Autor Tema: Diferencias con netstat  (Leído 16624 veces)

0 Usuarios y 1 Visitante están viendo este tema.

Iv4n

  • Visitante
Diferencias con netstat
« en: 04-09-2013, 17:02 (Miércoles) »
Hola a todos:

Antesde nada aprovecho para saludar a todos y felicitaros por el gran trabajoque ha habeis hecho durante ya tanto tiempo

Vamos a ver, soy usuario de windows 7 y tengo la sospecha de que mi ordenador está infectado por algún tipo de troyano o rootkit. Googleando, di con el comando NETSTAT, que según lo que he leido indica las conexiones que tengo activas.

Mi sorpresa fue que al abrir la consola, cuando ejecute netstat -a, LA 1ª VEZ, tardo un webo y me dio una lista larguísima.

La sorpresa fue mucho mayor cuando 2 minutos después hice exactamente lo mismo (SIN ABRIR NI CERRAR NADA, solo tenía abierto el chrome con 1 pág, ni torrents ni Ares ni NADA)

Seguí haciendo pruebas tiempo más tarde con el mismo resultado, la 1ª vez me daba una lista más larga que la 2ª, pero nada comparado con lo de la primera vez.

De hecho la ultima vez la lista fue tan corta como era de esperar y tardo menos de 1 segundo

¿Cosa de magia? ¿o puede ser algo que se me escape?

Os pego alguno de los resultados y si haceis el favor, vosotros que sabeis un webo (y parte del otro) me dais vuestra opinion

Citar
Esta es la primera. Tardo unos 30 ó 40 segundos. Que usase Intertnet sólo tenía abierto el Chrome con 1 pagina de Google abierta en na pestaña
*** netstat 4/913 15:15 ***

