Me hackean continuamente
Hola, que tal, a ver si me puedes ayudar, llevo una temporada, que estoy formateando continuamente el ordenador y
cada vez que me conecto noto que o bien me hacen scaneos de puertos, o noto
conexiones raras en mi ordenador,
Hoy mismo recién formateado, le he dado a netstat -a, y me ha salido esto:
Conexiones activas
Proto Dirección local Dirección re
TCP mar-8bfb3d41856:epmap mar-8bfb3d41
TCP mar-8bfb3d41856:microsoft-ds mar-8
TCP mar-8bfb3d41856:1213 ip-68-178-15
blished
TCP mar-8bfb3d41856:1214 typepad.com:
TCP mar-8bfb3d41856:1215 213.150.62.1
TCP mar-8bfb3d41856:1216 211.152.33.2
TCP mar-8bfb3d41856:1222 n80-237-222-
WAIT
TCP mar-8bfb3d41856:1225 ns1.jaguarse
TCP mar-8bfb3d41856:1229 iracks.com:h
TCP mar-8bfb3d41856:1231 72-29-70-195
TCP mar-8bfb3d41856:1232 720plan.ovh.
TCP mar-8bfb3d41856:1234 ns1.jaguarse
TCP mar-8bfb3d41856:1236 74.4.232.72.
ISHED
TCP mar-8bfb3d41856:1238 217.212.240.
TCP mar-8bfb3d41856:1240 66.102.9.99:
TCP mar-8bfb3d41856:1244 ns1.jaguarse
TCP mar-8bfb3d41856:1245 66.102.9.99:
TCP mar-8bfb3d41856:1246 perso.wanado
TCP mar-8bfb3d41856:1249 ns1.jaguarse
TCP mar-8bfb3d41856:1252 38.101.111.1
TCP mar-8bfb3d41856:1259 ns1.jaguarse
TCP mar-8bfb3d41856:1260 ns1.jaguarse
TCP mar-8bfb3d41856:1261 ns1.jaguarse
TCP mar-8bfb3d41856:1025 mar-8bfb3d41
TCP mar-8bfb3d41856:10110 mar-8bfb3d41
UDP mar-8bfb3d41856:microsoft-ds *:*
UDP mar-8bfb3d41856:isakmp *:*
UDP mar-8bfb3d41856:1027 *:*
UDP mar-8bfb3d41856:1039 *:*
UDP mar-8bfb3d41856:1040 *:*
UDP mar-8bfb3d41856:1130 *:*
UDP mar-8bfb3d41856:1145 *:*
UDP mar-8bfb3d41856:4500 *:*
UDP mar-8bfb3d41856:ntp *:*
UDP mar-8bfb3d41856:1900 *:*
UDP mar-8bfb3d41856:ntp *:*
UDP mar-8bfb3d41856:1041 *:*
UDP mar-8bfb3d41856:1212 *:*
UDP mar-8bfb3d41856:1900 *:*
La más sospechosa es la que pone typepad.com, justo en ese momento estaba
utilizando el wordpad, curioso que luego no me ha vuelto a salir, a pesar
de abrirlo una y otra vez y estar tipeando continuamente,
Ademas solo tenia una página abierta en el navegador
Seria posible saber que dirección ip, de las de arriba podría ser por la
que se están conectando, la inmediatamente anterior es esta: 68.178.158.214
pero como no hice el netstat inmediatamente después de conectarme a
internet, cualquiera sabe
Forzosamente tienen que conectarse por una dirección ip, ¿o puede ser que
hayan conseguido acceso al sistema y no necesiten conexión? Es muy raro que
tenga firewall, antivirus (no muy bueno, también es verdad, el avg) y windows
actualizado y nada más conectarme y después de formatear el ordenador con
el cd de windows, ya tengan acceso, quizá no les haga falta conectarse
mediante http, pero el navegador es lo único que tenia abierto, y a las
únicas páginas a las que fui fueron a la de windows update y a actualizar
el antivirus
¿Cómo lo podría solucionar, o averiguar quien es y denunciarlo? Porque los
ataques son continuos
Saludos y muchas gracias de antemano
cada vez que me conecto noto que o bien me hacen scaneos de puertos, o noto
conexiones raras en mi ordenador,
Hoy mismo recién formateado, le he dado a netstat -a, y me ha salido esto:
Conexiones activas
Proto Dirección local Dirección re
TCP mar-8bfb3d41856:epmap mar-8bfb3d41
TCP mar-8bfb3d41856:microsoft-ds mar-8
TCP mar-8bfb3d41856:1213 ip-68-178-15
blished
TCP mar-8bfb3d41856:1214 typepad.com:
TCP mar-8bfb3d41856:1215 213.150.62.1
TCP mar-8bfb3d41856:1216 211.152.33.2
TCP mar-8bfb3d41856:1222 n80-237-222-
WAIT
TCP mar-8bfb3d41856:1225 ns1.jaguarse
TCP mar-8bfb3d41856:1229 iracks.com:h
TCP mar-8bfb3d41856:1231 72-29-70-195
TCP mar-8bfb3d41856:1232 720plan.ovh.
