BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Mi PC descarga algo y no sé lo que es

el-feo

Desde hace varios días mi PC se empieza a descargar datos sin saber de dónde ni a donde.

Tengo instalado el Crystal Meter para poder ver el tráfico de la red.

La conexión wifi la descarto pq la luz del router correspondiente no se mueve. Sólo se mueve la de ethernet.

Aparte de que también desactivé la wifi y seguían descargándose esos datos.

He mirado en los procesos de Windows, pero no hay nada raro. He pasado un antispyware y no detecta nada.

Las actualizaciones de windows las tengo desactivadas, así q tampoco es eso.

¿Hay alguna manera de saber lo que se descarga?

campi

Haz un netstat y veras cuales son las conexiones activas y el puerto.

Calario

¿estas conectado con un cable al router?

¿tu equipo tiene bluetooth?

¿de donde desactivaste el wifi? ¿del router o del ordenador?

¿como sabes que se esta descargando datos? ¿por el crystal meter?

¿el antivirus tiene descargas automaticas?

🗨️ 7
el-feo

Hice un netstat y no me pareció ver nada raro, aunke volveré a hacerlo esta tarde y postearé los resultados (ahora estoy en el curro).

El PC está conectado por cable al router. No tengo bluetooth.

La wifi la desactivé del router.

Sí, como ya he dicho, con el crystall meter (es como el DU meter) veo lo q descargo y subo. Cuando no descargo nada está a cero. Pero en este caso, no estoy descargando nada por mi voluntad y el progrmaa muestra q se descarga algo.

No tengo antivirus ni nada de esas cosas.

🗨️ 6
campi

pero que es algo ??? una cosa es que tengas una bajada o subida constante de datos y otra es que haya algun pico de algun KB cada X tiempo

🗨️ 5
el-feo

"algo" son datos entre 60 y 100 Kb/s y constante.

De subida creo q son unos 5 o 10 Kb/s, lo normal cuando está bajando algo a esas velocidades.

🗨️ 4
campi
🗨️ 3
el-feo
🗨️ 1
BocaDePez
BocaDePez
el-feo

He cerrado el emule y he dejado abierto sólo el messenger y sale esto haciendo un netstat:

Conexiones activas

Proto Dirección local Dirección remota Estado
TCP danixp:1357 207.46.113.220:https TIME_WAIT
TCP danixp:1362 207.46.27.253:7001 TIME_WAIT
TCP danixp:1365 207.46.113.220:https TIME_WAIT
TCP danixp:1403 by1msg4146007.phx.gbl:1863 ESTABLISHED
TCP danixp:1429 207.46.27.253:7001 TIME_WAIT
TCP danixp:1471 74.50.107.172:https TIME_WAIT
TCP danixp:1687 web50.extendcp.co.uk:http SYN_SENT
TCP danixp:1715 host-66-59-224-165.static.linkline.com:http ESTABLISHED
TCP danixp:1717 isp2150.osg.ru:http ESTABLISHED
TCP danixp:1718 74.50.107.172:http LAST_ACK
TCP danixp:1719 74.50.107.172:https ESTABLISHED
TCP danixp:1720 serwer.eatm.pl:http LAST_ACK
TCP danixp:1721 mail2.parma.ru:http ESTABLISHED
TCP danixp:1722 web2.securitylabs.com:http ESTABLISHED
TCP danixp:4807 216.34.131.135:http ESTABLISHED
TCP danixp:5662 83.142.246.136:2892 FIN_WAIT_1

Y hay algo descargandose a unos 90 Kb/s de media.

Edito: Unos minutos después he vuelto ha hacer un netstat y sale esto:

Conexiones activas

Proto Dirección local Dirección remota Estado
TCP danixp:1403 by1msg4146007.phx.gbl:1863 ESTABLISHED
TCP danixp:2166 216.34.131.135:http ESTABLISHED
TCP danixp:2803 74.50.107.172:https TIME_WAIT
TCP danixp:3054 74.50.107.172:https TIME_WAIT
TCP danixp:3154 web50.extendcp.co.uk:http SYN_SENT
TCP danixp:3161 isp2150.osg.ru:http ESTABLISHED
TCP danixp:3165 serwer.eatm.pl:http ESTABLISHED
TCP danixp:3166 mail2.parma.ru:http ESTABLISHED
TCP danixp:3167 web2.securitylabs.com:http ESTABLISHED
TCP danixp:3169 38-113-162-28.static-ip.ravand.ca:http ESTABLISHED
TCP danixp:3170 srv57.one.com:http ESTABLISHED

Parece ser q cambian varios puertos.