Código: [Seleccionar]
C:\Users\Iván>netstat -a


Conexiones activas

  Proto  Dirección local        Dirección remota       Estado
  TCP    0.0.0.0:135            Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:445            Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:44080          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:44081          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:44110          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:49152          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:49153          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:49154          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:49155          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:49156          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:49157          Portatil-Ivan:0        LISTENING
  TCP    127.0.0.1:44080        Portatil-Ivan:49620    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49624    TIME_WAIT
  TCP    127.0.0.1:44080        Portatil-Ivan:49626    TIME_WAIT
  TCP    127.0.0.1:44080        Portatil-Ivan:49630    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49632    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49634    TIME_WAIT
  TCP    127.0.0.1:44080        Portatil-Ivan:49638    TIME_WAIT
  TCP    127.0.0.1:44080        Portatil-Ivan:49640    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49642    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49644    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49646    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49647    TIME_WAIT
  TCP    127.0.0.1:44080        Portatil-Ivan:49650    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49652    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49655    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49656    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49657    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49658    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49659    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49660    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49676    TIME_WAIT
  TCP    127.0.0.1:44080        Portatil-Ivan:49679    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49685    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49695    TIME_WAIT
  TCP    127.0.0.1:44080        Portatil-Ivan:49697    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49699    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49708    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49710    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49711    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49714    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49719    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49721    TIME_WAIT
  TCP    127.0.0.1:44080        Portatil-Ivan:49723    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49725    ESTABLISHED
  TCP    127.0.0.1:49620        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49630        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49632        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49636        Portatil-Ivan:44080    TIME_WAIT
  TCP    127.0.0.1:49640        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49642        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49644        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49646        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49650        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49652        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49653        Portatil-Ivan:44080    TIME_WAIT
  TCP    127.0.0.1:49655        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49656        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49657        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49658        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49659        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49660        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49661        Portatil-Ivan:44080    TIME_WAIT
  TCP    127.0.0.1:49662        Portatil-Ivan:44080    TIME_WAIT
  TCP    127.0.0.1:49663        Portatil-Ivan:44080    TIME_WAIT
  TCP    127.0.0.1:49679        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49685        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49687        Portatil-Ivan:44080    TIME_WAIT
  TCP    127.0.0.1:49689        Portatil-Ivan:44080    TIME_WAIT
  TCP    127.0.0.1:49691        Portatil-Ivan:44080    TIME_WAIT
  TCP    127.0.0.1:49697        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49699        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49701        Portatil-Ivan:44080    TIME_WAIT
  TCP    127.0.0.1:49703        Portatil-Ivan:44080    TIME_WAIT
  TCP    127.0.0.1:49708        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49710        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49711        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49714        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49715        Portatil-Ivan:44080    TIME_WAIT
  TCP    127.0.0.1:49719        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49723        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49725        Portatil-Ivan:44080    ESTABLISHED
  TCP    192.168.1.35:139       Portatil-Ivan:0        LISTENING
  TCP    192.168.1.35:49621     mad01s09-in-f0:http    ESTABLISHED
  TCP    192.168.1.35:49628     mad01s14-in-f23:https  ESTABLISHED
  TCP    192.168.1.35:49631     195.57.81.98:http      ESTABLISHED
  TCP    192.168.1.35:49633     195.57.81.88:http      ESTABLISHED
  TCP    192.168.1.35:49641     195.57.81.27:http      ESTABLISHED
  TCP    192.168.1.35:49643     mad01s09-in-f28:http   ESTABLISHED
  TCP    192.168.1.35:49645     reserved-98:http       ESTABLISHED
  TCP    192.168.1.35:49648     208:http               ESTABLISHED
  TCP    192.168.1.35:49651     edge-star-shv-08-fra2:http  ESTABLISHED
  TCP    192.168.1.35:49664     a23-51-65-224:http     ESTABLISHED
  TCP    192.168.1.35:49665     a23-51-65-224:http     TIME_WAIT
  TCP    192.168.1.35:49666     194.224.66.33:http     ESTABLISHED
  TCP    192.168.1.35:49667     194.224.66.33:http     ESTABLISHED
  TCP    192.168.1.35:49668     194.224.66.33:http     ESTABLISHED
  TCP    192.168.1.35:49669     194.224.66.33:http     ESTABLISHED
  TCP    192.168.1.35:49670     194.224.66.33:http     ESTABLISHED
  TCP    192.168.1.35:49671     194.224.66.33:http     ESTABLISHED
  TCP    192.168.1.35:49672     195.57.81.90:http      TIME_WAIT
  TCP    192.168.1.35:49673     195.57.81.90:http      TIME_WAIT
  TCP    192.168.1.35:49674     195.57.81.90:http      TIME_WAIT
  TCP    192.168.1.35:49675     mad01s09-in-f0:https   ESTABLISHED
  TCP    192.168.1.35:49678     199.16.156.6:https     TIME_WAIT
  TCP    192.168.1.35:49680     mad01s09-in-f26:http   ESTABLISHED
  TCP    192.168.1.35:49682     we-in-f84:https        ESTABLISHED
  TCP    192.168.1.35:49683     mad01s14-in-f10:https  ESTABLISHED
  TCP    192.168.1.35:49684     mad01s09-in-f15:https  ESTABLISHED
  TCP    192.168.1.35:49686     2.20.207.139:http      ESTABLISHED
  TCP    192.168.1.35:49688     a23-51-65-224:http     TIME_WAIT
  TCP    192.168.1.35:49690     a23-51-65-224:http     TIME_WAIT
  TCP    192.168.1.35:49693     a23-51-65-224:https    ESTABLISHED
  TCP    192.168.1.35:49694     a23-51-65-224:http     TIME_WAIT
  TCP    192.168.1.35:49698     mad01s09-in-f26:http   ESTABLISHED
  TCP    192.168.1.35:49700     mad01s09-in-f28:http   ESTABLISHED
  TCP    192.168.1.35:49702     80.15.236.165:http     TIME_WAIT
  TCP    192.168.1.35:49705     80.15.236.165:http     TIME_WAIT
  TCP    192.168.1.35:49707     edge-star-shv-08-fra2:https  ESTABLISHED
  TCP    192.168.1.35:49709     mad01s09-in-f13:http   ESTABLISHED
  TCP    192.168.1.35:49712     mad01s09-in-f28:http   ESTABLISHED
  TCP    192.168.1.35:49713     mad01s09-in-f28:http   ESTABLISHED
  TCP    192.168.1.35:49716     mad01s09-in-f19:http   ESTABLISHED
  TCP    192.168.1.35:49717     mad01s09-in-f19:http   TIME_WAIT
  TCP    192.168.1.35:49718     mad01s09-in-f26:https  ESTABLISHED
  TCP    192.168.1.35:49720     mad01s09-in-f15:http   ESTABLISHED
  TCP    192.168.1.35:49724     we-in-f95:http         ESTABLISHED
  TCP    192.168.1.35:49726     mad01s09-in-f12:http   ESTABLISHED
  TCP    [::]:135               Portatil-Ivan:0        LISTENING
  TCP    [::]:445               Portatil-Ivan:0        LISTENING
  TCP    [::]:44080             Portatil-Ivan:0        LISTENING
  TCP    [::]:44110             Portatil-Ivan:0        LISTENING
  TCP    [::]:49152             Portatil-Ivan:0        LISTENING
  TCP    [::]:49153             Portatil-Ivan:0        LISTENING
  TCP    [::]:49154             Portatil-Ivan:0        LISTENING
  TCP    [::]:49155             Portatil-Ivan:0        LISTENING
  TCP    [::]:49156             Portatil-Ivan:0        LISTENING
  TCP    [::]:49157             Portatil-Ivan:0        LISTENING
  UDP    0.0.0.0:500            *:*
  UDP    0.0.0.0:3544           *:*
  UDP    0.0.0.0:4500           *:*
  UDP    0.0.0.0:5355           *:*
  UDP    127.0.0.1:1900         *:*
  UDP    127.0.0.1:55412        *:*
  UDP    127.0.0.1:63967        *:*
  UDP    192.168.1.35:137       *:*
  UDP    192.168.1.35:138       *:*
  UDP    192.168.1.35:1900      *:*
  UDP    192.168.1.35:54667     *:*
  UDP    192.168.1.35:55411     *:*
  UDP    [::]:500               *:*
  UDP    [::]:4500              *:*
  UDP    [::]:5355              *:*
  UDP    [::1]:1900             *:*
  UDP    [::1]:55410            *:*
  UDP    [fe80::186d:2a74:3f57:fedc%14]:546  *:*
  UDP    [fe80::f814:1c56:644b:6ebc%11]:546  *:*
  UDP    [fe80::f814:1c56:644b:6ebc%11]:1900  *:*
  UDP    [fe80::f814:1c56:644b:6ebc%11]:55409  *:*

