Tema: Mi pc esta poseido?

[eb_scrooge]

holas, vengo en busca de un poco de luz  :idea: sobre un asunto q me trae mu mosqueado desde ayer y sobretodo xq realmente no se desde cuando esta sucediendo. ademas el tema me tiene mu desconcertao xq no se a q s puede deber. entrando en materia, ayer me puse a logear absolutamente todo el trafico d mi pc, tanto entrante como saliente, y m encuentro con esto:
NETBIOS SALIENTE
[13/Apr/2004 16:52:23] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102.xxx.xxx:137, udplen:50
[13/Apr/2004 16:52:29] Last message repeated 4 times
[13/Apr/2004 16:52:29] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102..xxx.xxx:137, udplen:50
[13/Apr/2004 16:52:35] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102..xxx.xxx:137, udplen:50
[13/Apr/2004 16:53:08] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102..xxx.xxx:137, udplen:50
[13/Apr/2004 16:53:11] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102..xxx.xxx:137, udplen:50
[13/Apr/2004 16:53:11] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102..xxx.xxx:137, udplen:50
[13/Apr/2004 16:53:17] Last message repeated 4 times
[13/Apr/2004 16:53:51] DROP "Default traffic rule" packet to INTERNET, proto:UDP, len:78, ip/port:192.168.0.1:137 -> 66.102..xxx.xxx:137, udplen:50
[13/Apr/2004 16:53:59] Last message repeated 4 times

esto lo hace constantemente, intenta conectarse a ip's arbitrarias, hace un numero indeterminado d intentos a una ip y tras un periodo tambien indeterminado d tiempo cambia a otra ip totalmente diferente. he pasado antivirus (nod) y aparentemente tampoco hay ningun proceso extraño ejecutandose.

NETBIOS ENTRANTE
el caso es q tiene cierta similitud con la gran cantidad de accesos q bloquea en sentido contrario, de otros pc's a mi netbios, a los q termine acostumbrandome y no dandoles muxa importancia (deje d logear el netbios xq me generaba logs d megas diarios):

[13/Apr/2004 16:54:34] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:229, ip/port:80.24.183.164:138 -> 80.24.xxx.xxx:138, udplen:201
[13/Apr/2004 16:54:35] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:202, ip/port:80.24.183.135:138 -> 80.24.xxx.xxx:138, udplen:174
[13/Apr/2004 16:54:35] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:78, ip/port:80.24.183.135:137 -> 80.24.xxx.xxx:137, udplen:50
[13/Apr/2004 16:54:39] Last message repeated 3 times
[13/Apr/2004 16:54:39] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:202, ip/port:80.24.183.135:138 -> 80.24.xxx.xxx:138, udplen:174
[13/Apr/2004 16:54:39] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:78, ip/port:80.24.183.135:137 -> 80.24.xxx.xxx:137, udplen:50
[13/Apr/2004 16:54:44] Last message repeated 3 times
[13/Apr/2004 16:54:44] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:202, ip/port:80.24.183.135:138 -> 80.24.xxx.xxx:138, udplen:174
[13/Apr/2004 16:54:44] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:78, ip/port:80.24.183.135:137 -> 80.24.xxx.xxx:137, udplen:50
[13/Apr/2004 16:54:48] Last message repeated 3 times
[13/Apr/2004 16:54:48] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:211, ip/port:80.24.183.135:138 -> 80.24.xxx.xxx:138, udplen:183
[13/Apr/2004 16:55:26] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:233, ip/port:80.24.183.164:138 -> 80.24.xxx.xxx:138, udplen:205
[13/Apr/2004 16:56:17] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:202, ip/port:80.24.183.164:138 -> 80.24.xxx.xxx:138, udplen:174
[13/Apr/2004 16:56:18] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:78, ip/port:80.24.183.164:137 -> 80.24.xxx.xxx:137, udplen:50
[13/Apr/2004 16:56:22] Last message repeated 3 times
[13/Apr/2004 16:56:22] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:202, ip/port:80.24.183.164:138 -> 80.24.xxx.xxx:138, udplen:174
[13/Apr/2004 16:56:22] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:78, ip/port:80.24.183.164:137 -> 80.24.xxx.xxx:137, udplen:50
[13/Apr/2004 16:56:26] Last message repeated 3 times
[13/Apr/2004 16:56:26] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:202, ip/port:80.24.183.164:138 -> 80.24.xxx.xxx:138, udplen:174
[13/Apr/2004 16:56:26] DROP "Default traffic rule" packet from INTERNET, proto:UDP, len:78, ip/port:80.24.183.164:137 -> 80.24.xxx.xxx:137, udplen:50
[13/Apr/2004 16:56:30] Last message repeated 3 times