TCP mar-8bfb3d41856:1234 ns1.jaguarse
TCP mar-8bfb3d41856:1236 74.4.232.72.
ISHED
TCP mar-8bfb3d41856:1238 217.212.240.
TCP mar-8bfb3d41856:1240 66.102.9.99:
TCP mar-8bfb3d41856:1244 ns1.jaguarse
TCP mar-8bfb3d41856:1245 66.102.9.99:
TCP mar-8bfb3d41856:1246 perso.wanado
TCP mar-8bfb3d41856:1249 ns1.jaguarse
TCP mar-8bfb3d41856:1252 38.101.111.1
TCP mar-8bfb3d41856:1259 ns1.jaguarse
TCP mar-8bfb3d41856:1260 ns1.jaguarse
TCP mar-8bfb3d41856:1261 ns1.jaguarse
TCP mar-8bfb3d41856:1025 mar-8bfb3d41
TCP mar-8bfb3d41856:10110 mar-8bfb3d41
UDP mar-8bfb3d41856:microsoft-ds *:*
UDP mar-8bfb3d41856:isakmp *:*
UDP mar-8bfb3d41856:1027 *:*
UDP mar-8bfb3d41856:1039 *:*
UDP mar-8bfb3d41856:1040 *:*
UDP mar-8bfb3d41856:1130 *:*
UDP mar-8bfb3d41856:1145 *:*
UDP mar-8bfb3d41856:4500 *:*
UDP mar-8bfb3d41856:ntp *:*
UDP mar-8bfb3d41856:1900 *:*
UDP mar-8bfb3d41856:ntp *:*
UDP mar-8bfb3d41856:1041 *:*
UDP mar-8bfb3d41856:1212 *:*
UDP mar-8bfb3d41856:1900 *:*
La más sospechosa es la que pone typepad.com, justo en ese momento estaba
utilizando el wordpad, curioso que luego no me ha vuelto a salir, a pesar
de abrirlo una y otra vez y estar tipeando continuamente,
Ademas solo tenia una página abierta en el navegador
Seria posible saber que dirección ip, de las de arriba podría ser por la
que se están conectando, la inmediatamente anterior es esta: 68.178.158.214
pero como no hice el netstat inmediatamente después de conectarme a
internet, cualquiera sabe
Forzosamente tienen que conectarse por una dirección ip, ¿o puede ser que
hayan conseguido acceso al sistema y no necesiten conexión? Es muy raro que
tenga firewall, antivirus (no muy bueno, también es verdad, el avg) y windows
actualizado y nada más conectarme y después de formatear el ordenador con
el cd de windows, ya tengan acceso, quizá no les haga falta conectarse
mediante http, pero el navegador es lo único que tenia abierto, y a las
únicas páginas a las que fui fueron a la de windows update y a actualizar
el antivirus
¿Cómo lo podría solucionar, o averiguar quien es y denunciarlo? Porque los
ataques son continuos
Saludos y muchas gracias de antemano
Respuesta de adminsec
1
Para ver las conexiones que tienes y los procesos asociadas a ellas ejecuta:
1.- Inicio/ejecutar/cmd
2.- Netstat -nao
-N da la dirección ip en lugar del nombre dns
-A muestra los puertos a la escucha
-O da el PID (identificador de proceso)
3.-Con el PID nos vamos al administrador de tareas(inicio/ejecutar/taskmgr) hay que configurarlo antes (ver/seleccionar columna/marcar Identificador de proceso(PID)/Aceptar).
