El caso es el siguiente, no soy ningún fiera en esto de la informática, así que no se si este es el apartado para formular esta pregunta, si no es este por favor indicadme cual es.
Tengo un ordenador al que recientemente se le ha puesto internet con telefonica y un router Xavy, uno blanco con antena al lado derecho, según telefonica este router no hace falta configurarlo en multipuesto y con IP dinamica porque ya viene configurado de serie.
Pues bien, una vez que enciendo el ordenador este accede bien a internet, pero cuando lleva un rato encendido cada vez la navegación se hace mas lenta hasta que deja de navegar, depues de llamar a telefónica en numerosas ocasiones y de pasarme cada vez con un informático distinto, hacer pings al router y a la página de cisco, y de comprobarme ellos el funcionamiento de la linea y ver que existe tráfico en la misma, uno de los informáticos me dijo que dede Ms Dos ejecutase el comando NETSTAT -N.
Una vez ejecutado salian un monton de números que no se interpretar, pero al final de todos ellos salia 445, y según el de telefonica esto es un gusano.
Tengo el Panda Platinum y no me detecta ningún virus.
Es problema del router?.
Si intento configurarlo con el disco que viene con el kit, a veces me dice que no consigue acceso al router, lo hago manualmente desde el asistente y me aparece una IP distinta a la que me da el IP CONFIG, que es la de siempre 192.168.1.1, y del ordenador tambien me da otra distinta a la que tiene realmente.
Le he hecho un escaneo de puertos desde esta página y me dice que estan todos cerrados, incluso me he metido en la configuración del router siguiendo el tutorial y tambien me salen todos cerrados, pero el problema persiste y ya me tiene desesperado.
El comando netstat -n lo he probado en otro ordenador que tengo en casa, y si cierro todos los programas que pueden acceder a la red no me sale nada, si abro por ejemplo, el explorer, overnet y el messenger y ejecuto de nuevo el comando me salen tambien unos números entre los que se encuentra el 80 el 4662 y alguno mas que no me acuerdo, pero a mi no me sale el famoso 445.
El ordenador que me da problemas está en una pequeña empresa y necesito acceder a internet, por el correo y porque lo necesito para conectarme a una central mediante una conexión segura que todavia me tienen que instalar, pero estando esto como está de momento no es posible.
Que hago, formateo todo, lo cargo de nuevo e instalo un antivirus antes de conectarme y que luego se actualice?, o es posible que esté mal el router? Le meto fuego?
Tiene Win XP SP2, pero según el de telefónica si se instaló el SP2 despues de que entrase el gusano, los parches de seguridad de los que dispone no hacen nada.
Si alguien sabe como puedo solucionar esto, le agradecería que me echase una mano, ya que necesito el ordenador.
Una vez ejecutado salian un monton de números que no se interpretar, pero al final de todos ellos salia 445, y según el de telefonica esto es un gusano
Cuando ejecutas ese comando, lo que hace es plasmarte las conexiones que estás ejecutando y activas.
Cada IP corresponde a una máquina o PC, si tienes muchas IPs y que indica NETSTAT que salen por el puerto 445, significa que un programa (gusano) está mandando a esas direcciones algo.
Tengo desactivado la función WI-Fi del router, o por lo menos eso creo, por que lo he reseteado en varias ocasiones y ya no se si está abierto o cerrado.
Una pregunta, si le quitas la antena al router sigue funcionado el WI FI?, es que a mi esa opción no me sirve para nada, el tema de tener un router es porque nos lo piden para poder instalar la conexión segura, que es con CISCO, antes teniamos modem ADSL, pero al parecer no valía.
Como estuvo funcionando un tiempo, es posible que entrase por ahí el gusano.
Gracias a todos los que estais respondiendo, a ver si puedo solucinarlo, gracias.
"Una pregunta, si le quitas la antena al router sigue funcionado el WI FI?, es que a mi esa opción no me sirve para nada, el tema de tener un router es porque nos lo piden para poder instalar la conexión segura, que es con CISCO, antes teniamos modem ADSL, pero al parecer no valía. "
No hay que llegar a esos extremos. Con no tener activada la opción wireless en el Router es suficinte.
Hola de nuevo, despues de leer y hacer casi todo lo expuesto aqui, no hay manera, me sigue pasando lo mismo.
He deshabilitado la restauración de sistema, he pasado todas las herramientas que he encontrado en la red, he metido los parches de windows, y esto sigue igual.
