Respuesta : Troyanos

#6 JM Tella Llop [MVP Windows]

06/06/2005 - 15:24 | Informe spam

Copiate el scrip que te dejo debajo a un archivo llamado, por ejemplo: ports.cmd

Y ejecutalos desde una ventana de comandos (cmd.exe). Dejame lo que te deja.

(copialo con cuidado.. no cortes las lineas).

@echo off
setlocal enabledelayedexpansion

del %temp%\puertos.tmp >nul 2>&1
tasklist > %temp%\tareas.tmp
set dl=:
for /f "usebackq tokens=2,3,4,5,6,7 delims=: " %%g in (`netstat -nao ^| find "LI
STENING"`) do if "%%h" NEQ "]" (
set sz1=%%h%dl% & set sz3=%%l%dl%
for /f "tokens=1,2 delims=:" %%s in ("!sz1:~,6!") do set sz1= %%t%%s
for /f "usebackq skip=4 tokens=1,2" %%m in (%temp%\tareas.tmp) do if %%l =%%n set sz2=%%m%dl%
for /f "tokens=1,2 delims=:" %%s in ("!sz2:~,16!") do set sz2=%%s%%t & set s
z2= !sz2:~,15!
for /f "tokens=1,2 delims=:" %%s in ("!sz3:~,6!") do echo !sz1!!sz2!%%t%%s >

%temp%\puertos.tmp

)

echo.
echo Puertos en escucha en el sistema
echo.
echo Puerto Programa PID
echo -

set iantfor /f "tokens=* delims=" %%i in ('SORT %temp%\puertos.tmp') do if %%i NEQ !iant
! echo %%i & set iant=%%i

echo.
del %temp%\puertos.tmp >nul 2>&1
del %temp%\tareas.tmp >nul 2>&1

endlocal

REM pause
goto :EOF

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.

"Jose Mari Q" wrote in message news:

Hola Jose Manuel:

Esto es lo que me sale con netstat -nabo. Si se puede sacar mejor
información con otro comando me lo comentas y te lo pongo gustosamente.
Muchas gracias,

Conexiones activas

Proto Dirección local Dirección remota Estado P
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING 1976
No se puede obtener información de propiedad
TCP 0.0.0.0:25 0.0.0.0:0 LISTENING 1976
No se puede obtener información de propiedad
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 1976
No se puede obtener información de propiedad
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 812
No se puede obtener información de propiedad
TCP 0.0.0.0:443 0.0.0.0:0 LISTENING 1976
No se puede obtener información de propiedad
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
No se puede obtener información de propiedad
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 1976
No se puede obtener información de propiedad
TCP 127.0.0.1:1026 0.0.0.0:0 LISTENING 2076
No se puede obtener información de propiedad
TCP 127.0.0.1:1035 0.0.0.0:0 LISTENING 2184
[ccApp.exe]

TCP 127.0.0.1:5679 0.0.0.0:0 LISTENING 2216
[WCESCOMM.EXE]

TCP 172.26.0.2:139 0.0.0.0:0 LISTENING 4
No se puede obtener información de propiedad
TCP 172.26.0.2:445 172.26.0.3:1936 ESTABLISHED 4
No se puede obtener información de propiedad
TCP 172.26.0.2:4847 207.46.248.16:119 ESTABLISHED 1272
[msimn.exe]

TCP 172.26.0.2:4835 207.68.173.243:80 CLOSE_WAIT 1272
[msimn.exe]

TCP 127.0.0.1:4833 127.0.0.1:1035 TIME_WAIT 0
TCP 172.26.0.2:4842 65.54.179.192:80 TIME_WAIT 0
TCP 172.26.0.2:4843 65.54.179.192:80 TIME_WAIT 0
UDP 0.0.0.0:2093 *:* 924
No se puede obtener información de propiedad
UDP 0.0.0.0:4500 *:* 580
No se puede obtener información de propiedad
UDP 0.0.0.0:1031 *:* 924
No se puede obtener información de propiedad
UDP 0.0.0.0:500 *:* 580
No se puede obtener información de propiedad
UDP 0.0.0.0:445 *:* 4
No se puede obtener información de propiedad
UDP 0.0.0.0:4312 *:* 924
No se puede obtener información de propiedad
UDP 0.0.0.0:1048 *:* 924
No se puede obtener información de propiedad
UDP 0.0.0.0:3456 *:* 1976
No se puede obtener información de propiedad
UDP 127.0.0.1:3851 *:* 3316
[msnmsgr.exe]

UDP 127.0.0.1:123 *:* 880
No se puede obtener información de propiedad
UDP 127.0.0.1:1900 *:* 980
No se puede obtener información de propiedad
UDP 172.26.0.2:1900 *:* 980
No se puede obtener información de propiedad
UDP 172.26.0.2:123 *:* 880
No se puede obtener información de propiedad
UDP 172.26.0.2:138 *:* 4
No se puede obtener información de propiedad
UDP 172.26.0.2:137 *:* 4
No se puede obtener información de propiedad

"JM Tella Llop [MVP Windows]" escribió:

Dejame aqui lo que esté en listening..

