Foros del Web » Administración de Sistemas » Seguridad y redes »

Arranco el pc y esta mandando y recibiendo sin tocar yo nada

Estas en el tema de Arranco el pc y esta mandando y recibiendo sin tocar yo nada en el foro de Seguridad y redes en Foros del Web. Buenas compas arranco mi maquina y directamente esta mandando datos y recibiendo tengo panda platinun, le paso para escanear y no me sale nada, tengo ...
  #1 (permalink)  
Antiguo 17/04/2006, 03:58
 
Fecha de Ingreso: noviembre-2004
Mensajes: 68
Antigüedad: 20 años
Puntos: 0
Arranco el pc y esta mandando y recibiendo sin tocar yo nada

Buenas compas arranco mi maquina y directamente esta mandando datos y recibiendo tengo panda platinun, le paso para escanear y no me sale nada, tengo router thosom de telefonica, win xpsp2.
Haber si me podes decir algo o de que es.
Ago un netstat y sale esto .
H:\Documents and Settings\usu>netstat

Conexiones activas

Proto Dirección local Dirección remota Estado
TCP server:1075 localhost:1076 ESTABLISHED
TCP server:1076 localhost:1075 ESTABLISHED
TCP server:1176 localhost:31595 ESTABLISHED
TCP server:31595 localhost:1176 ESTABLISHED
TCP server:31595 localhost:1200 TIME_WAIT
TCP server:31595 localhost:1203 TIME_WAIT
TCP server:31595 localhost:1206 TIME_WAIT
TCP server:31595 localhost:1209 TIME_WAIT
TCP server:31595 localhost:1212 TIME_WAIT
TCP server:31595 localhost:1215 TIME_WAIT
TCP server:31595 localhost:1220 TIME_WAIT
TCP server:31595 localhost:1223 TIME_WAIT
TCP server:1160 212.170.238.48:http CLOSE_WAIT
TCP server:1178 216.239.59.147:http ESTABLISHED

Haber que me podeis decir compas de esto.

Un saludo demir
  #2 (permalink)  
Antiguo 17/04/2006, 08:51
Avatar de dogduck  
Fecha de Ingreso: enero-2006
Ubicación: ¿Atlantida, Hesperides, Islas afortunadas?
Mensajes: 2.231
Antigüedad: 18 años, 11 meses
Puntos: 19
Empezando por el final :
Tu host en el puerto local tcp 1178 se conecta al puerto 80 de una ip que pertenece a 216.239.32.0 - 216.239.63.255
----------
Google Inc.
1600 Amphitheatre Parkway
Mountain View, CA
US
------------------
La penúltima ip que tu host quiere conectar via http ( puerto 80) y que la conexión esta cerrando ( close_wait ) o en espera, es algo más preocupante ya que pertenece a :
212.170.238.0 - 212.170.238.127
IPNET MANAGEMENT
Telefonica Data Espana
C/ Beatriz de Bobadilla 18
28040 Madrid
SPAIN
+34 902 230 210
+34 91 4567825
----------------
El resto de conexiones son a tu propio host ( localhost )

.
¿ Tienes mensajeria instantanea de Google instalado al inicio en tu cpu ?
  #3 (permalink)  
Antiguo 17/04/2006, 12:06
Avatar de jariza  
Fecha de Ingreso: agosto-2003
Ubicación: Málaga
Mensajes: 1.449
Antigüedad: 21 años, 4 meses
Puntos: 10
Hola,

He buscado un poco y parece que el puerto 31595 es cosa del Panda.

Puedes instalar un firewall que te diga qué proceso está usando qué puerto.

Saludos.
  #4 (permalink)  
Antiguo 17/04/2006, 15:01
Avatar de dogduck  
Fecha de Ingreso: enero-2006
Ubicación: ¿Atlantida, Hesperides, Islas afortunadas?
Mensajes: 2.231
Antigüedad: 18 años, 11 meses
Puntos: 19
Buena idea Jariza. Si tiene Windows XP o 2003 lo puede hacer tal que:

H:\Documents and Settings\usu>netstat -b -a

Con -b indica:
Cita:
-b Muestra el ejecutable que crea cada conexión o puerto
de escucha. En algunos casos, ejecutables muy conocidos alojan
múltiples componentes independientes, y, en algunos casos
se muestra la secuencia de componentes que crearon la conexión
o el puerto de escucha. En este caso, el nombre del ejecutable
está entre [] en la parte inferior, arriba está el componente
que llamó, y así hasta que se alcanza TCP/IP. Tenga en cuenta
que esta opción puede tomar tiempo y no se realizará
correctamente a menos de que tenga los permisos suficientes.
  #5 (permalink)  
Antiguo 23/04/2006, 10:10
 
Fecha de Ingreso: noviembre-2004
Mensajes: 68
Antigüedad: 20 años
Puntos: 0
Muchas gracias claro que tengo firewall el de panda, pero lo quito para el emule y para el pcanyguare, por que no soi capaz de configurarlo.