Citar
Esta es la segunda. Tardo unos 10 segundos. Solo tenía abierto el Chrome con 1 pagina de Google abierta en una pestaña igual que 2 minutos antes
*** netstat 04/09/13 15:17 ***

Código: [Seleccionar]
C:\Users\Iván>netstat -a


Conexiones activas

  Proto  Dirección local        Dirección remota       Estado
  TCP    0.0.0.0:135            Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:445            Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:44080          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:44081          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:44110          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:49152          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:49153          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:49154          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:49155          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:49156          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:49157          Portatil-Ivan:0        LISTENING
  TCP    127.0.0.1:44080        Portatil-Ivan:49620    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49685    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49699    ESTABLISHED
  TCP    127.0.0.1:44080        Portatil-Ivan:49757    TIME_WAIT
  TCP    127.0.0.1:44080        Portatil-Ivan:49759    TIME_WAIT
  TCP    127.0.0.1:49620        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49632        Portatil-Ivan:44080    TIME_WAIT
  TCP    127.0.0.1:49640        Portatil-Ivan:44080    TIME_WAIT
  TCP    127.0.0.1:49657        Portatil-Ivan:44080    TIME_WAIT
  TCP    127.0.0.1:49685        Portatil-Ivan:44080    ESTABLISHED
  TCP    127.0.0.1:49699        Portatil-Ivan:44080    ESTABLISHED
  TCP    192.168.1.35:139       Portatil-Ivan:0        LISTENING
  TCP    192.168.1.35:49621     mad01s09-in-f0:http    ESTABLISHED
  TCP    192.168.1.35:49628     mad01s14-in-f23:https  ESTABLISHED
  TCP    192.168.1.35:49633     195.57.81.88:http      TIME_WAIT
  TCP    192.168.1.35:49641     195.57.81.27:http      TIME_WAIT
  TCP    192.168.1.35:49668     194.224.66.33:http     TIME_WAIT
  TCP    192.168.1.35:49675     mad01s09-in-f0:https   ESTABLISHED
  TCP    192.168.1.35:49682     we-in-f84:https        ESTABLISHED
  TCP    192.168.1.35:49684     mad01s09-in-f15:https  ESTABLISHED
  TCP    192.168.1.35:49686     2.20.207.139:http      ESTABLISHED
  TCP    192.168.1.35:49700     mad01s09-in-f28:http   ESTABLISHED
  TCP    192.168.1.35:49773     mad01s14-in-f9:https   SYN_SENT
  TCP    [::]:135               Portatil-Ivan:0        LISTENING
  TCP    [::]:445               Portatil-Ivan:0        LISTENING
  TCP    [::]:44080             Portatil-Ivan:0        LISTENING
  TCP    [::]:44110             Portatil-Ivan:0        LISTENING
  TCP    [::]:49152             Portatil-Ivan:0        LISTENING
  TCP    [::]:49153             Portatil-Ivan:0        LISTENING
  TCP    [::]:49154             Portatil-Ivan:0        LISTENING
  TCP    [::]:49155             Portatil-Ivan:0        LISTENING
  TCP    [::]:49156             Portatil-Ivan:0        LISTENING
  TCP    [::]:49157             Portatil-Ivan:0        LISTENING
  UDP    0.0.0.0:500            *:*
  UDP    0.0.0.0:4500           *:*
  UDP    0.0.0.0:5355           *:*
  UDP    127.0.0.1:1900         *:*
  UDP    127.0.0.1:55412        *:*
  UDP    127.0.0.1:63967        *:*
  UDP    192.168.1.35:137       *:*
  UDP    192.168.1.35:138       *:*
  UDP    192.168.1.35:1900      *:*
  UDP    192.168.1.35:55411     *:*
  UDP    [::]:500               *:*
  UDP    [::]:4500              *:*
  UDP    [::]:5355              *:*
  UDP    [::1]:1900             *:*
  UDP    [::1]:55410            *:*
  UDP    [fe80::f814:1c56:644b:6ebc%11]:1900  *:*
  UDP    [fe80::f814:1c56:644b:6ebc%11]:55409  *:*