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.

"Jose Mari Q" wrote in message
news:
> Me quedo más tranquilo. Los listening que he puesto en el anterior post
> significan algo (la dirección es todo 00000)? Un saludo,
>
> "Alezito [MS MVP]" escribió:
>
>> Solo te informa de una posible puerta de entrada, no que tengas el
>> troyano,
>> el puerto 23 es Telnet, puedes cerrarlo desde el propio router.
>>
>> Cordialmente,
>>
>> Alejandro Curquejo
>> Microsoft MVP Windows
>>
>> Microsoft TechNet
>> Recursos, Soporte y Comunidad TI
>> http://www.microsoft.com/spain/tech...efault.asp
>>
>>
>> "Jose Mari Q" wrote in message
>> news:
>> > Hola:
>> >
>> > He escaneado el ordenado en busca de troyanos utilizando la web de
>> > Sygate.
>> > Ésta me dice que tengo el puerto 23 abierto y que el posible troyano es
>> > el
>> > Tiny Telnet Service. Esoty detrás de un router, y tengo instalado el
>> > IIS
>> > aunque nunca lo he llegado a utilizar. He escaneado el ordenador con
>> > The
>> > Cleaner y no me ha detectado nada. Tengo en firewall del SP2 y sólo doy
>> > acceso al messenger, activesync y compartir archivos e impresoras. He
>> > lanzado
>> > el comando nestat -an y esto es lo que me indica. ¿Os parece que
>> > realmente
>> > tengo un troyano? ¿Lo que tengo en listening es "normal"?
>> > Conexiones activas
>> >
>> > Proto Dirección local Dirección remota Estado
>> > TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
>> > TCP 0.0.0.0:25 0.0.0.0:0 LISTENING
>> > TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
>> > TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
>> > TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
>> > TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
>> > TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
>> > TCP 127.0.0.1:1026 0.0.0.0:0 LISTENING
>> > TCP 127.0.0.1:1035 0.0.0.0:0 LISTENING
>> > TCP 172.26.0.2:139 0.0.0.0:0 LISTENING
>> > UDP 0.0.0.0:445 *:*
>> >
>> >
>> > UDP 0.0.0.0:500 *:*
>> > UDP 0.0.0.0:1031 *:*
>> > UDP 0.0.0.0:1048 *:*
>> > UDP 0.0.0.0:2093 *:*
>> > UDP 0.0.0.0:3456 *:*
>> > UDP 0.0.0.0:4500 *:*
>> > UDP 127.0.0.1:123 *:*
>> > UDP 127.0.0.1:1900 *:*
>> > UDP 127.0.0.1:2273 *:*
>> > UDP 172.26.0.2:123 *:*
>> > UDP 172.26.0.2:137 *:*
>> > UDP 172.26.0.2:138 *:*
>> > UDP 172.26.0.2:1900 *:*
>>
>>
>>

Responder a este mensaje

#7 Jose Mari Q

10/06/2005 - 15:56 | Informe spam

Hola Jose Manual:

Perdona la tardanza lo que ocurre es que he estado fuera toda la semana.
Espero que puedas leer la respuesta (sino abriré un nuevo hilo). Esta es la
salida que me ha dado:

C:\Ports>ports

Puertos en escucha en el sistema

Puerto Programa PID
-
alg.exe 2080
CCAPP.EXE 2196
inetinfo.exe 1972
System 4
wcescomm.exe 2296
~ System 4
~, inetinfo.exe 1972
~,6 svchost.exe 816
~,6 inetinfo.exe 1972
~,6 inetinfo.exe 1972
~,6 inetinfo.exe 1972

Muchas gracias,

"JM Tella Llop [MVP Windows]" escribió:

Copiate el scrip que te dejo debajo a un archivo llamado, por ejemplo: ports.cmd

Y ejecutalos desde una ventana de comandos (cmd.exe). Dejame lo que te deja.

(copialo con cuidado.. no cortes las lineas).

@echo off
setlocal enabledelayedexpansion

del %temp%\puertos.tmp >nul 2>&1
tasklist > %temp%\tareas.tmp
set dl=: >
for /f "usebackq tokens=2,3,4,5,6,7 delims=: " %%g in (`netstat -nao ^| find "LI
STENING"`) do if "%%h" NEQ "]" (
set sz1=%%h%dl% & set sz3=%%l%dl%
for /f "tokens=1,2 delims=:" %%s in ("!sz1:~,6!") do set sz1= %%t%%s
for /f "usebackq skip=4 tokens=1,2" %%m in (%temp%\tareas.tmp) do if %%l => %%n set sz2=%%m%dl%
for /f "tokens=1,2 delims=:" %%s in ("!sz2:~,16!") do set sz2=%%s%%t & set s
z2= !sz2:~,15!
for /f "tokens=1,2 delims=:" %%s in ("!sz3:~,6!") do echo !sz1!!sz2!%%t%%s >
>%temp%\puertos.tmp
)

echo.
echo Puertos en escucha en el sistema
echo.
echo Puerto Programa PID
echo -

set iant> for /f "tokens=* delims=" %%i in ('SORT %temp%\puertos.tmp') do if %%i NEQ !iant
! echo %%i & set iant=%%i

echo.
del %temp%\puertos.tmp >nul 2>&1
del %temp%\tareas.tmp >nul 2>&1

endlocal

REM pause
goto :EOF

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.