Me sale esto con el comando netstat.
Microsoft Windows XP [Versión 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
C:Documents and Settingsusuario>info 213.237.169.106
"info" no se reconoce como un comando interno o externo,
programa o archivo por lotes ejecutable.
C:Documents and Settingsusuario>ping 213.237.169.168
Haciendo ping a 213.237.169.168 con 32 bytes de datos:
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
Estadísticas de ping para 213.237.169.168:
Paquetes: enviados = 4, recibidos = 0, perdidos = 4
(100% perdidos),
C:Documents and Settingsusuario>ping 213.237.169.106
Haciendo ping a 213.237.169.106 con 32 bytes de datos:
Respuesta desde 213.237.169.106: bytes=32 tiempo=120ms TTL=49
Respuesta desde 213.237.169.106: bytes=32 tiempo=113ms TTL=49
Respuesta desde 213.237.169.106: bytes=32 tiempo=111ms TTL=49
Respuesta desde 213.237.169.106: bytes=32 tiempo=112ms TTL=49
Estadísticas de ping para 213.237.169.106:
Paquetes: enviados = 4, recibidos = 4, perdidos = 0
(0% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
Mínimo = 111ms, Máximo = 120ms, Media = 114ms
C:Documents and Settingsusuario>ping 198.84.204.237
Haciendo ping a 198.84.204.237 con 32 bytes de datos:
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
Tiempo de espera agotado para esta solicitud.
Estadísticas de ping para 198.84.204.237:
Paquetes: enviados = 4, recibidos = 0, perdidos = 4
(100% perdidos),
C:Documents and Settingsusuario>ping 198.30.120.173
Haciendo ping a 198.30.120.173 con 32 bytes de datos:
Respuesta desde 198.30.120.173: bytes=32 tiempo=195ms TTL=48
Respuesta desde 198.30.120.173: bytes=32 tiempo=180ms TTL=48
Respuesta desde 198.30.120.173: bytes=32 tiempo=182ms TTL=48
Respuesta desde 198.30.120.173: bytes=32 tiempo=180ms TTL=48
Estadísticas de ping para 198.30.120.173:
Paquetes: enviados = 4, recibidos = 4, perdidos = 0
(0% perdidos),
Tiempos aproximados de ida y vuelta en milisegundos:
Mínimo = 180ms, Máximo = 195ms, Media = 184ms
Sí, en los Windows XP/2000 es totalmente normal tener el 135 (RPC), el 445 (SMB) y el 500 (lsass) escuchando todo el rato. Yo ahora mismo los tengo así.
Y además, me pareció leer por ahí que es imposible dejar que lo hagan, a no ser que uno de esos Services Packs del XP (que no uso) lo haya remediado.
Pues yo he probado el netstat en mi ordenador y el famoso puerto 445 no me sale, según el informatico de telefonica es un gusano, y según he leido en la red hay un gusano que se aprovecha del 445 para colapsar la conexión.
El caso es que voy a formatear, a ver si así se quita el problema, espero que no sea uno de esos que se queda residente, porque si no la hemos jodido.
Es que ya no se que hacer, y como dije en mi primer post es el ordenador de una empresa, empresita, pero hace falta, sobre todo el correo y la navegación, no hay programas de descarga ni nada por el estilo, eso lo dejo para el de casa, que si peta es otra historia.
Yo desde luego, en mi Windows XP PRO y antiguamente en W2000 no tenía el 445 purulando por mi conexión, a no ser que explicitamente intentara usarlo un programa o un proceso.
"No entiendes realmente algo a menos que seas capaz de explicarselo a tu abuela." (Albert Einstein)
En mi Windows XP Pro virtual con el service pack 1 está el 445 escuchando, y en una instalación limpia de 2000 también (y ya he hecho unas cuantas).
Lo que pasa es que normalmente suele estar traducido a su nombre de protocolo (<b>microsoft-ds</b>). Si editas el archivo <b>C:WindowsSystem32driversetcservices</b>, antepones una almohadilla en las dos líneas del 445, de esta forma:
#microsoft-ds 445/tcp
#microsoft-ds 445/udp
... y vuelves a hacer el NETSTAT, te llevarás una sorpresa.
mced pero ese proceso de sistema, no está enviando o escuchando IPs que no sean la local.
TCP net-XXXXXX:445 net-XXXXXX:0 LISTENING
La dirección local y remota es la misma cuando es el proceso de sistema. (He puesto las cruces yo).
