Hola. Nada más arrancar el pc (sin haber abierto el navegador ni ningún otro programa excepto los antivirus que me arrancan automáticamente), haciendo un netstat me salen conexiones algo raras que quisiera saber si alguien sabe a qué se pueden deber.

Una es desde el puerto 1079 y va a la ip 65.55.185.26:https, la cual he podido ver que es el update de windows (lo tengo desactivado, pero no se si igualmente se conecta para comprobar algo). Está en estado ESTABLISHED.

Otra es desde el 1055 y va a s3.amazonaws.com:http y está en estado TIME_WAIT (es algo de simple storage service de amazon, que no tengo ni idea de que puede ser, ya que yo ni me he dado de alta en ese servicio en él ni nada).

Otra es desde el puerto 1047 y va a herf.com:http y está en estado CLOSE_WAIT (en esa dirección hay una página negra con una especie de hash o código uuencodeado o algo así, en letras verdes, tipo terminal antiguo... raro, raro).

Paso el ccleaner con regularidad, y el malwarebytes no me detecta nada raro. Aparte, tengo 3 antivirus instalados, el avira, el avg y el nod32.

Algún consejo? (aparte de pasarme a linux, cosa que haría si consiguiera que me funcionase internet en él).


Ah, por cierto: qué significan las conexiones que empiezan en mi máquina en un puerto, y acaban también en mi máquina pero en otro puerto? ejemplo: Dirección local 127.0.0.1:1040 - Dirección remota: 127.0.0.1:1527 cosas así. Y por qué en algunas me sale "nombreDeMiMaquina:numeroDePuerto" y en otras "127.0.0.1:numeroDePuerto"?

Gracias.

Si te has instalado esto:

http://www.href.com/rsusetup::/rembootsetup20.zip

Por eso se conecta a href. Supongo que es para ver actualizaciones o algun tema de licencias de ese programa.

http://www.href.com/rsu:630325862 (http://www.downloadatlas.com/free-to-try-755ea4d4.html)

Interesante pinta eso de herf.com le echaré un vistazo a ver si puedo averiguar algo más, mira que si fuera o fuese algo curioso como una botnet o algo así, que intriga oiga xD

Lo de las conexiones de puerto a puerto de tu máquina puede ser cualquier tipo de programas que use intercambio de datos por sockets. Cualquier programilla que funcione con arquitectura cliente/servidor, pero no se que puedes tener ejecutando en tu máquina.

Si ejecutas "netstat -nabo" se puede poner de cualquier forma, pero así se recuerda mejor, podrás ver PID y nombre del ejecutable que abre el puerto. Si alguno se resiste, puedes buscar por el PID a través del Process Explorer, programa que puedes descargar gratuito desde Microsoft, y es bastante mejor explorador de procesos que el de Windows de serie.

En cuanto a lo de localhost (loopback con ip 127.0.0.1) es una forma de un dispositivo de red de referirse a si mismo. En el caso en el que aparece el nombre de red tu máquina, será por que primero la aplicacion resuelve el nombre de la IP de tu equipo y despues establece la conexión, a través de la IP asignada a ese nombre (en vez de usar localhost).

Ah, vale. Es que me extrañaba ver conexiones que iban de mi máquina otra vez a mi máquina, no le veia sentido. De hecho hay algunas que tienen ips tan raras como 0.0.0.0:numeroDePuerto, o incluso algunas direcciones remotas son del tipo *:*. No entiendo qué significa todo eso. Ah, y me instalaré el process explorer para tener algo más de control en este tema.





Si te has instalado esto:

http://www.href.com/rsusetup::/rembootsetup20.zip

Por eso se conecta a href. Supongo que es para ver actualizaciones o algun tema de licencias de ese programa.

http://www.href.com/rsu:630325862

No te confundas, gusarapo, la dirección de la que hablo es herf, no href. Por mi parte, yo no he instalado nunca el programa remote reboot.

LOL es cierto.

Vaya metedura de pata.