"Jose Mari Q" wrote in message news:
> Hola Jose Manuel:
>
> Esto es lo que me sale con netstat -nabo. Si se puede sacar mejor
> información con otro comando me lo comentas y te lo pongo gustosamente.
> Muchas gracias,
>
> Conexiones activas
>
> Proto Dirección local Dirección remota Estado P
> TCP 0.0.0.0:21 0.0.0.0:0 LISTENING 1976
> No se puede obtener información de propiedad
> TCP 0.0.0.0:25 0.0.0.0:0 LISTENING 1976
> No se puede obtener información de propiedad
> TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 1976
> No se puede obtener información de propiedad
> TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 812
> No se puede obtener información de propiedad
> TCP 0.0.0.0:443 0.0.0.0:0 LISTENING 1976
> No se puede obtener información de propiedad
> TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
> No se puede obtener información de propiedad
> TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING 1976
> No se puede obtener información de propiedad
> TCP 127.0.0.1:1026 0.0.0.0:0 LISTENING 2076
> No se puede obtener información de propiedad
> TCP 127.0.0.1:1035 0.0.0.0:0 LISTENING 2184
> [ccApp.exe]
>
> TCP 127.0.0.1:5679 0.0.0.0:0 LISTENING 2216
> [WCESCOMM.EXE]
>
> TCP 172.26.0.2:139 0.0.0.0:0 LISTENING 4
> No se puede obtener información de propiedad
> TCP 172.26.0.2:445 172.26.0.3:1936 ESTABLISHED 4
> No se puede obtener información de propiedad
> TCP 172.26.0.2:4847 207.46.248.16:119 ESTABLISHED 1272
> [msimn.exe]
>
> TCP 172.26.0.2:4835 207.68.173.243:80 CLOSE_WAIT 1272
> [msimn.exe]
>
> TCP 127.0.0.1:4833 127.0.0.1:1035 TIME_WAIT 0
> TCP 172.26.0.2:4842 65.54.179.192:80 TIME_WAIT 0
> TCP 172.26.0.2:4843 65.54.179.192:80 TIME_WAIT 0
> UDP 0.0.0.0:2093 *:* 924
> No se puede obtener información de propiedad
> UDP 0.0.0.0:4500 *:* 580
> No se puede obtener información de propiedad
> UDP 0.0.0.0:1031 *:* 924
> No se puede obtener información de propiedad
> UDP 0.0.0.0:500 *:* 580
> No se puede obtener información de propiedad
> UDP 0.0.0.0:445 *:* 4
> No se puede obtener información de propiedad
> UDP 0.0.0.0:4312 *:* 924
> No se puede obtener información de propiedad
> UDP 0.0.0.0:1048 *:* 924
> No se puede obtener información de propiedad
> UDP 0.0.0.0:3456 *:* 1976
> No se puede obtener información de propiedad
> UDP 127.0.0.1:3851 *:* 3316
> [msnmsgr.exe]
>
> UDP 127.0.0.1:123 *:* 880
> No se puede obtener información de propiedad
> UDP 127.0.0.1:1900 *:* 980
> No se puede obtener información de propiedad
> UDP 172.26.0.2:1900 *:* 980
> No se puede obtener información de propiedad
> UDP 172.26.0.2:123 *:* 880
> No se puede obtener información de propiedad
> UDP 172.26.0.2:138 *:* 4
> No se puede obtener información de propiedad
> UDP 172.26.0.2:137 *:* 4
> No se puede obtener información de propiedad
>
> "JM Tella Llop [MVP Windows]" escribió:
>
>> Dejame aqui lo que esté en listening..
>>
>> Jose Manuel Tella Llop
>> MVP - Windows
>> (quitar XXX)
>> http://www.multingles.net/jmt.htm
>>
>> Este mensaje se proporciona "como está" sin garantías de ninguna clase,
>> y no otorga ningún derecho.
>>
>> This posting is provided "AS IS" with no warranties, and confers no
>> rights.
>> You assume all risk for your use.
>>
>>
>>
>> "Jose Mari Q" wrote in message
>> news:
>> > Me quedo más tranquilo. Los listening que he puesto en el anterior post
>> > significan algo (la dirección es todo 00000)? Un saludo,
>> >
>> > "Alezito [MS MVP]" escribió:
>> >
>> >> Solo te informa de una posible puerta de entrada, no que tengas el
>> >> troyano,
>> >> el puerto 23 es Telnet, puedes cerrarlo desde el propio router.
>> >>
>> >> Cordialmente,
>> >>
>> >> Alejandro Curquejo
>> >> Microsoft MVP Windows
>> >>
>> >> Microsoft TechNet
>> >> Recursos, Soporte y Comunidad TI
>> >> http://www.microsoft.com/spain/tech...efault.asp
>> >>
>> >>
>> >> "Jose Mari Q" wrote in message
>> >> news:
>> >> > Hola:
>> >> >
>> >> > He escaneado el ordenado en busca de troyanos utilizando la web de
>> >> > Sygate.
>> >> > Ésta me dice que tengo el puerto 23 abierto y que el posible troyano es
>> >> > el
>> >> > Tiny Telnet Service. Esoty detrás de un router, y tengo instalado el
>> >> > IIS
>> >> > aunque nunca lo he llegado a utilizar. He escaneado el ordenador con
>> >> > The
>> >> > Cleaner y no me ha detectado nada. Tengo en firewall del SP2 y sólo doy
>> >> > acceso al messenger, activesync y compartir archivos e impresoras. He
>> >> > lanzado
>> >> > el comando nestat -an y esto es lo que me indica. ¿Os parece que
>> >> > realmente
>> >> > tengo un troyano? ¿Lo que tengo en listening es "normal"?
>> >> > Conexiones activas
>> >> >
>> >> > Proto Dirección local Dirección remota Estado
>> >> > TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
>> >> > TCP 0.0.0.0:25 0.0.0.0:0 LISTENING
>> >> > TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
>> >> > TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
>> >> > TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
>> >> > TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
>> >> > TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
>> >> > TCP 127.0.0.1:1026 0.0.0.0:0 LISTENING
>> >> > TCP 127.0.0.1:1035 0.0.0.0:0 LISTENING
>> >> > TCP 172.26.0.2:139 0.0.0.0:0 LISTENING
>> >> > UDP 0.0.0.0:445 *:*
>> >> >
>> >> >
>> >> > UDP 0.0.0.0:500 *:*
>> >> > UDP 0.0.0.0:1031 *:*
>> >> > UDP 0.0.0.0:1048 *:*
>> >> > UDP 0.0.0.0:2093 *:*
>> >> > UDP 0.0.0.0:3456 *:*
>> >> > UDP 0.0.0.0:4500 *:*
>> >> > UDP 127.0.0.1:123 *:*
>> >> > UDP 127.0.0.1:1900 *:*
>> >> > UDP 127.0.0.1:2273 *:*
>> >> > UDP 172.26.0.2:123 *:*
>> >> > UDP 172.26.0.2:137 *:*
>> >> > UDP 172.26.0.2:138 *:*
>> >> > UDP 172.26.0.2:1900 *:*
>> >>
>> >>
>> >>
>>
>>
>>