🗨️ 4
el-feo

He pasado el Superantispyware y sólo me ha detectado cookies.

Las he borrado y esto sigue igual, descargandose algo.

He habilitado el firewall del router y sigue igual la cosa.

Supongo q se estará descargando por el puerto 80, pero no sé como deshabilitarlo en el router ni en windows.

El router es un D-Link G624T.

🗨️ 2
Frankie2004

¿No has conseguido identificar el proceso que tiene esas conexiones abiertas?

🗨️ 1
el-feo
el-feo

Pues parece q se ha solucionado con las actualizaciones automáticas de windows en parte.

Ahora se descargan/suben menos datos q antes, pero sigue pasando y me sigue mosqueando. Aunque ahora la media de bajada es de 3 Kb/s y la de subida 10 Kb/s, pero no son constantes como antes.

Pego aquí el netstat teniendo nada más abierto que el IE6:

Conexiones activas

Proto Dirección local Dirección remota Estado¶
TCP danixp:1025 localhost:27015 ESTABLISHED
TCP danixp:27015 localhost:1025 ESTABLISHED
TCP danixp:2059 postfix3.vitro.epldt.net:smtp FIN_WAIT_1
TCP danixp:2154 smtp2.min-saude.pt:smtp FIN_WAIT_1
TCP danixp:2203 postfix3.vitro.epldt.net:smtp FIN_WAIT_1
TCP danixp:3719 ews.kpnxchange.com:smtp TIME_WAIT
TCP danixp:3720 ug-in-f27.google.com:smtp TIME_WAIT
TCP danixp:3781 mx-adinet.adinet.com.uy:smtp TIME_WAIT
TCP danixp:3788 mail2in.giga.net.tw:smtp TIME_WAIT
TCP danixp:3791 smtp-in.orange.fr:smtp TIME_WAIT
TCP danixp:3800 h205.173.74.211.seed.net.tw:smtp LAST_ACK
TCP danixp:3804 rv-in-f27.google.com:smtp TIME_WAIT
TCP danixp:3805 inm.gob.mx:smtp TIME_WAIT
TCP danixp:3814 mx129.excite.co.jp:smtp TIME_WAIT
TCP danixp:3818 mxs.pchome.com.tw:smtp TIME_WAIT
TCP danixp:3822 fm2.gwavas.magic.fr:smtp TIME_WAIT
TCP danixp:3824 mx01.tut.by:smtp TIME_WAIT
TCP danixp:3829 propus.3soft.de:smtp TIME_WAIT
TCP danixp:3830 202.96.216.42:smtp TIME_WAIT
TCP danixp:3845 yx-in-f27.google.com:smtp TIME_WAIT
TCP danixp:3850 h198.103.96.216.static.ip.windstream.net:smtp TIME_WAIT
TCP danixp:3866 proxy1.telecoms.bg:smtp TIME_WAIT
TCP danixp:3870 mail5.zoneedit.com:smtp TIME_WAIT
TCP danixp:3875 rv-in-f27.google.com:smtp TIME_WAIT
TCP danixp:3887 mailhost5.telefonica.com.br:smtp TIME_WAIT
TCP danixp:3892 post1.ipandmore.de:smtp TIME_WAIT
TCP danixp:3893 apo-smtp-03.apotex.ca:smtp ESTABLISHED
TCP danixp:3902 yx-in-f27.google.com:smtp TIME_WAIT
TCP danixp:3910 74.50.107.172:https TIME_WAIT
TCP danixp:3911 websmtp.sohu.com:smtp TIME_WAIT
TCP danixp:3926 mail.iccoin.org:smtp TIME_WAIT
TCP danixp:3948 yx-in-f27.google.com:smtp TIME_WAIT
TCP danixp:3955 imp-1.mail.tiscali.it:smtp TIME_WAIT
TCP danixp:3972 rn-in-f27.google.com:smtp TIME_WAIT
TCP danixp:3976 mail-relay-5.tiscali.it:smtp TIME_WAIT