Según pastea esta persona, las IPs remota son diferentes.
Aún así, si en su netstat se indica el puerto 445, y obviamente no ha cambiado ni editado la configuración de services, esa situación del puerto 445 no es la misma.
Si intentas usar ese puerto con alguna aplicación o programa, eso te lo registra el netstat.
De todas formas, cuando le vaya lento, que ponga netstat -n para las conexiones activas.
Pero vamos, yo pienso que es un gusano.
Yo reitero que en mi WindowsXPPRO, no me registra tantisimas solicitudes desde el 445.
Me parece extraño.
De todas formas, que nos cuente si después de formatear se arregla.
Además, no están en Listening si no en SYN SENT.
"No entiendes realmente algo a menos que seas capaz de explicarselo a tu abuela." (Albert Einstein)
Con un firewall por software tendríamos la respuesta a todas estas preguntas. Kerio, además de detectar que un puerto está escuchando, también indica qué aplicación es la responsable.
Acabo de abrir el TCP 445 en el router. Esto es todo lo que me detecta Kerio en unos pocos minutos. Es obvio que ese 445 también está abierto a intentos remotos de conexión.
1,[09/May/2005 23:22:42] Rule '445': Blocked: In TCP, (null) [62.14.93.142:2475]->localhost:445, Owner: SYSTEM 1,[09/May/2005 23:22:45] Rule '445': Blocked: In TCP, (null) [62.14.93.142:2475]->localhost:445, Owner: SYSTEM 1,[09/May/2005 23:22:45] Rule '445': Blocked: In TCP, (null) [62.14.142.237:4047]->localhost:445, Owner: SYSTEM 1,[09/May/2005 23:22:47] Rule '445': Blocked: In TCP, (null) [62.14.142.237:4047]->localhost:445, Owner: SYSTEM 1,[09/May/2005 23:23:17] Rule '445': Blocked: In TCP, (null) [62.14.135.24:1481]->localhost:445, Owner: SYSTEM 1,[09/May/2005 23:23:20] Rule '445': Blocked: In TCP, (null) [62.14.135.24:1481]->localhost:445, Owner: SYSTEM 1,[09/May/2005 23:23:27] Rule '445': Blocked: In TCP, (null) [62.14.221.24:2861]->localhost:445, Owner: SYSTEM 1,[09/May/2005 23:23:30] Rule '445': Blocked: In TCP, (null) [62.14.221.24:2861]->localhost:445, Owner: SYSTEM 1,[09/May/2005 23:24:17] Rule '445': Blocked: In TCP, (null) [62.14.83.215:2959]->localhost:445, Owner: SYSTEM 1,[09/May/2005 23:24:20] Rule '445': Blocked: In TCP, (null) [62.14.83.215:2959]->localhost:445, Owner: SYSTEM 1,[09/May/2005 23:24:27] Rule '445': Blocked: In TCP, (null) [62.14.131.209:4710]->localhost:445, Owner: SYSTEM 1,[09/May/2005 23:24:30] Rule '445': Blocked: In TCP, (null) [62.14.131.209:4710]->localhost:445, Owner: SYSTEM
Nota: todas esas IPs son de Jazztel, como la mía. Los virus que aprovechan vulnerabilidades en el 445 intentan escanear primero ordenadores cercanos.
mced pero como ha dicho el autor del post, el router se lo acaba de poner Telefónica, me parece extraño que le deje el puerto 445 sin cerrar.
Además ejecutando netstat -n para conexiones activas , está bien presente el puerto 445, no sé , a mí me huele más a gusano/troyano/virus o alguna vulnerabilidad.
De todas formas, tu pc es tuyo, y lo tendrás a buen resguardo, pero el alo mejor no .
En fin, yo formatearía por si acaso, sobre todo por el tema de lentitud etc que ha comentado.
"No entiendes realmente algo a menos que seas capaz de explicarselo a tu abuela." (Albert Einstein)
En cuanto formatee os cuento como va la historia, no he tenido tiempo de hacerlo ya que lleva un rato largo, pero en cuanto lo tenga os comento.
De todos modos en mi ordenador, el de casa, no me sale el famoso 445, y en otros que he comprobado por curiosidad tampoco.
Esto es lo que me sale en el momento de escribir este post, tengo abiertas dos pantallas de navegación, el messenger abierto pero sin hablar con nadie y el panda.
Microsoft Windows XP [Versión 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.