Responder a este mensaje

#8 JM Tella Llop [MVP Windows]

10/06/2005 - 16:42 | Informe spam

No parece nada raro.
Localiza este CCAPP.EXE por si acaso y con el boton derecho sobre el,
propiedades, mira a quien pertenece (parece que a un antivirus...)

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.

"Jose Mari Q" wrote in message
news:

Hola Jose Manual:

Perdona la tardanza lo que ocurre es que he estado fuera toda la semana.
Espero que puedas leer la respuesta (sino abriré un nuevo hilo). Esta es
la
salida que me ha dado:

C:\Ports>ports

Puertos en escucha en el sistema

Puerto Programa PID
-
alg.exe 2080
CCAPP.EXE 2196
inetinfo.exe 1972
System 4
wcescomm.exe 2296
~ System 4
~, inetinfo.exe 1972
~,6 svchost.exe 816
~,6 inetinfo.exe 1972
~,6 inetinfo.exe 1972
~,6 inetinfo.exe 1972

Muchas gracias,

"JM Tella Llop [MVP Windows]" escribió:

Copiate el scrip que te dejo debajo a un archivo llamado, por ejemplo:
ports.cmd

Y ejecutalos desde una ventana de comandos (cmd.exe). Dejame lo que te
deja.

(copialo con cuidado.. no cortes las lineas).

@echo off
setlocal enabledelayedexpansion

del %temp%\puertos.tmp >nul 2>&1
tasklist > %temp%\tareas.tmp
set dl=: >>
for /f "usebackq tokens=2,3,4,5,6,7 delims=: " %%g in (`netstat -nao ^|
find "LI
STENING"`) do if "%%h" NEQ "]" (
set sz1=%%h%dl% & set sz3=%%l%dl%
for /f "tokens=1,2 delims=:" %%s in ("!sz1:~,6!") do set sz1= %%t%%s
for /f "usebackq skip=4 tokens=1,2" %%m in (%temp%\tareas.tmp) do if
%%l =>> %%n set sz2=%%m%dl%
for /f "tokens=1,2 delims=:" %%s in ("!sz2:~,16!") do set sz2=%%s%%t
& set s
z2= !sz2:~,15!
for /f "tokens=1,2 delims=:" %%s in ("!sz3:~,6!") do echo
!sz1!!sz2!%%t%%s >
>%temp%\puertos.tmp
)

echo.
echo Puertos en escucha en el sistema
echo.
echo Puerto Programa PID
echo -

set iant>> for /f "tokens=* delims=" %%i in ('SORT %temp%\puertos.tmp') do if %%i
NEQ !iant
! echo %%i & set iant=%%i

echo.
del %temp%\puertos.tmp >nul 2>&1
del %temp%\tareas.tmp >nul 2>&1

endlocal

REM pause
goto :EOF

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.