Y ESTA INVARIABLEMENTE es la que me sale ahora, repita las veces que lo repita

Código: [Seleccionar]
C:\Users\Iván>netstat -a

Conexiones activas

  Proto  Dirección local        Dirección remota       Estado
  TCP    0.0.0.0:135            Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:445            Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:44080          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:44081          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:44110          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:49152          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:49153          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:49154          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:49155          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:49156          Portatil-Ivan:0        LISTENING
  TCP    0.0.0.0:49157          Portatil-Ivan:0        LISTENING
  TCP    192.168.1.35:139       Portatil-Ivan:0        LISTENING
  TCP    [::]:135               Portatil-Ivan:0        LISTENING
  TCP    [::]:445               Portatil-Ivan:0        LISTENING
  TCP    [::]:44080             Portatil-Ivan:0        LISTENING
  TCP    [::]:44110             Portatil-Ivan:0        LISTENING
  TCP    [::]:49152             Portatil-Ivan:0        LISTENING
  TCP    [::]:49153             Portatil-Ivan:0        LISTENING
  TCP    [::]:49154             Portatil-Ivan:0        LISTENING
  TCP    [::]:49155             Portatil-Ivan:0        LISTENING
  TCP    [::]:49156             Portatil-Ivan:0        LISTENING
  TCP    [::]:49157             Portatil-Ivan:0        LISTENING
  UDP    0.0.0.0:500            *:*
  UDP    0.0.0.0:4500           *:*
  UDP    127.0.0.1:1900         *:*
  UDP    127.0.0.1:54904        *:*
  UDP    127.0.0.1:63967        *:*
  UDP    192.168.1.35:137       *:*
  UDP    192.168.1.35:138       *:*
  UDP    192.168.1.35:1900      *:*
  UDP    192.168.1.35:54903     *:*
  UDP    [::]:500               *:*
  UDP    [::]:4500              *:*
  UDP    [::1]:1900             *:*
  UDP    [::1]:54902            *:*
  UDP    [fe80::f814:1c56:644b:6ebc%11]:546  *:*
  UDP    [fe80::f814:1c56:644b:6ebc%11]:1900  *:*
  UDP    [fe80::f814:1c56:644b:6ebc%11]:54901  *:*


Este es el recuerdo que yo tengo de LO QUE ES NORMAL, al menos para mi.

A ver si hay alguien que sepa de esto que me diga si es o no normal y en caso de que no lo sea en que me debo fijar

MIL GRACIAS



Desconectado geminis_demon

  • Colaborador
  • *
  • Mensajes: 2383
  • Prácticas precisas precisan práctica
Re: Diferencias con netstat
« Respuesta #1 en: 04-09-2013, 17:24 (Miércoles) »
Hola, ahí se ven un montón de conexiones de pero si no sabes de donde salen no puedes saber si se trata de un malware o de cualquier servicio de windows.

Para saber cual es el proceso que está realizando las conexiones y a que IP conectan, ejecuta:

Código: [Seleccionar]
netstat -abn
« Última modificación: 04-09-2013, 17:24 (Miércoles) por geminis_demon »

La luz cree que viaja más rápido que cualquier otra cosa, pero se equivoca; da lo mismo lo rápido que pueda viajar, porque al final, la luz descubre que la oscuridad ha llegado antes que ella, y la está esperando.

Iv4n

  • Visitante
Re: Diferencias con netstat
« Respuesta #2 en: 04-09-2013, 18:05 (Miércoles) »
Hola geminis_demon

El problema que tengo es que AHORA, al hacer netstat, me sale la "Versión corta" (la última..vamos, la normal)

He hecho el netstat -abn, pero al ser la version corta y no la de 40 segundos, salen los servicios normales. Lo pego (Ahora está abierto el Skype, antes no):