Para dogduck esto es lo que me sale:

:\Documents and Settings\usu>netstat -b -a

onexiones activas

Proto Dirección local Dirección remota Estado PI
TCP server:epmap server:0 LISTENING 1328
No se puede obtener información de propiedad
TCP server:microsoft-ds server:0 LISTENING 4
[Sistema]

TCP server:5631 server:0 LISTENING 1956
[awhost32.exe]

TCP server:5679 server:0 LISTENING 4084
[WCESCOMM.EXE]

TCP server:1032 server:0 LISTENING 2548
No se puede obtener información de propiedad
TCP server:6083 server:0 LISTENING 3368
[SRVLOAD.EXE]

TCP server:31595 server:0 LISTENING 3556
[WebProxy.exe]

TCP server:netbios-ssn server:0 LISTENING 4
[Sistema]

TCP server:1070 localhost:1071 ESTABLISHED 4036
[FIREFOX.EXE]

TCP server:1071 localhost:1070 ESTABLISHED 4036
[FIREFOX.EXE]

TCP server:1103 localhost:31595 ESTABLISHED 4036
[FIREFOX.EXE]

TCP server:31595 localhost:1103 ESTABLISHED 3556
[WebProxy.exe]

TCP server:1105 66.102.11.104:http ESTABLISHED 3556
[WebProxy.exe]

TCP server:1056 212.170.238.115:http CLOSE_WAIT 3220
[apvxdwin.exe]

TCP server:1057 212.170.238.115:http CLOSE_WAIT 3220
[apvxdwin.exe]

TCP server:31595 localhost:1213 TIME_WAIT 0
TCP server:31595 localhost:1216 TIME_WAIT 0
TCP server:31595 localhost:1078 TIME_WAIT 0
TCP server:31595 localhost:1219 TIME_WAIT 0
TCP server:1222 pop3.telefonica.net:pop3 TIME_WAIT 0
TCP server:1223 ektmail6mta1.euskaltel.es:pop3 TIME_WAIT

TCP server:epmap server:0 LISTENING 1328
No se puede obtener información de propiedad
TCP server:5679 server:0 LISTENING 4084
[WCESCOMM.EXE]

UDP server:1025 *:* 1580
No se puede obtener información de propiedad
UDP server:isakmp *:* 952
[lsass.exe]

UDP server:1077 *:* 1580
No se puede obtener información de propiedad
UDP server:4500 *:* 952
[lsass.exe]

UDP server:microsoft-ds *:* 4
[Sistema]

UDP server:ntp *:* 1456
h:\windows\system32\WS2_32.dll
h:\windows\system32\w32time.dll
ntdll.dll
H:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP server:18001 *:* 3556
[WebProxy.exe]

UDP server:18002 *:* 3556
[WebProxy.exe]

UDP server:1900 *:* 1652
No se puede obtener información de propiedad
UDP server:ntp *:* 1456
h:\windows\system32\WS2_32.dll
h:\windows\system32\w32time.dll
ntdll.dll
H:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP server:1900 *:* 1652
No se puede obtener información de propiedad
UDP server:5632 *:* 1956
[awhost32.exe]

UDP server:netbios-dgm *:* 4
[Sistema]

UDP server:netbios-ns *:* 4
[Sistema]


Un saludo demir
  #6 (permalink)  
Antiguo 23/04/2006, 10:36
Avatar de dogduck  
Fecha de Ingreso: enero-2006
Ubicación: ¿Atlantida, Hesperides, Islas afortunadas?
Mensajes: 2.231
Antigüedad: 18 años, 11 meses
Puntos: 19
Pues en tus host llamado server tienes:

* awhost32.exe = PCAnywhere escuchando en el puerto tcp 5631
* WCESCOMM.EXE = Para sincronizar con un dispositivo con Windows CE a la escucha en el puerto tcp 5679
*srvload.exe = Proceso asociado al Panda Platinum escuchando en el puerto tcp 6083
*WebProxy.exe = Idem Panda Paltinum ... en el puerto tcp 31595
* Luego se ve que tu navegador Firefox tiene varias conexiones establecidas
* Y el webproxy , que canaliza todo el tráfico web para analizar su seguridad , está conectado al puerto 80 de la ip 66.102.11.104 , que corresponde a google
* Y se ve que el apvxdwin.exe , que es el componente del Panda antivirus que se supone que se encarga de actualizar on-line el antivirus , está cerrando la conexión web con un host de telefónica data, que seguramente es de Panda .
* luego vemos que acabas de conectarte a tu correo ( se ven los servidores pop3 ) o te estás conectando ... pop3.telefonica.net , ektmail6mta1.euskaltel.es . ¿ Vives en Pais Vasco ? o algún gusano se intenta conectar ...
* El gusano lo descubrimos abriendo puertos UDP :lsass.exe más conocido por el virus Sasser.

Y ya no sigo . Intenta desinfectarte con este link:

http://www.softbull.com/virus-sasser...oval-tool.html

y actualiza el panda

--- editado , 1 day later ---

http://www.liutilities.com/products/...library/lsass/

Puede que no sea el gusano sasser , puede que sea simplemente un proceso de windows ... por si las moscas scanea tu pc

Última edición por dogduck; 25/04/2006 a las 06:11
Atención: Estás leyendo un tema que no tiene actividad desde hace más de 6 MESES, te recomendamos abrir un Nuevo tema en lugar de responder al actual.
Respuesta




La zona horaria es GMT -6. Ahora son las 20:45.