"Jose Mari Q" wrote in message
news:
> Hola Jose Manuel:
>
> Esto es lo que me sale con netstat -nabo. Si se puede sacar mejor
> información con otro comando me lo comentas y te lo pongo gustosamente.
> Muchas gracias,
>
> Conexiones activas
>
> Proto Dirección local Dirección remota Estado
> P
> TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
> 1976
> No se puede obtener información de propiedad
> TCP 0.0.0.0:25 0.0.0.0:0 LISTENING
> 1976
> No se puede obtener información de propiedad
> TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
> 1976
> No se puede obtener información de propiedad
> TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
> 812
> No se puede obtener información de propiedad
> TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
> 1976
> No se puede obtener información de propiedad
> TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
> No se puede obtener información de propiedad
> TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
> 1976
> No se puede obtener información de propiedad
> TCP 127.0.0.1:1026 0.0.0.0:0 LISTENING
> 2076
> No se puede obtener información de propiedad
> TCP 127.0.0.1:1035 0.0.0.0:0 LISTENING
> 2184
> [ccApp.exe]
>
> TCP 127.0.0.1:5679 0.0.0.0:0 LISTENING
> 2216
> [WCESCOMM.EXE]
>
> TCP 172.26.0.2:139 0.0.0.0:0 LISTENING 4
> No se puede obtener información de propiedad
> TCP 172.26.0.2:445 172.26.0.3:1936 ESTABLISHED 4
> No se puede obtener información de propiedad
> TCP 172.26.0.2:4847 207.46.248.16:119 ESTABLISHED
> 1272
> [msimn.exe]
>
> TCP 172.26.0.2:4835 207.68.173.243:80 CLOSE_WAIT
> 1272
> [msimn.exe]
>
> TCP 127.0.0.1:4833 127.0.0.1:1035 TIME_WAIT 0
> TCP 172.26.0.2:4842 65.54.179.192:80 TIME_WAIT 0
> TCP 172.26.0.2:4843 65.54.179.192:80 TIME_WAIT 0
> UDP 0.0.0.0:2093 *:*
> 924
> No se puede obtener información de propiedad
> UDP 0.0.0.0:4500 *:*
> 580
> No se puede obtener información de propiedad
> UDP 0.0.0.0:1031 *:*
> 924
> No se puede obtener información de propiedad
> UDP 0.0.0.0:500 *:*
> 580
> No se puede obtener información de propiedad
> UDP 0.0.0.0:445 *:* 4
> No se puede obtener información de propiedad
> UDP 0.0.0.0:4312 *:*
> 924
> No se puede obtener información de propiedad
> UDP 0.0.0.0:1048 *:*
> 924
> No se puede obtener información de propiedad
> UDP 0.0.0.0:3456 *:*
> 1976
> No se puede obtener información de propiedad
> UDP 127.0.0.1:3851 *:*
> 3316
> [msnmsgr.exe]
>
> UDP 127.0.0.1:123 *:*
> 880
> No se puede obtener información de propiedad
> UDP 127.0.0.1:1900 *:*
> 980
> No se puede obtener información de propiedad
> UDP 172.26.0.2:1900 *:*
> 980
> No se puede obtener información de propiedad
> UDP 172.26.0.2:123 *:*
> 880
> No se puede obtener información de propiedad
> UDP 172.26.0.2:138 *:* 4
> No se puede obtener información de propiedad
> UDP 172.26.0.2:137 *:* 4
> No se puede obtener información de propiedad
>
> "JM Tella Llop [MVP Windows]" escribió:
>
>> Dejame aqui lo que esté en listening..
>>
>> Jose Manuel Tella Llop
>> MVP - Windows
>> (quitar XXX)
>> http://www.multingles.net/jmt.htm
>>
>> Este mensaje se proporciona "como está" sin garantías de ninguna
>> clase,
>> y no otorga ningún derecho.
>>
>> This posting is provided "AS IS" with no warranties, and confers no
>> rights.
>> You assume all risk for your use.
>>
>>
>>
>> "Jose Mari Q" wrote in message
>> news:
>> > Me quedo más tranquilo. Los listening que he puesto en el anterior
>> > post
>> > significan algo (la dirección es todo 00000)? Un saludo,
>> >
>> > "Alezito [MS MVP]" escribió:
>> >
>> >> Solo te informa de una posible puerta de entrada, no que tengas el
>> >> troyano,
>> >> el puerto 23 es Telnet, puedes cerrarlo desde el propio router.
>> >>
>> >> Cordialmente,
>> >>
>> >> Alejandro Curquejo
>> >> Microsoft MVP Windows
>> >>
>> >> Microsoft TechNet
>> >> Recursos, Soporte y Comunidad TI
>> >> http://www.microsoft.com/spain/tech...efault.asp
>> >>
>> >>
>> >> "Jose Mari Q" wrote in
>> >> message
>> >> news:
>> >> > Hola:
>> >> >
>> >> > He escaneado el ordenado en busca de troyanos utilizando la web
>> >> > de
>> >> > Sygate.
>> >> > Ésta me dice que tengo el puerto 23 abierto y que el posible
>> >> > troyano es
>> >> > el
>> >> > Tiny Telnet Service. Esoty detrás de un router, y tengo instalado
>> >> > el
>> >> > IIS
>> >> > aunque nunca lo he llegado a utilizar. He escaneado el ordenador
>> >> > con
>> >> > The
>> >> > Cleaner y no me ha detectado nada. Tengo en firewall del SP2 y
>> >> > sólo doy
>> >> > acceso al messenger, activesync y compartir archivos e
>> >> > impresoras. He
>> >> > lanzado
>> >> > el comando nestat -an y esto es lo que me indica. ¿Os parece que
>> >> > realmente
>> >> > tengo un troyano? ¿Lo que tengo en listening es "normal"?
>> >> > Conexiones activas
>> >> >
>> >> > Proto Dirección local Dirección remota Estado
>> >> > TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
>> >> > TCP 0.0.0.0:25 0.0.0.0:0 LISTENING
>> >> > TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
>> >> > TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
>> >> > TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
>> >> > TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
>> >> > TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
>> >> > TCP 127.0.0.1:1026 0.0.0.0:0 LISTENING
>> >> > TCP 127.0.0.1:1035 0.0.0.0:0 LISTENING
>> >> > TCP 172.26.0.2:139 0.0.0.0:0 LISTENING
>> >> > UDP 0.0.0.0:445 *:*
>> >> >
>> >> >
>> >> > UDP 0.0.0.0:500 *:*
>> >> > UDP 0.0.0.0:1031 *:*
>> >> > UDP 0.0.0.0:1048 *:*
>> >> > UDP 0.0.0.0:2093 *:*
>> >> > UDP 0.0.0.0:3456 *:*
>> >> > UDP 0.0.0.0:4500 *:*
>> >> > UDP 127.0.0.1:123 *:*
>> >> > UDP 127.0.0.1:1900 *:*
>> >> > UDP 127.0.0.1:2273 *:*
>> >> > UDP 172.26.0.2:123 *:*
>> >> > UDP 172.26.0.2:137 *:*
>> >> > UDP 172.26.0.2:138 *:*
>> >> > UDP 172.26.0.2:1900 *:*
>> >>
>> >>
>> >>
>>
>>
>>