Código: [Seleccionar]
C:\Windows\system32>netstat -abn

Conexiones activas

  Proto  Dirección local        Dirección remota       Estado
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING
 [Skype.exe]
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
  RpcSs
 [svchost.exe]
  TCP    0.0.0.0:443            0.0.0.0:0              LISTENING
 [Skype.exe]
  TCP    0.0.0.0:445            0.0.0.0:0              LISTENING
 No se puede obtener información de propiedad
  TCP    0.0.0.0:31873          0.0.0.0:0              LISTENING
 [Skype.exe]
  TCP    0.0.0.0:44080          0.0.0.0:0              LISTENING
 [AVWEBGRD.EXE]
  TCP    0.0.0.0:44081          0.0.0.0:0              LISTENING
 [AVWEBGRD.EXE]
  TCP    0.0.0.0:44110          0.0.0.0:0              LISTENING
 [avmailc.exe]
  TCP    0.0.0.0:49152          0.0.0.0:0              LISTENING
 [wininit.exe]
  TCP    0.0.0.0:49153          0.0.0.0:0              LISTENING
  eventlog
 [svchost.exe]
  TCP    0.0.0.0:49154          0.0.0.0:0              LISTENING
  Schedule
 [svchost.exe]
  TCP    0.0.0.0:49155          0.0.0.0:0              LISTENING
 [lsass.exe]
  TCP    0.0.0.0:49156          0.0.0.0:0              LISTENING
 [services.exe]
  TCP    0.0.0.0:49157          0.0.0.0:0              LISTENING
  PolicyAgent
 [svchost.exe]
  TCP    127.0.0.1:44080        127.0.0.1:51825        TIME_WAIT
  TCP    127.0.0.1:44080        127.0.0.1:51839        TIME_WAIT
  TCP    127.0.0.1:44080        127.0.0.1:51841        TIME_WAIT
  TCP    127.0.0.1:44080        127.0.0.1:51847        TIME_WAIT
  TCP    127.0.0.1:44080        127.0.0.1:51852        TIME_WAIT
  TCP    192.168.1.35:139       0.0.0.0:0              LISTENING
 No se puede obtener información de propiedad
  TCP    192.168.1.35:51716     78.141.179.12:12350    ESTABLISHED
 [Skype.exe]
  TCP    192.168.1.35:51717     157.56.126.214:443     ESTABLISHED
 [Skype.exe]
  TCP    192.168.1.35:51720     213.199.179.166:40010  ESTABLISHED
 [Skype.exe]
  TCP    192.168.1.35:51865     173.194.34.234:443     TIME_WAIT
  TCP    [::]:135               [::]:0                 LISTENING
  RpcSs
 [svchost.exe]
  TCP    [::]:445               [::]:0                 LISTENING
 No se puede obtener información de propiedad
  TCP    [::]:44080             [::]:0                 LISTENING
 [AVWEBGRD.EXE]
  TCP    [::]:44110             [::]:0                 LISTENING
 [avmailc.exe]
  TCP    [::]:49152             [::]:0                 LISTENING
 [wininit.exe]
  TCP    [::]:49153             [::]:0                 LISTENING
  eventlog
 [svchost.exe]
  TCP    [::]:49154             [::]:0                 LISTENING
  Schedule
 [svchost.exe]
  TCP    [::]:49155             [::]:0                 LISTENING
 [lsass.exe]
  TCP    [::]:49156             [::]:0                 LISTENING
 [services.exe]
  TCP    [::]:49157             [::]:0                 LISTENING
  PolicyAgent
 [svchost.exe]
  UDP    0.0.0.0:443            *:*
 [Skype.exe]
  UDP    0.0.0.0:500            *:*
  IKEEXT
 [svchost.exe]
  UDP    0.0.0.0:4500           *:*
  IKEEXT
 [svchost.exe]
  UDP    0.0.0.0:31873          *:*
 [Skype.exe]
  UDP    127.0.0.1:1900         *:*
  SSDPSRV
 [svchost.exe]
  UDP    127.0.0.1:61600        *:*
  SSDPSRV
 [svchost.exe]
  UDP    127.0.0.1:63967        *:*
 [sidebar.exe]
  UDP    127.0.0.1:64094        *:*
 [Skype.exe]
  UDP    127.0.0.1:64095        *:*
 [Skype.exe]
  UDP    192.168.1.35:137       *:*
 No se puede obtener información de propiedad
  UDP    192.168.1.35:138       *:*
 No se puede obtener información de propiedad
  UDP    192.168.1.35:1900      *:*
  SSDPSRV
 [svchost.exe]
  UDP    192.168.1.35:61599     *:*
  SSDPSRV
 [svchost.exe]
  UDP    [::]:500               *:*
  IKEEXT
 [svchost.exe]
  UDP    [::]:4500              *:*
  IKEEXT
 [svchost.exe]
  UDP    [::1]:1900             *:*
  SSDPSRV
 [svchost.exe]
  UDP    [::1]:61598            *:*
  SSDPSRV
 [svchost.exe]
  UDP    [fe80::f814:1c56:644b:6ebc%11]:1900  *:*
  SSDPSRV
 [svchost.exe]
  UDP    [fe80::f814:1c56:644b:6ebc%11]:61597  *:*
  SSDPSRV
 [svchost.exe]


La duda que tengo es por que en un intervalo de pocos minutos SIN ABRIR NI CERRAR ABSOLUTAMENTE NADA me salieron todo ese montón de conexiones. al principio y después sin tocar nada me salieron tan pocas

Es mas, hice whois, traceroute, etc desde una pagina que hace esos servicios ( concretamente http://www.iptools.es/ ) y me salían host de un monton de lugares que no tenian nada que ver conmigo.

Hay algo que no dije antes, alguien cercano a mí (y no precisamente amigo) informatico ha tenido acceso a este equipo.

Tengo, como habras visto, intalado AVIRA (los servecios que empiezan por AV* supongo que sean de eso) y lo he pasado recientemente y "solo" me detecta heuristicamente un virus en user32.dll

Te pego las propiedades segun AVIRA
Código: [Seleccionar]
Tipo: Fichero
Origen: C:\Windows\system32\user32.DLL
Estado: Infectado
Objeto en cuarentena: 559fc353.qua
Restaurado: NO
Cargado en Avira: NO
Sistema operativo: Windows XP/VISTA Workstation/Windows 7
Motor de análisis: 8.02.12.110
Fichero de firmas de virus: 7.11.98.40
Detección: HEUR/Modified.SystemFile
Fecha/Hora: 04/09/2013, 0:31

No se que repercuisones tiene esto ni si este "amigo" (por llamarle de alguna manera) ha podido "infectarme" de alguna otra manera indetectable

SALUDOS Y GRACIAS

PD: Estaré atento a ver si  tengo suerte con la "foto" de netstat -abn, pero si como supongo ya está al tanto, me sera difícil

warcry

  • Visitante
Re: Diferencias con netstat
« Respuesta #3 en: 04-09-2013, 19:17 (Miércoles) »
salva lo que consideres oportuno y format c: y pon/cambia la pass de administrador y el grupo de trabajo.

asi seguro que duermes mas tranquilo.