Con el PID que nos aparece ya sabemos que aplicación esta asociada a cada puerto visualizado por "netstat -nao"
De esta manera puedes ver si es algún virus...
Tambien probaria a ejecutar HijackThis y analizar los procesos que tienes en memoria en ese momento...
En cuanto al orden de instalación yo haría lo siguiente (corrígeme si no has hecho algo en este orden)
1.- Apagar router ó desenchufar modem
2.- Formatear PC
3.- Instalar firewall
4.- Instalar antivirus
5.- Salir a internet (windows update y actualizar antivirus)
Debes tener en cuenta que si sales a internet sin firewall y sin actualizar el sistema operativo, en cuestión de minutos tendrás algún virus dentro de tu pc...
Por otro lado, ¿tienes router con wifi?, ¿Tienes más equipos conectados a esa red?, ¿Qué firewall usas?, ¿Antivirus?
1.- Inicio/ejecutar/cmd
2.- Netstat -nao
-N da la dirección ip en lugar del nombre dns
-A muestra los puertos a la escucha
-O da el PID (identificador de proceso)
3.-Con el PID nos vamos al administrador de tareas(inicio/ejecutar/taskmgr) hay que configurarlo antes (ver/seleccionar columna/marcar Identificador de proceso(PID)/Aceptar).
Con el PID que nos aparece ya sabemos que aplicación esta asociada a cada puerto visualizado por "netstat -nao"
De esta manera puedes ver si es algún virus...
Tambien probaria a ejecutar HijackThis y analizar los procesos que tienes en memoria en ese momento...
En cuanto al orden de instalación yo haría lo siguiente (corrígeme si no has hecho algo en este orden)
1.- Apagar router ó desenchufar modem
2.- Formatear PC
3.- Instalar firewall
4.- Instalar antivirus
5.- Salir a internet (windows update y actualizar antivirus)
Debes tener en cuenta que si sales a internet sin firewall y sin actualizar el sistema operativo, en cuestión de minutos tendrás algún virus dentro de tu pc...
Por otro lado, ¿tienes router con wifi?, ¿Tienes más equipos conectados a esa red?, ¿Qué firewall usas?, ¿Antivirus?
Si... el orden de instalación lo sigo exactamente así... de cortafuegos uso el sygate, y de antivirus el avg, uso un modem-router de telefónica, y no tengo ningún ordenador conectado a la red...
De todas formas, creo que el problema ya se me habrá solucionado porque formatee el disco duro finalmente, y no me ha vuelto a apareceer lo del notepad, y luego me fije, en los mensajes del sygate y si que me salían unos mensajes muy raros como...
Application Hijacking has been detected
The application: C:\Archivos de programa\Windows NT\Accesorios\wordpad.exe
try to launch another application: C:\Archivos de
programa\Maxthon\Maxthon.exe to go to remote host whois.sc
¿Abajo me pone que wordpad intenta lanzar la aplicación maxthon... pero como
va a lanzar el wordpad el maxthon?, no es posible creo yo, ademas no me ha
vuelto a salir ese mensaje desde que formatee...
asi q yo creo q parece q todo esta en orden por fin,
saludos y muchas gracias por todo
De todas formas, creo que el problema ya se me habrá solucionado porque formatee el disco duro finalmente, y no me ha vuelto a apareceer lo del notepad, y luego me fije, en los mensajes del sygate y si que me salían unos mensajes muy raros como...
Application Hijacking has been detected
The application: C:\Archivos de programa\Windows NT\Accesorios\wordpad.exe
try to launch another application: C:\Archivos de
programa\Maxthon\Maxthon.exe to go to remote host whois.sc
¿Abajo me pone que wordpad intenta lanzar la aplicación maxthon... pero como
va a lanzar el wordpad el maxthon?, no es posible creo yo, ademas no me ha
vuelto a salir ese mensaje desde que formatee...
asi q yo creo q parece q todo esta en orden por fin,
saludos y muchas gracias por todo