Responder a este mensaje

#9 Jose Mari Q

10/06/2005 - 21:31 | Informe spam

Muchas gracias Jose Manuel. No me esperaba la respuesta, ¡esto da gusto! Lo
he mirado y pertenece al norton antivirus.
Un saludo!

"JM Tella Llop [MVP Windows]" escribió:

No parece nada raro.
Localiza este CCAPP.EXE por si acaso y con el boton derecho sobre el,
propiedades, mira a quien pertenece (parece que a un antivirus...)

Jose Manuel Tella Llop
MVP - Windows
(quitar XXX)
http://www.multingles.net/jmt.htm

Este mensaje se proporciona "como está" sin garantías de ninguna clase,
y no otorga ningún derecho.

This posting is provided "AS IS" with no warranties, and confers no
rights.
You assume all risk for your use.

"Jose Mari Q" wrote in message
news:
> Hola Jose Manual:
>
> Perdona la tardanza lo que ocurre es que he estado fuera toda la semana.
> Espero que puedas leer la respuesta (sino abriré un nuevo hilo). Esta es
> la
> salida que me ha dado:
>
> C:\Ports>ports
>
> Puertos en escucha en el sistema
>
> Puerto Programa PID
> -
> alg.exe 2080
> CCAPP.EXE 2196
> inetinfo.exe 1972
> System 4
> wcescomm.exe 2296
> ~ System 4
> ~, inetinfo.exe 1972
> ~,6 svchost.exe 816
> ~,6 inetinfo.exe 1972
> ~,6 inetinfo.exe 1972
> ~,6 inetinfo.exe 1972
>
> Muchas gracias,
>
> "JM Tella Llop [MVP Windows]" escribió:
>
>>
>> Copiate el scrip que te dejo debajo a un archivo llamado, por ejemplo:
>> ports.cmd
>>
>> Y ejecutalos desde una ventana de comandos (cmd.exe). Dejame lo que te
>> deja.
>>
>> (copialo con cuidado.. no cortes las lineas).
>>
>>
>> @echo off
>> setlocal enabledelayedexpansion
>>
>> del %temp%\puertos.tmp >nul 2>&1
>> tasklist > %temp%\tareas.tmp
>> set dl=: > >>
>> for /f "usebackq tokens=2,3,4,5,6,7 delims=: " %%g in (`netstat -nao ^|
>> find "LI
>> STENING"`) do if "%%h" NEQ "]" (
>> set sz1=%%h%dl% & set sz3=%%l%dl%
>> for /f "tokens=1,2 delims=:" %%s in ("!sz1:~,6!") do set sz1= %%t%%s
>> for /f "usebackq skip=4 tokens=1,2" %%m in (%temp%\tareas.tmp) do if
>> %%l => >> %%n set sz2=%%m%dl%
>> for /f "tokens=1,2 delims=:" %%s in ("!sz2:~,16!") do set sz2=%%s%%t
>> & set s
>> z2= !sz2:~,15!
>> for /f "tokens=1,2 delims=:" %%s in ("!sz3:~,6!") do echo
>> !sz1!!sz2!%%t%%s >
>> >%temp%\puertos.tmp
>> )
>>
>> echo.
>> echo Puertos en escucha en el sistema
>> echo.
>> echo Puerto Programa PID
>> echo -
>>
>> set iant> >> for /f "tokens=* delims=" %%i in ('SORT %temp%\puertos.tmp') do if %%i
>> NEQ !iant
>> ! echo %%i & set iant=%%i
>>
>> echo.
>> del %temp%\puertos.tmp >nul 2>&1
>> del %temp%\tareas.tmp >nul 2>&1
>>
>> endlocal
>>
>> REM pause
>> goto :EOF
>>
>>
>> Jose Manuel Tella Llop
>> MVP - Windows
>> (quitar XXX)
>> http://www.multingles.net/jmt.htm
>>
>> Este mensaje se proporciona "como está" sin garantías de ninguna clase,
>> y no otorga ningún derecho.
>>
>> This posting is provided "AS IS" with no warranties, and confers no
>> rights.
>> You assume all risk for your use.
>>
>>
>>
>> "Jose Mari Q" wrote in message
>> news:
>> > Hola Jose Manuel:
>> >
>> > Esto es lo que me sale con netstat -nabo. Si se puede sacar mejor
>> > información con otro comando me lo comentas y te lo pongo gustosamente.
