Arranco el pc y esta mandando y recibiendo sin tocar yo nada

demir · #1 (**permalink**) 17/04/2006, 03:58

Buenas compas arranco mi maquina y directamente esta mandando datos y recibiendo tengo panda platinun, le paso para escanear y no me sale nada, tengo router thosom de telefonica, win xpsp2.
Haber si me podes decir algo o de que es.
Ago un netstat y sale esto .
H:\Documents and Settings\usu>netstat

Conexiones activas

Proto Dirección local Dirección remota Estado
TCP server:1075 localhost:1076 ESTABLISHED
TCP server:1076 localhost:1075 ESTABLISHED
TCP server:1176 localhost:31595 ESTABLISHED
TCP server:31595 localhost:1176 ESTABLISHED
TCP server:31595 localhost:1200 TIME_WAIT
TCP server:31595 localhost:1203 TIME_WAIT
TCP server:31595 localhost:1206 TIME_WAIT
TCP server:31595 localhost:1209 TIME_WAIT
TCP server:31595 localhost:1212 TIME_WAIT
TCP server:31595 localhost:1215 TIME_WAIT
TCP server:31595 localhost:1220 TIME_WAIT
TCP server:31595 localhost:1223 TIME_WAIT
TCP server:1160 212.170.238.48:http CLOSE_WAIT
TCP server:1178 216.239.59.147:http ESTABLISHED

Haber que me podeis decir compas de esto.

Un saludo demir

dogduck · #2 (**permalink**) 17/04/2006, 08:51

Empezando por el final :
Tu host en el puerto local tcp 1178 se conecta al puerto 80 de una ip que pertenece a 216.239.32.0 - 216.239.63.255
----------
Google Inc.
1600 Amphitheatre Parkway
Mountain View, CA
US
------------------
La penúltima ip que tu host quiere conectar via http ( puerto 80) y que la conexión esta cerrando ( close_wait ) o en espera, es algo más preocupante ya que pertenece a :
212.170.238.0 - 212.170.238.127
IPNET MANAGEMENT
Telefonica Data Espana
C/ Beatriz de Bobadilla 18
28040 Madrid
SPAIN
+34 902 230 210
+34 91 4567825
----------------
El resto de conexiones son a tu propio host ( localhost )

.
¿ Tienes mensajeria instantanea de Google instalado al inicio en tu cpu ?

jariza · #3 (**permalink**) 17/04/2006, 12:06

Hola,

He buscado un poco y parece que el puerto 31595 es cosa del Panda.

Puedes instalar un firewall que te diga qué proceso está usando qué puerto.

Saludos.

dogduck · #4 (**permalink**) 17/04/2006, 15:01

Buena idea Jariza. Si tiene Windows XP o 2003 lo puede hacer tal que:

H:\Documents and Settings\usu>netstat -b -a

Con -b indica:

Cita:

-b Muestra el ejecutable que crea cada conexión o puerto
de escucha. En algunos casos, ejecutables muy conocidos alojan
múltiples componentes independientes, y, en algunos casos
se muestra la secuencia de componentes que crearon la conexión
o el puerto de escucha. En este caso, el nombre del ejecutable
está entre [] en la parte inferior, arriba está el componente
que llamó, y así hasta que se alcanza TCP/IP. Tenga en cuenta
que esta opción puede tomar tiempo y no se realizará
correctamente a menos de que tenga los permisos suficientes.

demir · #5 (**permalink**) 23/04/2006, 10:10

Muchas gracias claro que tengo firewall el de panda, pero lo quito para el emule y para el pcanyguare, por que no soi capaz de configurarlo.

Para dogduck esto es lo que me sale:

:\Documents and Settings\usu>netstat -b -a

onexiones activas

Proto Dirección local Dirección remota Estado PI
TCP server:epmap server:0 LISTENING 1328
No se puede obtener información de propiedad
TCP server:microsoft-ds server:0 LISTENING 4
[Sistema]

TCP server:5631 server:0 LISTENING 1956
[awhost32.exe]

TCP server:5679 server:0 LISTENING 4084
[WCESCOMM.EXE]

TCP server:1032 server:0 LISTENING 2548
No se puede obtener información de propiedad
TCP server:6083 server:0 LISTENING 3368
[SRVLOAD.EXE]

