seguras…por lo que estas protegido en todo momento

El uso de sofware de seguridad, implica el conocer como funciona y que avisos te da,para que,etc

Alguna duda mas?

No si no ves infecciones, me quedo más tranquilo, es que antes no aparecían tantos mensajes de certificados caducados. Lo primero que te comenté de programas intentando conectarse, no me ha vuelto a aparecer sólo lo anterior. Muchas gracias por vuestra inapreciable ayuda, y la tuya en particular Seguiré controlando el asunto. Gracias y un saludo

Esto que te voy a decir es solo un suponer…pero posiblemente la cantidad de páginas que tienen sus certificados de seguridad caducados por la situación del covid19…y los antivirus detectan esos certificados y por eso de ahí el incremento de avisos

Es una posibilidad muy certera, y también que los administradores de esas páginas se preocupan poco por actualizarlos Gracias de nuevo Saludos

Este tema se cerró automáticamente 2 días después de la última publicación. No se permiten nuevas respuestas.