Pues me tiene intrigado la página esa, no sale nada en los buscadores, y un posible equipo "infectado" (no son zombies son infectados!) hace conexiones a ella nada mas encenderse, tiene toda la estética cutrona h4x02! ... me da que es una cutrepágina para enviar ordenes a los bots, o bien para descargarse actualizaciones del bicho que sea que haya pillado... uuhmmm que curioso xD
A mi también me ha dado curiosidad y tampoco he encontrado nada buscando por la URL T_T

me da que es una cutrepágina para enviar ordenes a los bots, o bien para descargarse actualizaciones del bicho que sea que haya pillado... uuhmmm que curioso xD

Es lo mismo que pienso yo. Habría que saber cómo se ha codificado para poder averiguar que comandos está enviando o qué está haciendo.

Hola de nuevo. Perdón por el retraso, tuve que ir a inglés. La verdad es que me está escamando mucho si el causante de todo esto puede ser un programa que estuve utilizando para ver una serie en la página crunchyroll, que estaba restringida a usuarios de EEUU. Este programa se llama ultrasurf, y el nombre del ejecutable es u95.exe. No era instalable ni nada, tan solo lo ejecutabas y cambiabas unos parámetros del navegador para que éste funcionase a través de él.

He estado leyendo cosas sobre ese programa y hay quien dice que lleva malware camuflado y que incluso utiliza algo llamado "morphine" para ocultar sus rastros. Aquí está la página que lo explica: http://www.wilderssecurity.com/showthread.php?t=237184

Igual no es eso, pero no sé, de momento no se puede descartar nada. Voy a reiniciar y haré un netstat y miraré con el process explorer ahora que ya me lo he puesto y a ver si tenemos más datos.

No lo entiendo, los bichos más raros siempre los pillo yo, y eso que ni me bajo cracks ni visito páginas potencialmente peligrosas (que yo sepa).

En fin, gracias a todos por el esfuerzo e interés ;)

He reiciado y en vez de la conexión esa que tenia a amazonaws, me sale esta otra http://72.21.211.147/ que parece ser que carga un xml o algo. La he puesto en google y parece que tiene que ver con lo de amazon.

¿Probaste con el netstat -nabo a ver que proceso era el que se estaba conectando?

Hola de nuevo. supongo que estareis casi todos ya en la piltra, pero bueno, aquí os dejo esto para que lo leais mañana.

Usando el "nabo" (XD) he podido averiguar que la conexión a la página herf.com se realiza a partir de un proceso que se llama ekrn.exe con el pid 500. Creo que forma parte del antivirus nod32, aquí está la ruta: C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

Sobre qué hace el nod32 conectando a esa página, no tengo la más remota idea. El nod es el que venía con el windows cuando lo instalé (tengo una unattended edition de esas).

Más interesantes son aún unas cuantas conexiones que se me producen desde el proceso "system idle process" con pid 0. Una de las conexiones es a la ip 72.21.211.147. Miraos esto a ver si os suena algo: http://www.robtex.com/ip/72.21.211.147.html pero otra vez aparece el amazonaws de los cojjjj...

Se me van creando y desapareciendo conexiones desde ese proceso con pid 0. Por ejemplo, antes de abrir siquiera navegador ni ningún otro programa, mirar qué cosita más interesante he encontrado:

TCP Pc:epmap XXX.Red-XX-XX-XX.staticIP.rima-tde.net:XXXX TIME_WAIT 0
TCP Pc:epmap XXX.Red-XX-XX-XX.staticIP.rima-tde.net:XXXX TIME_WAIT 0

Las X las he puesto yo por si acaso. Hizo esas conexiones, y luego desaparecieron al cabo de un rato. No se si es algo normal del windows con el router (algún tipo de "ping" automático para probar conectividad, o algo de resolución de dns) o yo qué se.

Alguna idea? (aparte de mandarlo todo por culo y reinstalar, que es lo que creo que voy a hacer) :/

Partiendo de que tienes versiones unatended de windows (que no traen mas que mierda) y que usas programas chungos sin pensartelo, realmente de importa donde se conecte tu pc??

Formatea tu pc, instalate una version OEM de windows xp sp3 y usa el equipo con cabeza, seguro que no tendras conexiones chungas.