>> > Muchas gracias,
>> >
>> > Conexiones activas
>> >
>> > Proto Dirección local Dirección remota Estado
>> > P
>> > TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
>> > 1976
>> > No se puede obtener información de propiedad
>> > TCP 0.0.0.0:25 0.0.0.0:0 LISTENING
>> > 1976
>> > No se puede obtener información de propiedad
>> > TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
>> > 1976
>> > No se puede obtener información de propiedad
>> > TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
>> > 812
>> > No se puede obtener información de propiedad
>> > TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
>> > 1976
>> > No se puede obtener información de propiedad
>> > TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4
>> > No se puede obtener información de propiedad
>> > TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
>> > 1976
>> > No se puede obtener información de propiedad
>> > TCP 127.0.0.1:1026 0.0.0.0:0 LISTENING
>> > 2076
>> > No se puede obtener información de propiedad
>> > TCP 127.0.0.1:1035 0.0.0.0:0 LISTENING
>> > 2184
>> > [ccApp.exe]
>> >
>> > TCP 127.0.0.1:5679 0.0.0.0:0 LISTENING
>> > 2216
>> > [WCESCOMM.EXE]
>> >
>> > TCP 172.26.0.2:139 0.0.0.0:0 LISTENING 4
>> > No se puede obtener información de propiedad
>> > TCP 172.26.0.2:445 172.26.0.3:1936 ESTABLISHED 4
>> > No se puede obtener información de propiedad
>> > TCP 172.26.0.2:4847 207.46.248.16:119 ESTABLISHED
>> > 1272
>> > [msimn.exe]
>> >
>> > TCP 172.26.0.2:4835 207.68.173.243:80 CLOSE_WAIT
>> > 1272
>> > [msimn.exe]
>> >
>> > TCP 127.0.0.1:4833 127.0.0.1:1035 TIME_WAIT 0
>> > TCP 172.26.0.2:4842 65.54.179.192:80 TIME_WAIT 0
>> > TCP 172.26.0.2:4843 65.54.179.192:80 TIME_WAIT 0
>> > UDP 0.0.0.0:2093 *:*
>> > 924
>> > No se puede obtener información de propiedad
>> > UDP 0.0.0.0:4500 *:*
>> > 580
>> > No se puede obtener información de propiedad
>> > UDP 0.0.0.0:1031 *:*
>> > 924
>> > No se puede obtener información de propiedad
>> > UDP 0.0.0.0:500 *:*
>> > 580
>> > No se puede obtener información de propiedad
>> > UDP 0.0.0.0:445 *:* 4
>> > No se puede obtener información de propiedad
>> > UDP 0.0.0.0:4312 *:*
>> > 924
>> > No se puede obtener información de propiedad
>> > UDP 0.0.0.0:1048 *:*
>> > 924
>> > No se puede obtener información de propiedad
>> > UDP 0.0.0.0:3456 *:*
>> > 1976
>> > No se puede obtener información de propiedad
>> > UDP 127.0.0.1:3851 *:*
>> > 3316
>> > [msnmsgr.exe]
>> >
>> > UDP 127.0.0.1:123 *:*
>> > 880
>> > No se puede obtener información de propiedad
>> > UDP 127.0.0.1:1900 *:*
>> > 980
>> > No se puede obtener información de propiedad
>> > UDP 172.26.0.2:1900 *:*
>> > 980
>> > No se puede obtener información de propiedad
>> > UDP 172.26.0.2:123 *:*
>> > 880
>> > No se puede obtener información de propiedad
>> > UDP 172.26.0.2:138 *:* 4
>> > No se puede obtener información de propiedad
>> > UDP 172.26.0.2:137 *:* 4
>> > No se puede obtener información de propiedad
>> >
>> > "JM Tella Llop [MVP Windows]" escribió:
>> >
>> >> Dejame aqui lo que esté en listening..
>> >>
>> >> Jose Manuel Tella Llop
>> >> MVP - Windows
>> >> (quitar XXX)
