Foro de elhacker.net

Bueno, estaba bajando torrents, luego apagué la pc y el router. Un rato después conecté un USB para ver una película... entonces, por curiosidad abrí netstat y me salio un puerto remoto como ESTABLISHED, con el router desconectado.

Luego averigué de quien era la IP, y resulta que es de la misma Microsoft, de la compañía en Washington.

Alguien tiene alguna idea de qué significa esto?
Se me ocurre que estaban monitoreando los torrents que descargaba pero cuando apareció ese puerto ni siquiera estaba conectado, sólo el USB.

Luego de eso, seguí bajando archivos, hasta que de la nada se bajó sólo un archivo de unos 200kb, .exe, que supuestamente era un juego. Obviamente no lo ejecuté porque pensé que era virus si o si, pero a partir de ese momento mi PC ha creado carpetas de la nada, cambiado permisos administrativos, el KIS se demoraba como nunca. Y ningun anti malware o el KIS me detectaba nada.

Tuve que reiniciar mi HP de fábrica, pero ahora tengo otros problemas, por ejemplo se me abren cientos de procesos de svchost.exe, en fin...

Normalmente pensaría que algunos de los archivos tenía un troyano, pero lo que no me explico es qué hacía la ip de la misma Microsoft como conexión remota en mi pc!

Alguien tiene alguna idea?

Saludos

Que puerto tiene la conexion, el pull de ips corresponden a microsoft, viste los dns, podria serr q esa ip o maquina este virulizada o troyanizada.

Todo indica de un troyano.

Hola

Actualmente no me aparece la conexión.
Me gustaría poder darte más información pero lamentablemente sólo pude ver el estado y la IP remota. Al momento lo busqué en google y todas las búsquedas decían que era una IP de Redmond, Washington, que le pertenecía a Microsoft.


He revisado esta web:

http://multirbl.valli.org/lookup/

y mi ip está como "Blacklisted" en 17 páginas, supuestamente por mail servers y spammer.


He pasado decenas de programas que deberían poder detectar troyanos - o al menos eso dicen- pero ninguno ha funcionado.

Sé que te doy pocos datos, pero en caso sea un troyano qué medidas puedo tomar?

tu ip es dinamica? es decir cambia cada cierto tiempo? porque puede ser que sea un pool de ip que haya sido baneado completo porque hay muchos bots

Es dinámica. Cada vez que se cambiaba, la revisaba y salía como blacklisted igual.

entonces no eres tu, es tu ip, sino capaz el pool completo posiblemente... la mia, que tengo unos dias con ella salia reportada con comentarios con comentario tipo "no le paguen a este host, no cumple" y cosas así

Qué significa lo del pool completo?

es decir la lista... por ejemplo tu isp te da una ip 5.5.5.10 y una mascara de red 255.255.255.64 quiere decir que el pool vendria siendo desde 5.5.5.0 hasta 5.5.5.63 esas 63 ip posiblemente sean las que repartan en una zona puntual y alguien decidió bloquearlas todas preventivamente

si, creo que tienes razón, de hecho me parece haber visto en alguna página toda esa lista.

Sé muy poco del tema...

La idea del troyano se descarta entonces?

no XD descarto solo la relacion con la pagina :P

realmente no se el porque esa conexion... tienes actualizaciones automaticas activadas?

Si la tengo activada.

Es posible que aparezca una IP remota como ESTABLISHED con el router apagado?

Sé que si porque me ha pasado, pero pregunto porque no le encuentro sentido..

con el router apagado? D:

ip stablished es que tiene una conexión abierta

no descarto la posibilidad que sea casualmente la computadora buscando actualizaciones o verificando la conexión, porque por otro lado, de ser un troyano, para que se conectaría a la ip de microsoft D:

lo mismo me pregunto, no tendría sentido...

No desvirtúes el hilo ok.

todos los días aproximadamente a esta hora crean una cuenta y meten 3 mensajes de spam en el foro, cuando veas eso, le das a "reportar" y lo reportas como spam, los moderadores siempre están atentos :P

ah ok, no hay problema

Hola,

Por qué piensas que se trata de un troyano?

Bueno, nadie me ha podido explicar el porqué de esa conexión, he investigado en todas partes y a nadie le ha pasado aparentemente. Ojalá el amigo que tenía la teoría del troyano visite este hilo y explique con más detalles porqué piensa eso, así al menos puedo tener una idea de que pasó.

Ahora, cuando busco mi IP, me sale esto: system has detected behavior from the IP address consistent with that of a mail server and dictionary attacker.

En otro foro me dijeron que si mi router estaba desconectado no había forma de que apareciera la conexión y por eso me cerraron el tema lol. Había entendido que si es posible... alguien puede al menos confirmar esto:

si el router está apagado puede aparecer una conexión remota como establecida?