avast secuestrado?, avast conectando a servidores de eeuu?

hola a todos!. hoy me ha pasado una cosa con el pc y queria comentarlo en el foro para ver que opinais.

me presento un poco, soy una persona con pocos conocimientos de redes y de virus, solo me salvo de toda la basura que hay en internet porque llevo muchos años conectado. he visto de todo y por eso soy muy precavido y perspicaz.

desde que perdi miles de fotos por culpa del virus “i love you” infectado desde un canal irc mi forma de navegar y usar el pc cambio drasticamente, y nunca he vuelto a tener problemas importantes. esta claro que aparte de tener un buen antivirus como avast hay que saber navegar y no ir por ahi navegando a lo loco e instalando a lo loco. pero a pesar de ese cuidado que tengo pueden suceder cosas como lo que me ha pasado ahora.

me gusta mucho la politica y llevo algunas semanas visitando portales de noticias de eeuu, aunque por norma no me gusta entrar a webs de eeuu por temas de privacidad, y a pesar de tener bloqueador de script en el navegador parece ser que alguno a conseguido dañar mi pc, y mas concretamente dañar mi avast.

hoy me di cuenta a traves de mi cortafuegos que tenia trafico sin tener ningun programa abierto y sin usar el pc. el trafico era aproximadamente de 1 mega cada 10-15 minutos, tanto recibia datos como los transmitia. cortana o onedrive no podian ser porque los tenia completamente bloqueados. abro cmd en windows, tecleo netstat -ano y veo que solo hay una conexion con una ip, la ip r-54-45-234-77:http puerto 56001 con el pid 1892. despues tecleo tasklist y veo que el pid corresponde a AvastSvc.exe gastando 37.184 KB de memoria.

teniendo ya la ip me pongo a hacerle un whois y el whois me dice que es una ip de eeuu, desde ese momento saltan todas la alarmas porque yo se que avast no es estadounidense. ese whois me dice que es una ip de “Merck and Co., Inc. (MERCKA)”. sigo investigando esa ip y en otro whois en la pagina https://www.whatismyip.com veo algo que me deja de piedra, parece que es como que el whois me esta diciendo que es una ip de la red de la casa blanca de eeuu. el whois de https://www.whatismyip.com lo he guardado en un archivo .mht de firefox.

copio lo que decia ese whois. hay 1 palabra que sale en español porque la traduci ya que se poco ingles, donde pone “OrgTechEncargarse de” esta traducido, pero lo demas esta todo sin modificar:

NetRange: 54.0.0.0 - 54.63.255.255
CIDR: 54.0.0.0/10
NetName: MERCK2
NetHandle: NET-54-0-0-0-1
Parent: NET54 (NET-54-0-0-0-0)
NetType: Direct Assignment
OriginAS:
Organization: Merck and Co., Inc. (MERCKA)
RegDate: 1992-03-17
Updated: 2014-06-20
Ref: https://whois.arin.net/rest/net/NET-54-0-0-0-1

OrgName: Merck and Co., Inc.
OrgId: MERCKA
Address: 126 East Lincoln Avenue
City: Rahway
StateProv: NJ
PostalCode: 07095
Country: US
RegDate: 1992-03-17
Updated: 2005-12-21
Ref: https://whois.arin.net/rest/org/MERCKA

OrgTechEncargarse de: WHITE7-ARIN
OrgTechName: Whitehouse Telecom
OrgTechPhone: +1-908-423-2900
OrgTechEmail: whitehouse_telecom@merck.com
OrgTechRef: https://whois.arin.net/rest/poc/WHITE7-ARIN

OrgAbuseHandle: WHITE7-ARIN
OrgAbuseName: Whitehouse Telecom
OrgAbusePhone: +1-908-423-2900
OrgAbuseEmail: whitehouse_telecom@merck.com
OrgAbuseRef: https://whois.arin.net/rest/poc/WHITE7-ARIN

OrgNOCHandle: WHITE7-ARIN
OrgNOCName: Whitehouse Telecom
OrgNOCPhone: +1-908-423-2900
OrgNOCEmail: whitehouse_telecom@merck.com
OrgNOCRef: https://whois.arin.net/rest/poc/WHITE7-ARIN

A los 5 minutos de hacer los whois, volvi a entrar a cmd, tecleo netstat -ano y sorpresa!, la ip ya no era de eeuu, era checa 77.234.45.54, como deberia haber sido desde el principio.

Tengo que decir que el analisis en la nube de avast lo tengo desactivado, solo trabaja offline, aunque esta perfectamente actualizado. El analisis en la nube es buenisimo en un antivirus y muy importante si quieres tener una buena seguridad, pero no lo tengo activado porque atenta un poco contra la privacidad a mi entender. Creo que si hubiera tenido activa la nube no hubiera pasado esto.

alguien me puede decir porque avast se conecta a esa ip?, y vosotros que tendreis mas conocimientos que yo, podeis hacerle un analisis mas profundo a esa ip para ver que esconde?. Yo jamas he entrado a merck.com y tampoco a la web de la casa blanca.

gracias.

Merck & Co., Inc., d.b.a. Merck Sharp & Dohme outside the United States and Canada, is an American pharmaceutical company and one of the largest pharmaceutical companies in the world.

It has nothing to do with the Whitehouse as in the governmental one.

AVAST Software cuenta con datacenter en Europa y EE.UU.

Ayer hubo una incidencia entre la conexión de ambos datacenters que provocó algún retardo y fallo en la consola en la nube de Avast for Business. Seguramente, y esto es una suposición, éste es el motivo que llevó a tu equipo a conectarse a EE.UU. en lugar del datacenter habitual en Europa.

Gracias por las respuestas pero sigo con muchas dudas. 2 preguntas:

1.- Ya se que Merck es una compañia farmaceutica, pero porque avast se conecta a una ip de esa compañia?

2.- Teniendo avast configurado para que trabaje solo offline porque esta constantemente enviando y recibiendo datos?, las actualizaciones via streaming tambien estan desactivadas, avast no deberia usar la red para nada.

¿Estás seguro de la IP a la que te estabas conectando?

¿No sería al contrario?

http://77.234.45.54.ipaddress.com/

He tenido que entrar en el navegador edge de microsoft para poder contestar, en mi navegador habitual firefox no puedo iniciar sesion, pero ayer funcionaba perfectamente.

Tienes razon Infratech Solutions, parece la misma ip. La ip americana salio cuando use netstat -o, pero usando netstat -ano sale la ip checa.

TCP 192.168.1.33:56001 r-54-45-234-77:http CLOSE_WAIT 1892
TCP 192.168.1.33:56001 77.234.45.54:80 CLOSE_WAIT 1892

Entonces ya la unica duda que tengo es porque avast se conecta tanto a la red si lo tengo offline

Parece que uno no se puede confundir verdad?, si te confundes la gente te desprecia e ignora, tratandote como a un tarado.

Dejo de usar avast, no me gusta tener una conexion abierta sin mi permiso y sin saber para que.

Tampoco me gusta estar sin soporte, que es como estoy ahora mismo porque nadie contesta.

Y tampoco me gusto ese mensaje publicitario de vuestra pagina principal que dice: “Avast recommends using the FREE Chrome™ internet browser.”, para los buenos entendedores pocas palabras y gestos bastan, seguro que la NSA tambien lo recomienda. Antes muerto que usar ese navegador, que es solo copia de otros, que hace unos pocos años no existia, y que ha llegado a ser tan utilizado por tantas personas porque google y sus subditos lo publicitan hasta en la sopa y no porque sea bueno y seguro.

En definitiva, deje de confiar en vosotros.