>> >> http://www.multingles.net/jmt.htm
>> >>
>> >> Este mensaje se proporciona "como está" sin garantías de ninguna
>> >> clase,
>> >> y no otorga ningún derecho.
>> >>
>> >> This posting is provided "AS IS" with no warranties, and confers no
>> >> rights.
>> >> You assume all risk for your use.
>> >>
>> >>
>> >>
>> >> "Jose Mari Q" wrote in message
>> >> news:
>> >> > Me quedo más tranquilo. Los listening que he puesto en el anterior
>> >> > post
>> >> > significan algo (la dirección es todo 00000)? Un saludo,
>> >> >
>> >> > "Alezito [MS MVP]" escribió:
>> >> >
>> >> >> Solo te informa de una posible puerta de entrada, no que tengas el
>> >> >> troyano,
>> >> >> el puerto 23 es Telnet, puedes cerrarlo desde el propio router.
>> >> >>
>> >> >> Cordialmente,
>> >> >>
>> >> >> Alejandro Curquejo
>> >> >> Microsoft MVP Windows
>> >> >>
>> >> >> Microsoft TechNet
>> >> >> Recursos, Soporte y Comunidad TI
>> >> >> http://www.microsoft.com/spain/tech...efault.asp
>> >> >>
>> >> >>
>> >> >> "Jose Mari Q" wrote in
>> >> >> message
>> >> >> news:
>> >> >> > Hola:
>> >> >> >
>> >> >> > He escaneado el ordenado en busca de troyanos utilizando la web
>> >> >> > de
>> >> >> > Sygate.
>> >> >> > Ésta me dice que tengo el puerto 23 abierto y que el posible
>> >> >> > troyano es
>> >> >> > el
>> >> >> > Tiny Telnet Service. Esoty detrás de un router, y tengo instalado
>> >> >> > el
>> >> >> > IIS
>> >> >> > aunque nunca lo he llegado a utilizar. He escaneado el ordenador
>> >> >> > con
>> >> >> > The
>> >> >> > Cleaner y no me ha detectado nada. Tengo en firewall del SP2 y
>> >> >> > sólo doy
>> >> >> > acceso al messenger, activesync y compartir archivos e
>> >> >> > impresoras. He
>> >> >> > lanzado
>> >> >> > el comando nestat -an y esto es lo que me indica. ¿Os parece que
>> >> >> > realmente
>> >> >> > tengo un troyano? ¿Lo que tengo en listening es "normal"?
>> >> >> > Conexiones activas
>> >> >> >
>> >> >> > Proto Dirección local Dirección remota Estado
>> >> >> > TCP 0.0.0.0:21 0.0.0.0:0 LISTENING
>> >> >> > TCP 0.0.0.0:25 0.0.0.0:0 LISTENING
>> >> >> > TCP 0.0.0.0:80 0.0.0.0:0 LISTENING
>> >> >> > TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
>> >> >> > TCP 0.0.0.0:443 0.0.0.0:0 LISTENING
>> >> >> > TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
>> >> >> > TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
>> >> >> > TCP 127.0.0.1:1026 0.0.0.0:0 LISTENING
>> >> >> > TCP 127.0.0.1:1035 0.0.0.0:0 LISTENING
>> >> >> > TCP 172.26.0.2:139 0.0.0.0:0 LISTENING
>> >> >> > UDP 0.0.0.0:445 *:*
>> >> >> >
>> >> >> >
>> >> >> > UDP 0.0.0.0:500 *:*
>> >> >> > UDP 0.0.0.0:1031 *:*
>> >> >> > UDP 0.0.0.0:1048 *:*
>> >> >> > UDP 0.0.0.0:2093 *:*
>> >> >> > UDP 0.0.0.0:3456 *:*
>> >> >> > UDP 0.0.0.0:4500 *:*
>> >> >> > UDP 127.0.0.1:123 *:*
>> >> >> > UDP 127.0.0.1:1900 *:*
>> >> >> > UDP 127.0.0.1:2273 *:*
>> >> >> > UDP 172.26.0.2:123 *:*
>> >> >> > UDP 172.26.0.2:137 *:*
>> >> >> > UDP 172.26.0.2:138 *:*
>> >> >> > UDP 172.26.0.2:1900 *:*
>> >> >>
>> >> >>
>> >> >>
>> >>
>> >>
>> >>
>>

Siga el debate Respuesta

Responder a este mensaje

Ads by Google

Troyanos

Preguntas similare

Leer las respuestas