Forums Últimos mensajes - Powered by IBM
 
Tags Palabras claves

Troyano? Ayuda por favor

12/06/2005 - 17:25 por Juan | Informe spam
Ayuda Hacer una pregunta
Hola, seré breve xq no debo estar conectado mucho tiempo.

Cuando arranco el ordenador, sin iniciar nada de internet (explorer,
outlook, descargas automáticas ni nada) en mi firewall se observa un flujo
de "incoming" con una media de unos 8KB/s. Sin embargo en los logs del
firewall (Sygate) no aparece ningún paquete recibido, ni ningún programa
accediendo a internet.

Ejecutando netstat -n -a no aparece ningún puerto abierto, pero ejecutando
netstat -e aparece que se han descargado cerca de un mega en menos de un
minuto, demasiado tráfico para ser de control de la red (ONO en Valencia por
cierto).

Yamé a los de ONO y me dijeron que cerrara todos los programas, hicieron
pruebas y detectaban tráfico, y que posiblemente tendría un troyano.

Le he pasado el adaware, el trend micro, el nod32 y el kaspersky, ah, y el
innoculate de etrust pero no han detectado nada. Tampoco se inicia nada que
no conozca en msconfig...

Total, ke me estoy volviendo loco. Es normal ese tráfico de incoming? alguna
idea?

Mis pasos siguientes son buscar un antivirus que checkee el boot del disco,
cambiar a otro firewall como el look and stop que he oido que está bastante
bien, o instalar un sniffer para ver ke narices pasa por mi cable de red.

Que os parece? agradecería mucho vuestras ideas

Gracias por adelantado
email Siga el debateRespuesta 6 respuestasRespuesta Tengo una respuesta

Preguntas similare

Leer las respuestas

#1 Juan
12/06/2005 - 17:59 | Informe spam
Más información, he instalado el sniffer, y obtengo una cantidad descomunal
de paquetes ARP.
Además la velocidad de incoming ahora viene a ser de unos 20KB/s

Os pego una muestra de los paquetes ARP.
Nota: Mi IP era: 81.202.73.245
Mi puerta de enlace: 81.202.64.1


Por lo que observo, casi todos los paquetes tienen origen en mi puerta de
enlace, que pregunta por IPs de la red.

De mi ordenador no sale nada, pudiera ser que estuviera mal o algo? Igual es
normal el tráfico, pero esos 20 KB/s de incoming me parecen una barbaridad.

Que opináis?


SNIFFER --
No. Time Source Destination Protocol
Info
4 18.044007 81.202.64.1 Broadcast ARP Who
has 81.202.86.215? Tell 127.0.0.1

Frame 4 (60 bytes on wire, 60 bytes captured)
Ethernet II, Src: 00:11:92:21:7b:8d, Dst: ff:ff:ff:ff:ff:ff
Address Resolution Protocol (request)

No. Time Source Destination Protocol
Info
5 18.044018 81.202.64.1 Broadcast ARP Who
has 81.202.88.13? Tell 127.0.0.1

Frame 5 (60 bytes on wire, 60 bytes captured)
Ethernet II, Src: 00:11:92:21:7b:8d, Dst: ff:ff:ff:ff:ff:ff
Address Resolution Protocol (request)

No. Time Source Destination Protocol
Info
6 18.044022 81.202.64.1 Broadcast ARP Who
has 81.202.86.220? Tell 127.0.0.1

Frame 6 (60 bytes on wire, 60 bytes captured)
Ethernet II, Src: 00:11:92:21:7b:8d, Dst: ff:ff:ff:ff:ff:ff
Address Resolution Protocol (request)

No. Time Source Destination Protocol
Info
7 18.044025 81.202.64.1 Broadcast ARP Who
has 81.202.74.190? Tell 127.0.0.1

Frame 7 (60 bytes on wire, 60 bytes captured)
Ethernet II, Src: 00:11:92:21:7b:8d, Dst: ff:ff:ff:ff:ff:ff
Address Resolution Protocol (request)

No. Time Source Destination Protocol
Info
8 18.044029 81.202.64.1 Broadcast ARP Who
has 81.202.92.59? Tell 127.0.0.1

Frame 8 (60 bytes on wire, 60 bytes captured)
Ethernet II, Src: 00:11:92:21:7b:8d, Dst: ff:ff:ff:ff:ff:ff
Address Resolution Protocol (request)

No. Time Source Destination Protocol
Info
9 18.044116 81.202.64.1 Broadcast ARP Who
has 81.202.94.11? Tell 127.0.0.1

Frame 9 (60 bytes on wire, 60 bytes captured)
Ethernet II, Src: 00:11:92:21:7b:8d, Dst: ff:ff:ff:ff:ff:ff
Address Resolution Protocol (request)

No. Time Source Destination Protocol
Info
10 18.074703 81.202.64.1 Broadcast ARP Who
has 81.202.93.205? Tell 127.0.0.1

Frame 10 (60 bytes on wire, 60 bytes captured)
Ethernet II, Src: 00:11:92:21:7b:8d, Dst: ff:ff:ff:ff:ff:ff
Address Resolution Protocol (request)

















"Juan" escribió en el mensaje
news:
Hola, seré breve xq no debo estar conectado mucho tiempo.

