Título: Tengo un WinWhole Troyano Publicado por: soniadelarosag en 17 Junio 2012, 15:14 pm He ejecutado el ANT ADSL y tengo un winhole troyano en el puerto 808.
Al ejecutar netstat -a me sale lo siguiente. Por favor, me pueden decir si estos puertos son sospechosos? Me urge bastante.... de verdad. C:\Users\Sonia>netstat -a Conexiones activas Proto Dirección local Dirección remota Estado TCP 0.0.0.0:135 SoniaRosa:0 LISTENING TCP 0.0.0.0:445 SoniaRosa:0 LISTENING TCP 0.0.0.0:5357 SoniaRosa:0 LISTENING TCP 0.0.0.0:6646 SoniaRosa:0 LISTENING TCP 0.0.0.0:49152 SoniaRosa:0 LISTENING TCP 0.0.0.0:49153 SoniaRosa:0 LISTENING TCP 0.0.0.0:49154 SoniaRosa:0 LISTENING TCP 0.0.0.0:49155 SoniaRosa:0 LISTENING TCP 0.0.0.0:49156 SoniaRosa:0 LISTENING TCP 127.0.0.1:49617 SoniaRosa:56847 ESTABLISHED TCP 127.0.0.1:49627 SoniaRosa:56847 ESTABLISHED TCP 127.0.0.1:56847 SoniaRosa:0 LISTENING TCP 127.0.0.1:56847 SoniaRosa:49617 ESTABLISHED TCP 127.0.0.1:56847 SoniaRosa:49627 ESTABLISHED TCP 192.168.1.33:139 SoniaRosa:0 LISTENING TCP 192.168.1.33:49618 par08s09-in-f23:https ESTABLISHED TCP 192.168.1.33:49621 par08s09-in-f23:https TIME_WAIT TCP 192.168.1.33:49622 par08s09-in-f23:http ESTABLISHED TCP 192.168.1.33:49623 wb-in-f95:https ESTABLISHED TCP 192.168.1.33:49628 par03s01-in-f0:http ESTABLISHED TCP 192.168.1.33:49629 161.69.165.10:https ESTABLISHED TCP 192.168.1.33:49630 par03s01-in-f20:https ESTABLISHED TCP 192.168.1.33:49631 par03s01-in-f15:https ESTABLISHED TCP [::]:135 SoniaRosa:0 LISTENING TCP [::]:445 SoniaRosa:0 LISTENING TCP [::]:5357 SoniaRosa:0 LISTENING TCP [::]:49152 SoniaRosa:0 LISTENING TCP [::]:49153 SoniaRosa:0 LISTENING TCP [::]:49154 SoniaRosa:0 LISTENING TCP [::]:49155 SoniaRosa:0 LISTENING TCP [::]:49156 SoniaRosa:0 LISTENING UDP 0.0.0.0:68 *:* UDP 0.0.0.0:500 *:* UDP 0.0.0.0:3544 *:* UDP 0.0.0.0:3702 *:* UDP 0.0.0.0:3702 *:* UDP 0.0.0.0:3702 *:* UDP 0.0.0.0:3702 *:* UDP 0.0.0.0:4500 *:* UDP 0.0.0.0:5355 *:* UDP 0.0.0.0:59809 *:* UDP 0.0.0.0:63120 *:* UDP 0.0.0.0:64285 *:* UDP 127.0.0.1:1900 *:* UDP 127.0.0.1:54994 *:* UDP 127.0.0.1:56407 *:* UDP 127.0.0.1:56619 *:* UDP 192.168.1.33:137 *:* UDP 192.168.1.33:138 *:* UDP 192.168.1.33:1900 *:* UDP 192.168.1.33:6646 *:* UDP 192.168.1.33:51072 *:* UDP 192.168.1.33:56618 *:* UDP [::]:500 *:* UDP [::]:3702 *:* UDP [::]:3702 *:* UDP [::]:3702 *:* UDP [::]:3702 *:* UDP [::]:4500 *:* UDP [::]:5355 *:* UDP [::]:59810 *:* UDP [::]:63121 *:* UDP [::]:64286 *:* UDP [::1]:1900 *:* UDP [::1]:56617 *:* UDP [fe80::e164:d274:7e39:2dab%11]:546 *:* UDP [fe80::e164:d274:7e39:2dab%11]:1900 *:* UDP [fe80::e164:d274:7e39:2dab%11]:56616 *:* Título: Re: Tengo un WinWhole Troyano Publicado por: r32 en 19 Junio 2012, 17:57 pm Tienes varias conexiones activas (ESTABLISHED) casi todas de forma segura con https menos una...
Lo raro es que el puerto que comentas (808) no es usado por ninguna de esas conexiones. No comentas si tienes antivirus o si has escaneado en busca de algo raro. A unas malas sube un log de Hijackthis a ver si vemos algun proceso que no tenga que estar. Probaste pasar algun antivirus online? Hijackthis: http://www.trendmicro.com/ftp/products/hijackthis/HiJackThis.msi |