Desconectado geminis_demon

  • Colaborador
  • *
  • Mensajes: 2383
  • Prácticas precisas precisan práctica
Re: Diferencias con netstat
« Respuesta #4 en: 04-09-2013, 19:45 (Miércoles) »
salva lo que consideres oportuno y format c: y pon/cambia la pass de administrador y el grupo de trabajo.

asi seguro que duermes mas tranquilo.

Formatear solo porque sospecha que tiene un virus??  ???

Mi amigo sospecha que su mujer se está tirando a otro, le digo que mejor la mate y así dormirá mas tranquilo??  ;D

Yo me centraría en mirar en tras entradas autorun del registro, todo malware se inicia con el sistema, y ahí es donde hay que buscar.

Ejecuta "tecla windows"+"R" y escribe msconfig, después ve a la pestaña "Inicio de Windows" y desactiva todo lo que no debería iniciarse con el sistema.
« Última modificación: 04-09-2013, 19:48 (Miércoles) por geminis_demon »

La luz cree que viaja más rápido que cualquier otra cosa, pero se equivoca; da lo mismo lo rápido que pueda viajar, porque al final, la luz descubre que la oscuridad ha llegado antes que ella, y la está esperando.

warcry

  • Visitante
Re: Diferencias con netstat
« Respuesta #5 en: 04-09-2013, 19:51 (Miércoles) »


Formatear solo porque sospecha que tiene un virus??  ???

Mi amigo sospecha que su mujer se está tirando a otro, le digo que mejor la mate y así dormir ???á mas tranquilo??  ;D

ya sabes que yo, a grandes males grandes remedios  ;D ;D ;D

Citar
Yo me centraría en mirar en tras entradas autorun del registro, todo malware se inicia con el sistema, y ahí es donde hay que buscar.

ya sabes que no se mucho de virus y eso, pero si el virus esta alojado en la capa del kernel del windows y no a nivel aplicación, no lo mostrará el sistema ya que puede tapar el proceso diciéndole al kernel cuando se comunica con el nivel aplicación que ese dato no se lo facilite.

Desconectado geminis_demon

  • Colaborador
  • *
  • Mensajes: 2383
  • Prácticas precisas precisan práctica
Re: Diferencias con netstat
« Respuesta #6 en: 04-09-2013, 21:13 (Miércoles) »
ya sabes que no se mucho de virus y eso, pero si el virus esta alojado en la capa del kernel del windows y no a nivel aplicación, no lo mostrará el sistema ya que puede tapar el proceso diciéndole al kernel cuando se comunica con el nivel aplicación que ese dato no se lo facilite.

Estás en lo cierto, eso se le llama rootkit, y existen herramientas capaces de detectarlos.

Los rootkits son menos habituales, por eso siempre primero busco en las entradas de autoinicio, después de asegurarse de que no hay nada sospechoso, se puede pasar un scaner como gmer o tdsskiller de kaspersky.

También existen los bootkits, que se encargan de que el malware se inicie incluso antes que windows.

La luz cree que viaja más rápido que cualquier otra cosa, pero se equivoca; da lo mismo lo rápido que pueda viajar, porque al final, la luz descubre que la oscuridad ha llegado antes que ella, y la está esperando.

Iv4n

  • Visitante
Re: Diferencias con netstat
« Respuesta #7 en: 04-09-2013, 22:47 (Miércoles) »
Mi amigo sospecha que su mujer se está tirando a otro, le digo que mejor la mate y así dormirá mas tranquilo??  ;D

xDD !! muy bueno!. Me recuerda a una especie de chiste en el que el marido llega 2 horas  antes de trabajar a casa y se encuentra a su mujer con otro en la cama y la tía, en vez de disculparse, le pide explicaciones por haber llegado 2 horas antes y sin avisar!! (lo mío no son los chistes y ademas no viene a cuento.. )

En cuanto al arranque de Windows, uso TuneUP y a parte del antivirus, los gatchets de Win y DFX (un programa de control de volumen cojon*** para los que usen portátiles y vean TV o pelis) NO tengo nada.

Vamos a ponernos en el HIPOTETICO caso de que lo de formatear no valga porque esa persona pueda tener recursos que YO SOY INCAPAZ DE CONTROLAR y que ese alguien sea capaz de poner "loquesea" a nivel de la capa de kernel (sea lo que sea exactamanete eso;) )

La pregunta es ¿Que debo hacer para que en caso de una denuncia LEGAL pueda ir con algo que me valga? ¿¿Los datos del NETSTAT valdrían para algo?? y tambien si alguien tiene una respuesta o teoría (por surrealista que sea) de los cambios en los datos que reporta el netstat en un intervalo de tiempo tan corto y sin abrir nada??