TCP danixp:3979 rmailn3.walla.co.il:smtp TIME_WAIT
TCP danixp:3982 mailgatejhb4.bcxcomms.net:smtp TIME_WAIT
TCP danixp:3983 mx3.chasque.net:smtp TIME_WAIT
TCP danixp:3984 16.132.telone.co.zw:smtp ESTABLISHED
TCP danixp:3986 nitrogen.mailguard.com.au:smtp TIME_WAIT
TCP danixp:3991 216.163.188.57:smtp TIME_WAIT
TCP danixp:4017 Mailgateway.pointcross.com:smtp TIME_WAIT
TCP danixp:4025 vsivak.skynet.cz:smtp TIME_WAIT
TCP danixp:4028 mail.eetcorp.com:smtp TIME_WAIT
TCP danixp:4031 securemail1.webpartner.dk:smtp TIME_WAIT
TCP danixp:4048 plgmler7.imr.gm.com:smtp TIME_WAIT
TCP danixp:4052 rn-in-f27.google.com:smtp TIME_WAIT
TCP danixp:4058 mail-kr.bigfoot.com:smtp TIME_WAIT
TCP danixp:4077 exchange.jefferds.com:smtp TIME_WAIT
TCP danixp:4084 mail.tele2.se:smtp TIME_WAIT
TCP danixp:4088 sp06.yuanta.com:smtp TIME_WAIT
TCP danixp:4090 mail.alamut.ca:smtp TIME_WAIT
TCP danixp:4099 mail.pmiconnect.com:smtp TIME_WAIT
TCP danixp:4100 rcs-mail1.tennk12.net:smtp TIME_WAIT
TCP danixp:4120 mx.e5server.com:smtp TIME_WAIT
TCP danixp:4126 na-msw2.alcoa.com:smtp ESTABLISHED
TCP danixp:4135 rn-in-f27.google.com:smtp TIME_WAIT
TCP danixp:4148 mail-kr.bigfoot.com:smtp TIME_WAIT
TCP danixp:4150 mail.alkhaleej.ae:smtp TIME_WAIT
TCP danixp:4157 mxvs-01.envia-tel.net:smtp TIME_WAIT
TCP danixp:4161 12.27.203.200:smtp TIME_WAIT
TCP danixp:4168 wchlm10.qvc.com:smtp TIME_WAIT
TCP danixp:4172 mta-v1.mail.vip.re3.yahoo.com:smtp SYN_SENT
TCP danixp:4174 mail.global.frontbridge.com:smtp TIME_WAIT
TCP danixp:4175 rmail-126.hanmail.net:smtp TIME_WAIT
TCP danixp:4177 mx.email.alog.com.br:smtp TIME_WAIT
TCP danixp:4180 msa-mx4.hinet.net:smtp SYN_SENT
TCP danixp:4181 linux9.mediom.qc.ca:smtp TIME_WAIT
TCP danixp:4182 mta-v1.mail.vip.re3.yahoo.com:smtp SYN_SENT
TCP danixp:4186 msa-mx8.hinet.net:smtp SYN_SENT
TCP danixp:4188 mail-kr.bigfoot.com:smtp ESTABLISHED
TCP danixp:4189 msa-mx1.hinet.net:smtp SYN_SENT
TCP danixp:4191 mta-v15.mail.vip.re1.yahoo.com:smtp SYN_SENT
TCP danixp:4193 mta-v14.mail.vip.re4.yahoo.com:smtp SYN_SENT
TCP danixp:4194 mta-v8.mail.vip.mud.yahoo.com:smtp SYN_SENT
TCP danixp:4197 mta-v15.mail.vip.re1.yahoo.com:smtp SYN_SENT
TCP danixp:4198 mail.idahosif.org:smtp ESTABLISHED
TCP danixp:4200 mta-v1.mail.vip.re3.yahoo.com:smtp SYN_SENT
TCP danixp:4201 aimail3.emirates.net.ae:smtp ESTABLISHED
TCP danixp:4202 211.49.224.218:smtp ESTABLISHED
TCP danixp:4203 mta-v1.mail.vip.re3.yahoo.com:smtp SYN_SENT
TCP danixp:4205 rmail-113.hanmail.net:smtp ESTABLISHED
TCP danixp:4206 up-mx3.det.nsw.edu.au:smtp SYN_SENT
TCP danixp:4207 mail.global.frontbridge.com:smtp ESTABLISHED
TCP danixp:4208 hknpx2.hknet.com:smtp SYN_SENT
TCP danixp:4209 smtp1.dot.state.az.us:smtp SYN_SENT
🗨️ 3
Frankie2004