Saludos

Si, lo que dice otto_xd es bastante recomendable, pero sube antes de borrar nada una copia del ekrn.exe a algun sitio por favor !!!!

Si, porque que este en la carpeta del antivirus no quiere decir que forme parte de el xD

Sobre qué hace el nod32 conectando a esa página, no tengo la más remota idea. El nod es el que venía con el windows cuando lo instalé (tengo una unattended edition de esas).

Aprovecho el hilo para preguntar mis cosas. Tengo vértigos, mareos y temblores. Me he medido la temperatura y tengo 45 grados, estornudo 12.000 veces al día y por las noches veo unos hombrecitos verdes jugando al teto. Ayer se me cayó el dedo meñique, concretamente cortado tres milímetros por debajo de la tercera falange. Me hice un TAC y me lo quitó Iker Jiménez para sacarlo por su programa. La prueba de hemotocritos fue normal tirando a salada. La orina es añil, concretamente un Pantone 15674.

Oh, por cierto, unos rusos en un sótano al lado del arroyo de las barranquillas me pusieron una vacuna que se llamaba Famitlú. Lo iba a decir después de 10 mensajes, pero lo menciono ahora por si sirve de algo :D

¿Qué me pasa, doctores?

sube el ekm.exe a virusscan.jotti.org a ver que te dice.

Prueba a sniffar (no, no hablo de drogas), si no a capturar el tráfico con algo como el ettercap, para ver que datos se mandan y reciben de esas conexiones http, eso suele sacar de dudas...
De todas maneras que el "proceso idle" del windows haga conexiones te digo ya lo que es.... VIRII.
El proceso idle, es eso, un proceso vacio, si está haciendo conexiones es que hay algun programa haciéndolas que usa ocultación.

Hmmm qué interesante se pone esto. Yo también estoy usando una UE de esas, con el nod32 en marcha. A ver si en el próximo reinicio también hago un netstat con el nabo (xD), y observo lo de las conexiones. Así podemos salir de dudas de que sea culpa de la UE, o de alguna otra cosa rara que hayas instalado :)

¿Por qué tienes 3 antivirus a la vez?

Siempre he escuchado y oído que es malo instalar mas de uno juntico, porque y que se daban de ostias. No se si será así, pero consumirte recursos, seguro que si.

Partiendo de que tienes versiones unatended de windows (que no traen mas que mierda) y que usas programas chungos sin pensartelo, realmente de importa donde se conecte tu pc??

Formatea tu pc, instalate una version OEM de windows xp sp3 y usa el equipo con cabeza, seguro que no tendras conexiones chungas.

Saludos

El nod32 es un "programa chungo"? Respecto al ultrasurf, me informé un poco antes de usarlo y no ví nada raro. Respecto a si me importa donde se conecte mi pc, pues sí, me importa. Por qué no tendría?

Si usara el equipo "sin cabeza" no me habría molestado en primer lugar en hacer un netstat y preguntar por aquí, creo yo. Tampoco me habría molestado en instalarme antivirus, utilizar programas tipo malwarebytes regularmente y tal.

De todas formas, tomo nota de tu sugerencia, gracias.



Bueno, pues ya está decidido. Primero de todo voy a subir el archivo que me habeis dicho a esa página y que vaya escaneando. Después, voy a probar lo siguiente: formateo y instalo de nuevo el windows que tengo. Luego, sin instalar nada, miraré si empieza a hacer conexiones a saco y tal, y si éste es el caso, pues me instalo un xp normal y san seacabó.

Gracias a todos.



Hmmm qué interesante se pone esto. Yo también estoy usando una UE de esas, con el nod32 en marcha. A ver si en el próximo reinicio también hago un netstat con el nabo (xD), y observo lo de las conexiones. Así podemos salir de dudas de que sea culpa de la UE, o de alguna otra cosa rara que hayas instalado :)

Iría muy bien para salir de dudas, AOJ, gracias. Quedo a la espera de ver tu netstat.




bueno, ya he mandado el ekrn a la página esa, el resultado ha sido:

Nombre del archivo: ekrn.exe
Tamaño del archivo: 731840 Bytes
Tipo del archivo: PE32 executable for MS Windows (GUI) Intel 80386 32-bit
Estado: Listo el proceso de escanear. 0 de 20 malware avisado.
Escaneando: jue 10 dic 2009 14:25:14 (CET) Su link de resultados

Todos los antivirus han dado negativo excepto el norman, que ha dado timeout :D

Cada vez entiendo menos...

el nod32 te o has bajado o venia incluido en el unatended??

el nod32 te o has bajado o venia incluido en el unatended??