Cuando arranco el ordenador, sin iniciar nada de internet (explorer,
outlook, descargas automáticas ni nada) en mi firewall se observa un flujo
de "incoming" con una media de unos 8KB/s. Sin embargo en los logs del
firewall (Sygate) no aparece ningún paquete recibido, ni ningún programa
accediendo a internet.

Ejecutando netstat -n -a no aparece ningún puerto abierto, pero ejecutando
netstat -e aparece que se han descargado cerca de un mega en menos de un
minuto, demasiado tráfico para ser de control de la red (ONO en Valencia
por cierto).

Yamé a los de ONO y me dijeron que cerrara todos los programas, hicieron
pruebas y detectaban tráfico, y que posiblemente tendría un troyano.

Le he pasado el adaware, el trend micro, el nod32 y el kaspersky, ah, y el
innoculate de etrust pero no han detectado nada. Tampoco se inicia nada
que no conozca en msconfig...

Total, ke me estoy volviendo loco. Es normal ese tráfico de incoming?
alguna idea?

Mis pasos siguientes son buscar un antivirus que checkee el boot del
disco, cambiar a otro firewall como el look and stop que he oido que está
bastante bien, o instalar un sniffer para ver ke narices pasa por mi cable
de red.

Que os parece? agradecería mucho vuestras ideas

Gracias por adelantado

Respuesta Responder a este mensaje
#2 Santiago José López Borrazás
12/06/2005 - 18:35 | Informe spam
Hash: SHA512

Fecha: Sun, 12 Jun 2005 17:59:42 +0200
Quién: Juan

Mejor que pases un antitroyanos, CUANTO ANTES mejor.

http://www.moosoft.com/

Slds...
http://www.cerbermail.com/?klkLyIEpdt
Respuesta Responder a este mensaje
#3 Juan
13/06/2005 - 22:20 | Informe spam
Le acabo de pasar el de moosoft versión de evaluación y nada. No ha
detectado nada.

Pero la situación ha cambiado un poco, ya no tengo ese tráfico de incoming
sospechoso, pero tengo algunos problemas de conexión. Por ejemplo, si subo
un archivo a mi ftp de la universidad de tamaño considerable, observo que la
velocidad de subida no es para nada constante. Anteriormente cuando todo iba
bien, tenía una subida constante a unos 15K, ahora tengo montañitas, 10
minutos al máximo, y derrpente cae a 1 o 2 KB hasta que vuelve a subir.

Estoy un poco perdido.

A ver si me ayudáis. Gracias.


"Santiago José López Borrazás" escribió en el mensaje
news:
Hash: SHA512

Fecha: Sun, 12 Jun 2005 17:59:42 +0200
Quién: Juan

Mejor que pases un antitroyanos, CUANTO ANTES mejor.

http://www.moosoft.com/

Slds...
http://www.cerbermail.com/?klkLyIEpdt
Respuesta Responder a este mensaje
#4 Santiago José López Borrazás
13/06/2005 - 23:21 | Informe spam
Hash: SHA512

Fecha: Mon, 13 Jun 2005 22:20:18 +0200
Quién: Juan

Pues es raro...veamos...

¿Has comprobado si tienes bién los cables?? ¿Has pasado el Ad-Aware o un
antispy como SpyBot&Destroy o alguno de éstos??

Slds...
http://www.cerbermail.com/?klkLyIEpdt
Respuesta Responder a este mensaje
#5 Juan
14/06/2005 - 16:17 | Informe spam
Le he pasado el AdAware SE actualizado

Los cables pues eso no la verdad, pero bueno, tráfico hay, lo que pasa
es que baja la velocidad de subida periódicamente. De todas formas, le voy a
poner un cable de red nuevo y te comento.

Gracias.


"Santiago José López Borrazás" escribió en el mensaje
news:
Hash: SHA512

Fecha: Mon, 13 Jun 2005 22:20:18 +0200
Quién: Juan

Pues es raro...veamos...

¿Has comprobado si tienes bién los cables?? ¿Has pasado el Ad-Aware o un
antispy como SpyBot&Destroy o alguno de éstos??

Slds...
http://www.cerbermail.com/?klkLyIEpdt
Respuesta Responder a este mensaje
Ads by Google
Help Hacer una preguntaSiguiente Respuesta Tengo una respuesta
Search Busqueda sugerida