No sé … aunque hay mucha mucha mierda innecesaria del iTunes, del Nero y otros … no conozco todos los procesos que hay por ahí. ¿Tienes instalado el Radmin de Famatech?

No sé cual es, pero tienes un troyano como una casa mandando spam a saco las 24 horas.

En el PC Wizard 2008, vete a la sección "Resources" y dale al icono de la bola del mundo enchufada con el cartelito "Network". A la derecha te tendrán que salir los procesos que tienen abiertos puertos en ese momento.

Aunque un "netstat -b" al menos en XP Professional también lo hace. :D

🗨️ 2
el-feo

Hola.

Sí, tengo el Radmin instalado. El Nero lo tenía abierto pq estaba grabando un CD.

He probado ahora a hacer lo del PC Wizard, pero sólo muestra cosas del eMule y poco más.

Probaré esta noche cuando esté en casa a ver q pasa.

He pasado el Spyhunter y sólo me ha detectado cookies de esas.

Es posible q todo esto pase por haber cambiado de compañía de internet?

Antes tenía Ya.com con IP fija y no me pasaba nada de esto. Y desde q tengo Orange con IP dinamica es cuando ha empezado a pasar.

Aunke sigo usando el mismo router q tenía con Ya.com.

el-feo

Acabo de hacer un netstat -b y sale esto:

Conexiones activas

Proto Dirección local Dirección remota Estado PID
TCP danixp:3719 msa-mx4.hinet.net:smtp SYN_SENT 1076
C:\WINDOWS\system32\mswsock.dll
c:\windows\system32\WS2_32.dll
-- componentes desconocidos --
[svchost.exe]

He mirado por google y dicen q es un gusano slammer.

Buscaré más info para saber como eliminarlo. A no ser q alguno de vosotros sepa algo de primera mano.

el-feo

Creo q ya he solucionado el tema.

Instalé el BitDefender, escaneé todo el PC, eliminé varios virus o archivos maliciosos (algunos troyanso no pude kitarlos) y de momento ha funcionado.

Ahora desinstalaré el BitDefender a ver q pasa.

Si veo q vuelve la "molestia" tendré q resignarme a dejar el antivirus puesto, aunke es algo q no me gusta nada.

Gracias a todos por vuestra ayuda.

🗨️ 1
BocaDePez
BocaDePez

Yo lo que hago con virus que no puedo quitar es arrancar el antivirus en modo aprueba de fallos.....Mano de santo, todos fuera, de momento ninguno se resiste.

BocaDePez
BocaDePez

He estado leyendo este post por curiosidad... Sé que ha pasado ya casi un mes. Ese PC seguirá infectado, casi seguro.

Si alguno se pasa por aquí, sólo decirle que desinfectar "bien" un PC como estos (posiblemente con un rootkit, controlado desde alguna botnet rusa, intentando 24h enviar spam al mundo entero y a saber qué mas) no lo hace cualquier usuario.

De forma simplificada: desde el propio PC infectado, los virus se protegen a sí mismos (se ocultan a los AV -AntiVirus- o desactivan a estos, por ejemplo).