TCP server:31595 server:0 LISTENING 3556
[WebProxy.exe]

TCP server:netbios-ssn server:0 LISTENING 4
[Sistema]

TCP server:1070 localhost:1071 ESTABLISHED 4036
[FIREFOX.EXE]

TCP server:1071 localhost:1070 ESTABLISHED 4036
[FIREFOX.EXE]

TCP server:1103 localhost:31595 ESTABLISHED 4036
[FIREFOX.EXE]

TCP server:31595 localhost:1103 ESTABLISHED 3556
[WebProxy.exe]

TCP server:1105 66.102.11.104:http ESTABLISHED 3556
[WebProxy.exe]

TCP server:1056 212.170.238.115:http CLOSE_WAIT 3220
[apvxdwin.exe]

TCP server:1057 212.170.238.115:http CLOSE_WAIT 3220
[apvxdwin.exe]

TCP server:31595 localhost:1213 TIME_WAIT 0
TCP server:31595 localhost:1216 TIME_WAIT 0
TCP server:31595 localhost:1078 TIME_WAIT 0
TCP server:31595 localhost:1219 TIME_WAIT 0
TCP server:1222 pop3.telefonica.net:pop3 TIME_WAIT 0
TCP server:1223 ektmail6mta1.euskaltel.es:pop3 TIME_WAIT

TCP server:epmap server:0 LISTENING 1328
No se puede obtener información de propiedad
TCP server:5679 server:0 LISTENING 4084
[WCESCOMM.EXE]

UDP server:1025 *:* 1580
No se puede obtener información de propiedad
UDP server:isakmp *:* 952
[lsass.exe]

UDP server:1077 *:* 1580
No se puede obtener información de propiedad
UDP server:4500 *:* 952
[lsass.exe]

UDP server:microsoft-ds *:* 4
[Sistema]

UDP server:ntp *:* 1456
h:\windows\system32\WS2_32.dll
h:\windows\system32\w32time.dll
ntdll.dll
H:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP server:18001 *:* 3556
[WebProxy.exe]

UDP server:18002 *:* 3556
[WebProxy.exe]

UDP server:1900 *:* 1652
No se puede obtener información de propiedad
UDP server:ntp *:* 1456
h:\windows\system32\WS2_32.dll
h:\windows\system32\w32time.dll
ntdll.dll
H:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP server:1900 *:* 1652
No se puede obtener información de propiedad
UDP server:5632 *:* 1956
[awhost32.exe]

UDP server:netbios-dgm *:* 4
[Sistema]

UDP server:netbios-ns *:* 4
[Sistema]

Un saludo demir

dogduck · #6 (**permalink**) 23/04/2006, 10:36

Pues en tus host llamado server tienes:

* awhost32.exe = PCAnywhere escuchando en el puerto tcp 5631
* WCESCOMM.EXE = Para sincronizar con un dispositivo con Windows CE a la escucha en el puerto tcp 5679
*srvload.exe = Proceso asociado al Panda Platinum escuchando en el puerto tcp 6083
*WebProxy.exe = Idem Panda Paltinum ... en el puerto tcp 31595
* Luego se ve que tu navegador Firefox tiene varias conexiones establecidas
* Y el webproxy , que canaliza todo el tráfico web para analizar su seguridad , está conectado al puerto 80 de la ip 66.102.11.104 , que corresponde a google
* Y se ve que el apvxdwin.exe , que es el componente del Panda antivirus que se supone que se encarga de actualizar on-line el antivirus , está cerrando la conexión web con un host de telefónica data, que seguramente es de Panda .
* luego vemos que acabas de conectarte a tu correo ( se ven los servidores pop3 ) o te estás conectando ... pop3.telefonica.net , ektmail6mta1.euskaltel.es . ¿ Vives en Pais Vasco ? o algún gusano se intenta conectar ...
* El gusano lo descubrimos abriendo puertos UDP :lsass.exe más conocido por el virus Sasser.

Y ya no sigo . Intenta desinfectarte con este link:

http://www.softbull.com/virus-sasser...oval-tool.html

y actualiza el panda

--- editado , 1 day later ---

http://www.liutilities.com/products/...library/lsass/

Puede que no sea el gusano sasser , puede que sea simplemente un proceso de windows ... por si las moscas scanea tu pc