El que venía incluido. Contestando a los que me han hablado sobre por qué ponerse un unattended, yo me fié porque en varias webs hablaban de las "bondades" del unattended, que si le habian quitado todo lo que al xp le "sobraba", haciendo que vaya más rápido, etc...

Efectivamente usa Linux

Activa en tu router DHCP y veras que bien te va el Linux.

Recuerda que cuando reinstales Wxp, de cepillaras el Grub y te quedaras sin arranque de Kubuntu...........

Efectivamente usa Linux

Activa en tu router DHCP y veras que bien te va el Linux.

Recuerda que cuando reinstales Wxp, de cepillaras el Grub y te quedaras sin arranque de Kubuntu...........

Juas... qué haces tú por aquí, gitanaco? Ya, ya sé que me quedaré sin grub, pero ya lo restauraré. De todas formas, para lo que uso el kubuntu sin internet... La verdad, me jode tener que activar el dhcp en el router cuando se tendría que poder configurar a la vieja usanza, a base poner a mano la ip, máscara de subred, puerta de enlace, las dns y tal...

La verdad, me jode tener que activar el dhcp en el router cuando se tendría que poder configurar a la vieja usanza

Saliéndome del tema, sospecho que entonces tu problema con Kubuntu es el KNetworkManager con una red Wifi. Yo tampoco he podido configurar el KNetworkManager con una IP manual, pero tu problema debería solucionarse usando otro manejador de red o directamente configurando la red manualmente en los archivos del directorio /etc/network

Eso o usar DHCP, que no quema :)

No tiene wifi.

no puede conectarse por cable con el Knetw....

si activara el DHCP se le acabarian los problemas........

Pues si no tiene wifi es más fácil todavía: se edita a mano /etc/network/interfaces con los valores necesarios y que no empiece knetworkmanager, que falla más que una escopetilla de feria :D

Pues esta mañana cuando he encendido el PC, he hecho el netstat (sí, con el nabo también xD), y ni rastro del ekm.exe :(

No hay ningún tipo de conexión rara a hosts extraños, así que culpa del UE no debe ser.

Por cierto, el dominio herf.com está registrado con datos falsos :)

Esto... os he de pedir mis más humildes disculpas por un fallo tontísimo pero que puede significar bastante cambio en varias de las cosas que he dicho antes. La web a donde se me conecta el pc es herf.org, y no herf.com. (de todas formas, veo las urls demasiado parecidas como para que no tengan nada que ver).

Por cierto, AOJ, ¿has buscado el ejecutable ese por EKM o por EKRN? Porque el nombre del ejecutable es este último, y veo que en tu mensaje has escrito EKM (como lo escribí en minúsculas, puede ser que te hubieras equivocado).


bueno, más progresos. La conexión esa a herf.org no me ha vuelto a aparecer más desde que le he desactivado en el programa f.lux la opción "check for updates daily". De todos modos, lo comprobaré más a fondo para estar más seguro que realmente es eso.

Las conexiones raras que me empiezan a salir a través de ekrn.exe, veo que no empiezan a hasta que abro el firefox y empiezo a poner webs. De todas formas, se me conecta a páginas que no estoy visitando. He intentado matar el proceso pero vuelve a crearse de nuevo. Tampoco me deja borrarlo de la carpeta donde está. Voy a probar a desinstalar el nod32 (haciendo primero una copia del ekrn).

PD: Para la persona que me pidió que subiera el ekrn para poder bajárselo (ahora mismo no me acuerdo del nick de quién me lo pidió, lo siento): lo subiré en cuanto pueda.