Para abrir una puerta a la esperanza, con ayuda de algun "manitas" informatico:

a) Intentar escanear el PC desde OTRO sistema operativo; por ejemplo, desde un CD-linux con AntiVir de AVIRA

a.1) Fundamental: descargar el ISO/exe para crear el CD desde OTRO PC, uno que esté sano (y tenga grabador de CD).

a.2) Descargar desde (link roto)

a.3) Habilitar en BIOS del PC "malo" el arranque desde CD. Seguir las instrucciones (ingles/aleman). La mala noticia es que, aunque es relativamente simple el menú, el escaneo finalmente sólo parece lanzarse desde el menú alemán.

b) Instalar el Spybot Search & Destroy (v1.6.x) en el PC "malo" desde safer-networking.org/download

b.1) Descargar el EXE y tambien "detection updates" (desde otro PC sano, preferiblemente)

b.2) Al ejecutarlo en el PC "malo", hacerlo primero en arranque normal de windows. Pero lo fundamental es... b.3)

b.3) Arrancar Windows en modo seguro (F8) sin red y hacer un escaneo total con el spybot search&destroy.

c) Instala un cortafuegos, como el Comodo FW. Es "incómodo" pero alejará el interés de los que remotamente manejaban tu PC (botnet). Ah, ¿no sabías eso?

d) Pasa luego baterías como:

d.1) www.superantispyware.com (free)

d.2) "Inmuniza" con el spybot search & destroy

Saludos,

De: uno que se aburre hoy.

hypnosys

Hola! Mira, dejame contarte algo... los malwares de hoy en día son muy sofisticados y no todos pueden ser detectados por antivirus y mucho menos por antispywares.

Una vez tuve que cazar a mano con la herramienta Hijackthis! un spyware que resulto ser de origen coreano, muy novedoso que no figuraba en ningún buscador.

Si tienes suerte de que tu malware no incorpora funciones de rootkit, ocultandose en los procesos y también en el disco rigido, puedes probar un netstat mucho más completo con la herramienta TCPView ((link roto)) de los muchachos de Sysinternals (empresa que ha sido chupada, digo, adquirida por Microsoft por la gran calidad de sus tools).

TCPView te permite ver las conexiones TCP y UDP activas como el Netstat con la diferencia de que tambien te muestra qué APLICACIÓN se encuentra detrás de cada conexión.

Dada las circunstancias de esta peligrosa selva informática, mi consejo es:

1) Ante la duda, borra todo. Si señor, algunos me dirán que los rootkits pueden ser detectados con antirootkits. Jah, es el mejor chiste del año.

2) Reinstala todo de cero, crea una particion si es que no tienes ninguna

3) Instala todo los parches, updates y las aplicaciones que necesites. Instala todos los plugins que necesites en tu Firefox, incluyendo el add-on "NoScript".

4) Instala el Vmware en donde lo usaras como el sandbox de aplicaciones "potencialmente peligrosas" como cracks u otros ejecutables de riesgo.

Para los más paranoicos, el paso 5

5) Instala el Deep Freeze, "freezea" el disco C remapeando el My Documents a la particion "no freezeada".

Con el Deep Freeze, te infectes o te formateen el disco, al reiniciar todo volverá a la normalidad, nada podra ser borrado, nada podrá ser instalado.

De hecho, esta es mi configuración actual y mi laptop funciona de pelos. Ya no tengo que preocuparme de amigos instalándome RPGs y programas que no me interesan. Si algun invitado necesita usar tu PC no tienes que preocuparte de que se desconfigure por instalarte un programa que ellos necesitan, simplemente reinicias y lo tienes en un instante en el estado original.

Saludos!

BocaDePez
BocaDePez

Tienes un virus.

  • Tienes múltiples conexiones a servidores SMTP (estás enviando virus/spam)
  • En las primeras capturas del netstat estabas conectado a sitios sospechosos como mail2.parma.ru y otros rusos (y polacos .pl)
  • Si haces un "netstat -ano" te dirá al lado de cada conexión el número de proceso al que pertenece, si abres el administrador de tareas podrás comprobarlo en la columna "pid" (process id).

Primero instálate un firewall y capa las conexiones salientes al puerto 25. Luego lo típico: antivirus, etc.

BocaDePez
BocaDePez

pues yo lo consegui solucionarlo desactivando "Asistencia Remota" en el firewall de windows

🗨️ 1
BocaDePez
BocaDePez

una buena solucion pero el problema es que es lo que hacia subir y bajar la red