si asi es, hay alguna forma segura de saberlo o algunas herramientas ??


***********************************************


por cierto alguien sabe que es SYN_SENT ???

tengo duda en esta imagen


hay algo raro ?

SI SUPIERAS LA MITAD DE LO QUE SE .... JMB

Puedes usar el Netstat Agent y mirar si algun servicio y/o aplicación hace una conexión con una DNS (Extraña).

"The only thing they can't take from us are our minds."

No puedo poner imagen ¬¬!
Aún sigo sin avatar y firma...Pfff ¬¬

pues si miras la imagen es extraña ¡¡¡ o no ?

SI SUPIERAS LA MITAD DE LO QUE SE .... JMB

Ami me parece extraña, encima esta utilizando un puerto relativamente alta...normalmente los altos son los que no estan ocupados por los procesos normales.

ammm bueno

que os recomiendan

SI SUPIERAS LA MITAD DE LO QUE SE .... JMB

te acabo de contestar a tu MP

SYN_SENT- Activamente intentando establecer una conexión, en tu caso está intentando conectarse a 69.65.19.125...

Lo mas recomendable es que descargues el Netstat Agent () y mirar el protocolo TCP/UDP, buscar la aplicación que intenta conectarse a esa IP, y mirar si es un tanto extraña, si es alguno por default de microsoft (lo más seguro), pues no hay nada de que preocuparse, lo unico es que el firewall bloquea esa conexión por eso pone SYN_SENT...

"The only thing they can't take from us are our minds."

No puedo poner imagen ¬¬!
Aún sigo sin avatar y firma...Pfff ¬¬

nod32 bussines edition

tiene firewall personal

aqui esta una conexion de troyano en el proceso del msn y usa el puerto 2000



aqui estan dos troyanos uno en el puerto 2000 y otro en el puerto 81
inyectados en el `proceso del msn



sale mi ip local, pero si tienes una conexion foranea saldria un ip publico
con un iplocation sabrias la ciudad y la compañia de internet del lammer xD!!!

Saludos JMB

gracias man enseio que me as ayudado

JMB

SI SUPIERAS LA MITAD DE LO QUE SE .... JMB

Gracias a ustedes !!

en verdad me da gusto saber k sirven de algo mis opiniones o consejos!!

recibi tu mp gracias!!

Darksoldier205

Viendo tu nivel en configuración del Firewall del Eset podrías regalarnos un Tuto acerca de como configurarlo y de como vigilar nuestras conexiones desde este AV.


Gracias y espero lo tengas en cuenta

[Solo usuarios registrados pueden ver los links. REGISTRARSE]

Tambien se puede usar el Netstat Agent:

"The only thing they can't take from us are our minds."

No puedo poner imagen ¬¬!
Aún sigo sin avatar y firma...Pfff ¬¬

Si claro!!

hoy estoy en mi trabajo, pero me dare un tiempecito para hacer el tuto!!
mañana si dios quiere lo tendre listo y posteado!!

Saludos!!

misteriosamente

ya no me aparece esa ip


por lo pronto

SI SUPIERAS LA MITAD DE LO QUE SE .... JMB

esta aplicacion te puede ayudar para que observes que programas corren de inicio



algunos troyanos crean una clave de registro para correr de inicio ejemplo:



este es un server de poison ivy ahi se ve la ruta del archivo o bien al dar clik derecho seleccionas open file folder (el de bifrost no aparece aqui)

otros los puedes buscar de forma manual, seleccionando ver archivos ocultos, archivos ocultos de sistema operativo y mostrar extensiones para archivos de tipo conocido




siempre habra una carpeta oculta sospechosa que al abrirla confirmara nuestra sospecha



en el caso del troyano de Xxx-Zero-XXX estaba injectado en el proceso de iexplore.exe

Porque el estado era SYN_SENT...y habia un bloqueo en la conexión...ahora o no aparece, o está como ESTABLISHED

"The only thing they can't take from us are our minds."

No puedo poner imagen ¬¬!
Aún sigo sin avatar y firma...Pfff ¬¬

aparecio de new

la pc se me resetea uuuuuuuu

SI SUPIERAS LA MITAD DE LO QUE SE .... JMB

haz probado el manual de ver conexiones de la pc??

o el archivo strun ???

tienes un bicho en tu pc.. si vez que no te dejan trabajar en ella, desactiva la red, y busca carpetas ocultas en windows, system32, archivos de programa, file programs o en temporales..

ejecuta el archivo strun para ver los programas de inicio

el problema es encontrarlos, si observas que se regeneran utiliza el Hirens Boot V10 (entra en el miniwindows Xp) para borrar el contenido de la carpeta Recycler, System Volume Information, Temp, y el archivo o carpeta del trojano (no borres toda la carpeta temp, solo lo que se encuentra dentro)

Descarga Hirens Boot:

despues entras en modo normal y pasas el CCleaner,

-Limpiador
-Registro

Si no puedes ver archivos ocultos de systema ejecuta este scrip para Restaurar el registro
(es una modificacion del mata virus amvo)

ammmm

mira estas dos imagenes que me dices de esta


************************************************** ***********************************
esta otra mira
las que estan en negro son de una memoria que inserto mi hermana que por cierto la regañe jeje
las de verde es un auto infección con el spy-net
y la roja no se de que se alla creado alomejor de la misma que me ise yo, o no se mmmmmmm?????

SI SUPIERAS LA MITAD DE LO QUE SE .... JMB

aqui no hay conexiones sospechosas (lo reconoceras por el puerto 80 en el navegador de internet, si ves un puerto distinto debes vigilar esa conexion, el messenger utiliza otros puertos como el 1863, u otros puertos para el chat con tus contactos, pero jamas utilizaria el 2000, el 81 u otros parecidos) (puedes estar infectado con troyano pero si "No esta abierto el server" no aparece la conexion) es algo que debes vigilar



Bueno se ve un enjambre de virus, algunos pueden ser server tuyos, los que tu identifiques de la lista

el de rojo es es virus, empty pif esta de inicio tambien la recycler tiene una infeccion,
extension pif, puede ser algun virus !!!
la nueva carpeta no alcanzo a ver que tipo de archivo tiene!!




no probaste el archivo strun ??? para ver los programas de inicio??

Revisa bien la siguiente clave del registro.

HKCU\Software\Microsoft\Windows\CurrentVersion\Exp lorer\PINF

Me avisas si está la de PINF...

Saludos.

"The only thing they can't take from us are our minds."

No puedo poner imagen ¬¬!
Aún sigo sin avatar y firma...Pfff ¬¬

Usa el programa que dice darksoldier, y elimina el registro y entra a donde se encuentra el ejecutable, sino te deja verlo tienes que poner Herramientas-opciones de carpetas-Mostrar archivos ocultos y desactivar las opciones Ocultar archivos del sistema.. y Ocultar la extencion..( para fijarte bien que es xD )
y si no te deja borrarlo pues tiene que entrar en modo seguro para que no se inicie en un proceso y lo eliminas y listo

Si vez que si puedes ayudar, buen aporte brot eso si es hacer historia

[Solo usuarios registrados pueden ver los links. REGISTRARSE]

no no esta
************************************************** *********

si ya cale el startuprun
y no mas inicia el nod32

antes iniciaba estos que estan en negro y rrojo
pero creo que los de rojo son de intel

SI SUPIERAS LA MITAD DE LO QUE SE .... JMB

mmm

Ese de: Audio C:Recycler/audio.exe
Tiene toda la pinta de ser virus!!

pero por tu comentario anterior, ya desactivaste todos los programas de inicio y solo esta el Nod32
Verdad??