Problema con puertos

RGM_Inc · Mensaje por **RGM_Inc** » 16 Jun 2005, 22:16

Buenas tardes, desde ayer he tenido un problema con los puertos de mi PC, yo utilizo el eMule y estaba configurado para que funcionara perfectamente con el Firewall de Windows XP, pero desde ayer me marcaba el error de que mis puertos TCP estaban bloqueados, algo que se me hizo raro por que estaba funcionando muy bien.

Asi que decido deshabilitar el firewall, pero mi sorpresa es que todavia siguen bloqueados los puertos, haciendo el analisis online para comprobar el firewall (el que tienen en su pagina) me sale que tengo uno activado y que no se pudieron hacer las pruebas por que no tuvo acceso a los puertos, igual sucede con otros analisis que hice, me marca que mis puertos estan protegidos seguramente por algun firewall.

Pero la cosa es que no tengo ninguno activado, eso paso de un dia para otro, solo que ahora no puedo utilizar ningun programa P2P por que los puertos estan cerrados, mi conexion es directa, no utiliza ningun router y no estoy detras de algun proxy.

Que puedo hacer, he pasado el Ad-Aware 1.06 y el Spybot Search & Destroy 1.4 actualizados, por si tenia alguna basura pero no han encontrado nada, tambien he pasado mi antivirus actualizado y un antivirus online pero tampoco ha encontrado nada, al igual que las utilidades EliStarA 9.1 y EliTriIP 1.43, todo esto en modo seguro, siguiendo las indicaciones de su tutorial.

Como es posible que me sigan marcando que tengo algun firewall o alguna otra cosa que tenga que me esta bloqueando, esto no creo que sea muy importante pero en el log de otro firewall (que tambien esta deshabilitado) me marca esto muchas veces solo que de direcciones y puertos diferentes pero todas van al mismo puerto de destino el 3159:

[quote]"Cortafuegos","13:15:31","TCP","200.47.172.141","2440","10.100.128.91","3159","---","---","Coincidencia con regla de seguridad"[/quote]

Con lo cual el CableModem siempre esta recibiendo datos, aunque no se se utilizando nada, agradeceria cualquier tipo de ayuda.

Mensaje por **msc hotline sat** » 17 Jun 2005, 05:48

Como que los cortafuegos por software pueden ser alterados por virus, conocidos y desconocidos, de los que aparecen a diario, y al usar P2P tienes una fuente de virus de todo tipo, cabe pensar en alguno que utilice dicho port para estar a la escucha un hacker remoto.

Por ello viendo que estas en Mex¡co he mirado de donde es la URL a la que hace referencia el informe, esto es, la 200.47.172.141m y sorprendentemente corresponde a Colombia.

Tienes alguna conexuin o aplicacion conocida al respecto ?

Si ello te sirve, cuentanoslo y si no, investiga al respecto. Para ver mas datos de dicha URL, puedes entrarla en whois.sc y te dará todos los datos.

saludos

ms, 17-06-2005

RGM_Inc · Mensaje por **RGM_Inc** » 17 Jun 2005, 22:21

No tengo ninguna conexion con esa IP, asi como las otras, son intentos de conexion para el emule, aunque si no se conecta no se por que esta intentando (supuestamente los puertos son invisibles), tambien he pasado el The Cleaner actualizado, y nada, aunque he visto que ciertos puertos permanecen abiertos con un escaneo del PCScanner de Internet Security Alliance Inc.

Hoy me he puesto en contacto con mi ISP pero hasta el momento no me han podido solucionar nada, parece que tienen otro tipo de problemas.

Mientras tanto quiero estar seguro que no sea algun programa lo que me esta bloqueando, asi que aqui les pongo mi log del hijackthis:

Logfile of HijackThis v1.99.1

Scan saved at 02:36:24 p.m., on 17/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDXP\System32\smss.exe

C:\WINDXP\system32\winlogon.exe

C:\WINDXP\system32\services.exe

C:\WINDXP\system32\lsass.exe

C:\WINDXP\system32\svchost.exe

C:\WINDXP\System32\svchost.exe

C:\WINDXP\Explorer.EXE

C:\WINDXP\system32\spoolsv.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

C:\Archivos de programa\Trend Micro\Internet Security 12\pccguide.exe

C:\WINDXP\system32\ctfmon.exe

C:\WINDXP\system32\nvsvc32.exe

C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe

C:\WINDXP\system32\svchost.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe

C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.mx

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\ARCHIV~1\FlashFXP\IEFlash.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDXP\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDXP\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [pccguide.exe] "C:\Archivos de programa\Trend Micro\Internet Security 12\pccguide.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDXP\system32\ctfmon.exe

O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?

O8 - Extra context menu item: &Búsqueda en Google - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://C:\Archivos de programa\Google\GoogleToolbar1.dll/cmbacklinks.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\ARCHIV~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDXP\system32\nvsvc32.exe

O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\ARCHIV~1\TRENDM~1\INTERN~1\PcCtlCom.exe

O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\ARCHIV~1\TRENDM~1\INTERN~1\Tmntsrv.exe

O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\TmPfw.exe

O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\ARCHIV~1\TRENDM~1\INTERN~1\tmproxy.exe

Si necesitan otro tipo de informacion me avisan, mientras trato de investigar un poco mas con mi ISP.

Mensaje por **msc hotline sat** » 18 Jun 2005, 05:47

Solo este "INVESTIGADOR" es sospechoso:

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

si lo conoces y lo instalaste voluntariamente, dejalo, pero si no, elimina dicha clave

Y nos cuentas el resultado, gracias

saludos

ms, 18-06-2005

RGM_Inc · Mensaje por **RGM_Inc** » 18 Jun 2005, 20:33

[quote="msc hotline sat"]Solo este "INVESTIGADOR" es sospechoso:

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

si lo conoces y lo instalaste voluntariamente, dejalo, pero si no, elimina dicha clave

Y nos cuentas el resultado, gracias

saludos

ms, 18-06-2005[/quote]

Esa hace referencia a la opcion del boton del Investigador del Encarta que se anexa al Internet Explorer:

[img]http://rgm.decemuladores.com/imagenes/invest.JPG[/img]

Ahora estoy seguro que el problema no es causa de algun virus, troyano o spyware, ya que he realizado numerosos analisis y no se ha encontrado nada, asi que solo me quedan dos opciones:

1- Que mi ISP sea el responsable del bloqueo (aunque sigo tratando de que me resuelvan algo).

2- Que por alguna extraña razon el firewall de Windows XP haya quedado trabado en modo de bloqueo de puertos, todo es posible con microsoft.

Agradeceria si encontraran alguna informacion que me pudiera ayudar.

Mensaje por **msc hotline sat** » 19 Jun 2005, 08:20

Dales un vistazo a estos dos Temas:

https://foros.zonavirus.com/viewtopic.php?t=7320&highlight=

https://foros.zonavirus.com/viewtopic.php?t=6781&highlight=isp+cortafuegos

saludos

ms, 19-06-2005