GRACIAS A TODOS POR LAS MOLESTIAS Y SALUDOS


warcry

  • Visitante
Re: Diferencias con netstat
« Respuesta #8 en: 04-09-2013, 22:55 (Miércoles) »
a ver, que estas un poco paranoico...

tranqui y piensa con calma, si formateas adios al sistema operativo y a todos los datos que pueda haber en el disco duro, luego eso soluciona todos tus males y no hay un conocimiento supremo que te deje un virus que te aguante el formateo.

sobre las opciones legales, tendrias que contratar a una empresa que te haga un forense ante notario para que se pueda llevar a juicio, ya que todos los datos que tu cojas no son validos ya que pueden estar manipulados por ti o por terceros.

Iv4n

  • Visitante
Re: Diferencias con netstat
« Respuesta #9 en: 04-09-2013, 23:14 (Miércoles) »
a ver, que estas un poco paranoico...

CIERTO, LO ESTOY. Pero la paranoia es un estado NATURAL cuando te sientes perseguidos. Por eso antes he dicho lo de "HIPOTÉTICO". Supongo que si alguien me viniera con una historia o cuento como éste yo me decantaría por la 2ª opción ("cuento").

Pero hay ciertas cosas que son como los  accidentes, violaciones o secuestros. No le ocurren a nadie...pero el caso es que ocurren. NO PIDO QUE NADIE CREA NADA (para eso además de un cuento/historia se necesitarían pruebas). Por eso pido una TEORÍA que explique lo del netstat

De todas formas soy comprensible.. entiendo que cualquiera podáis tratarme de colgao, fantasma o mentiroso

Lo del forense y el notario, suena bien,,, jeje pero también suena muy caro. En caso de que algo LEGAL sucediera, supongo que habría otras formas ¿o no?

Saludos

PD: Tengo hecha una partición y modificado el registro para que mis documentos esten en D:, así que el formateo tampoco es demasiado problema

warcry

  • Visitante
Re: Diferencias con netstat
« Respuesta #10 en: 04-09-2013, 23:21 (Miércoles) »
la justicia en españa vale dinero, para que sea una prueba valida ya sabes, si lo quieres gratis, ponte pornografia infantil en el pc y denuciate a ti mismo, la poli se lleva gratis tu pc y le hace tambien gratis el forense, pero claro tu acabas en el trullo.

precisamente donde tienes que tener cuidado es en tus documentos, los tienes que llevar a una unidad de almacenamiento externo y despues del formateo de todo el disco duro, eso icluye destruir todas las particiones, no copiarlos directamente, sino que en maquinas virtuales o entornos controlados pasarles todos los antivirus que se te ocurran, y cuando ya te asegures de que no tienen nada entonces volcarlos al disco duro

Iv4n

  • Visitante
Re: Diferencias con netstat
« Respuesta #11 en: 04-09-2013, 23:35 (Miércoles) »
Gracias warcry

recomiendas algún sistema operativo (ya sé que Windows es el peor para estos temas) que sea "completamente"seguro y que tenga de  casi todo.

Ubuntu, Fedora... ??

En cuanto a informática en general y seguridad en particular no estoy muy puesto que digamos (y es demasiado decir)

Saludos

---EDITADO----------------

Por si las moscas... que conste que no tengo nada "raro" (pornografía infantil, armas de destrucción masiva o nada por el estilo xD)
« Última modificación: 04-09-2013, 23:43 (Miércoles) por Iv4n »

warcry

  • Visitante
Re: Diferencias con netstat
« Respuesta #12 en: 04-09-2013, 23:44 (Miércoles) »
todos los sistemas son seguros y a la vez todos los sistemas son vulnerables.

yo te recomendaría que el sistema operativo que utilices lo tengas lo mas actualizado posible, y con antivirus.

yo uso windows, y no pasa nada, tiene sus actualizaciones de seguridad, sus parches etc.

EL PRINCIPAL FALLO DE SEGURIDAD DE CUALQUIER SISTEMA OPERATIVO ES EL USUARIO QUE LO MANEJA.

de nada sirve tener el mejor sistema operativo del mundo, que si tu luego eres de los que te gustan los email en cadena, de los que te instalas cualquier crack de cualquier sitio y demas pos realmente eres tu quien mete los virus en tu pc, no vienen solos por el aire y se meten.

y claro, si luegos permites el acceso fisico a tu hardware de personas que no tengan buenas intenciones, pues te pueden liar la del pulpo, pero todo lo anterior de quien es culpa? DEL USUARIO

Iv4n

  • Visitante
Re: Diferencias con netstat
« Respuesta #13 en: 05-09-2013, 00:05 (Jueves) »
Cierto. Una vez escuche que el sistema más seguro es el que no se utiliza, de otra manera siempre habrá vulnerabilidades.

Mientras tanto, habrá que tener cuidado y encomendarse a algún santo que esté de guardia en el momento.

Saludos y mil gracias

Desconectado geminis_demon

  • Colaborador
  • *
  • Mensajes: 2383
  • Prácticas precisas precisan práctica
Re: Diferencias con netstat
« Respuesta #14 en: 05-09-2013, 00:18 (Jueves) »
todos los sistemas son seguros y a la vez todos los sistemas son vulnerables.

yo te recomendaría que el sistema operativo que utilices lo tengas lo mas actualizado posible, y con antivirus.

yo uso windows, y no pasa nada, tiene sus actualizaciones de seguridad, sus parches etc.