esta es una muestra de los bloqueos d netbios entrante q tampoco s hasta q punto es normal. sobretodo lo q m mosquea en lo q s refiere a netbios entrante son estas dos ip's del log y alguna mas q llevan meses asi. los intentos de estas ip's son constantes, ciclos como el del log s repiten 2 o 3 veces x hora y x ip. ademas todas estas ip's son de mi mismo proveedor y muy cercanas a la mia.

en fin, q si alguien me puede dar una idea sobre q puede estar ocurriendo con el  maldito netbios :evil:, sobretodo el saliente, le estaria agradecido.

SALU2

[Leandros]

Yo te recomendaría que si el netbios no lo utilizas, mejor lo desconectes.

Conexiones de red-(entras en propiedades de tu conexión)-Propiedades de Protocolo Internet TCP/IP-Opciones avanzadas-WINS- y aqui deshabilitar NetBios sobre TCP/IP

creo que es lo mejor que puedes hacer, y si se da el caso de que ya lo tenías desactivado, pues no tengo ni idea.

Saludos

[Dabo]

hola amigo, estoy buscando info sobre el tema, por casualidad y porque mi experiencia me dice que suele ser un caso a veces de spyware, hice esta busqueda sobre la IP en cuestion, (netbios saliente) y veo mucho follon con ella

http://www.google.es/search?num=20&hl=es&lr=&ie=UTF-8&oe=UTF-8&q=%22192.168.0.1:137%22

sigo mirando ok?? si estas online te podria hacer un escaneo de puertos para salir de dudas o al menos hacerme una idea mas clara


saludos :!:

[eb_scrooge]

en cuanto al tema de deshabilitar netbios lo he hexo en alguna ocasion xo si q lo necesito. la ip q has buscado es la ip interna d la lan, q es la ip q m saca como origen del intento d conexion a ip's publicas. ambas en el udp 137. cosa q m tiene mu desconcertao  :?

lo del escaneo no m vendria mal, he cambiado el kerio personal x su hermano y aun estoy trasteandolo. tu m diras como lo hacemos, tienes la ip?como t la paso?en cualquier caso avisame antes de empezar,ok?

[Dabo]

si te viene bien le doy ahora, desactivame el firewall para no falsear datos ok???

[eb_scrooge]

todo tuyo

[Dabo]

ok, ya te aviso cuando acabe y te lo posteo (ocultando la IP) procurare que sean lo mas fiables posibles asi que voy a saco, scann TCP y UDP "a pelo" , osea buscando la maxima veracidad, de esos que solo les haces a los amigos porque si no cualquier firewall se los comeria con patatas  :wink:  :lol:

empiezo  :!:

[Dabo]

ahora te lo comento amigo pero no te va gustar mucho, dame unos 20 min ok???

saludos

[eb_scrooge]

tomate tu tiempo, xo avisame pa cerrar puertas y ventanas q x lo q auguras no sera como pa tenerlo todo al aire.

[Dabo]

ok, te voy a meter un informe de lo mas completo pero te adelanto una "null session" , me temo que te estan entrando a saco por netbios, espera un momento y cuando te postee todo ya tomas medidas ok???

saludos y tranquilo que hoy queda resuelto