EL PRINCIPAL FALLO DE SEGURIDAD DE CUALQUIER SISTEMA OPERATIVO ES EL USUARIO QUE LO MANEJA.

de nada sirve tener el mejor sistema operativo del mundo, que si tu luego eres de los que te gustan los email en cadena, de los que te instalas cualquier crack de cualquier sitio y demas pos realmente eres tu quien mete los virus en tu pc, no vienen solos por el aire y se meten.

y claro, si luegos permites el acceso fisico a tu hardware de personas que no tengan buenas intenciones, pues te pueden liar la del pulpo, pero todo lo anterior de quien es culpa? DEL USUARIO

 Exacto! >:( >:( >:( >:( >:(

La luz cree que viaja más rápido que cualquier otra cosa, pero se equivoca; da lo mismo lo rápido que pueda viajar, porque al final, la luz descubre que la oscuridad ha llegado antes que ella, y la está esperando.

Iv4n

  • Visitante
Re: Diferencias con netstat
« Respuesta #15 en: 05-09-2013, 00:39 (Jueves) »
Solo para que conste... tengo antivirus, no me van lo de los email (ni con cadena ni con tonterías), utilizo regularmente el windows update, no tengo cracks "raros", no tengo cuenta de Facebook ni Twweter ni casi nada. Sólo algo de musica, unas pocas películas y archivos de texto.

Como he dicho antes, las violaciones, los secuestros, los asesinatos, etc... parece que no le suceden a nadie... pero el caso es que hay veces que suceden.

Ya he dicho que no espero que nadie me crea, seria una especie de "salto de fe". Por eso preguntaba si alguien tenía una explicación/teoría de lo del netstat

Exacto! >:( >:( >:( >:( >:(

Si algo así te pasara a (EDITO-- > ) A TI y no pudieras solucionarlo, te aseguro que no aplaudirías sonriendo

Saludos
« Última modificación: 05-09-2013, 00:55 (Jueves) por Iv4n »

Desconectado sanson

  • Moderador Global
  • *
  • Mensajes: 8410
Re: Diferencias con netstat
« Respuesta #16 en: 05-09-2013, 02:22 (Jueves) »
hola


madre de dios la que se a liado por un posible virus .

¿te has dado cuenta que practicamente todas las conexiones son de Skype y procesos de windows?  ( las que e visto a bote pronto ).

por dios que no es para tanto .................si es la primera vez que te pasa y tienes pensado seguir usando ordenadores te diria eso de "no te queda mili"


saludos

Desconectado drvalium

  • Moderador Global
  • *
  • Mensajes: 17429
  • Misántropo
Re: Diferencias con netstat
« Respuesta #17 en: 05-09-2013, 05:17 (Jueves) »
hi

en el primer log hay varias IP publicas, en la segunda menos y en la tecera ninguna, de ahí la diferencia de tamaños. Todas las conexiones que te den una IP local no son un problema y las puedes descartar.

sobre las IP publicas varias de ellas tienen algo que ver con una cosa llamada Akamai, no tengo claro que es, pero me suena que es algún tipo de gestor de descargas, me suena haberlo usado en alguna ocasión para descargar algunos drivers.

las otras IP publicas conducían a Google y a Movistar, podrían ser anuncios de una web o vete tu a saber.

Dudo que tengas ningún virus peligroso y si te emparanoias con el rotkit pasa un antivirus liveCD y te lo cargaras sin problemas, cuidado si haces esto no te lleves por delante un archivo de Windows y te quedes sin sistema.

salva lo que consideres oportuno y format c:

alucino que ante un virus tu recomendación sea formatear.

formatear es lo ultimo.


un saludo

« Última modificación: 05-09-2013, 05:18 (Jueves) por drvalium »

Desconectado drvalium

  • Moderador Global
  • *
  • Mensajes: 17429
  • Misántropo
Re: Diferencias con netstat
« Respuesta #18 en: 05-09-2013, 05:31 (Jueves) »
me auto corrijo

curioso que no tengas facebook pero tengas IP que te conduzcan a el.

   edge-star-shv-08-fra2

y esta otra IP es catalogada de troyano por Mcafee, aunque eso no quiere decir que lo sea, podría estar relacionado con Kamai o con algo que uses que recoja datos de navegación o cualquier chorrada de esas.

   we-in-f95

descarga, instala y actualiza MalwareBytes y pásalo, con eso debería bastarte, mejor si lo pasas arrancando Windows en Modo seguro.


un saludo

Pd: disculpa el error de antes al estar con letras y no números me las he saltado :-[

warcry

  • Visitante
Re: Diferencias con netstat
« Respuesta #19 en: 05-09-2013, 08:05 (Jueves) »
Citar

alucino que ante un virus tu recomendación sea formatear.

formatear es lo ultimo.


un saludo



hombre doc, un formateo al año no hace daño  ;)

bien es verdad que es la medida mas agresiva, pero un poquito de higiene informaticamente hablando, no viene mal

y luego es la manera mas eficaz y asi los paranoicos poder dormir tranquilos

los antivirus, los 0-days no los detectan y los matan, el formateo sip  ^-^