none
svchost.exe & Windows Operating System - Conexiones RRS feed

  • Pregunta

  • Hola que tal, tengo unas dudas sobre el proceso svchost.exe y otro llamado Windows Operating System (no se si se proceso o que es).

    reciben conexiones de diferentes direcciones ip y en diferentes puertos:

    Ej:

    svchost.exe
    200.121.64.12:6946
    201.234.211.15:53810
    200.117.210.187:63227
    190.104.78.57:21401
    31.44.150.210:1080
    186.3.157.158:34183
    200.88.75.202:62354
    201.152.148.65:26657
    etc:etc


    Windows Operative System
    190.212.115.87:64298
    94.254.121.253:3544
    189.76.209.146:25005
    68.202.25.195:62822
    etc:etc

    Aqui unas imagenes para que quede un poco mas claro!

    PD: No se si estoy infectado, pero he analizado mi equipo con muchos antivirus y antispayware y ninguno ha detectado nada, como ven bloqueo esas conexiones y no pasa nada, no veo ningun cambio, no se a que se deban ni para que se establescan,

    martes, 17 de abril de 2012 16:37

Respuestas

  • Buenas,

    Algunas conexiones viniendo de svchost.exe son normales, pero si te sigue inquietando el tema, puedes usar una gran herramienta llamada WHOIS, donde metes una IP y te dice a quien pertenece esa IP. La mayoría del tiempo, estas IP's van a pertenecer a Microsoft, o a algún otro servicio legitimo de internet. Si te sale otra cosa, pues puedes tener un virus. Sin embargo, me extraña que haya tantos en un plazo de tiempo tan corto.

    También fijate en la ubicación del svchost; si está en cualquier lugar ajeno a C:\Windows\System32, es probable que sea maligno. Esto lo puedes hacer fácilmente con el ProcessExplorer, o con el mismísimo administrador de tareas de Windows: http://technet.microsoft.com/es-es/sysinternals/bb896653

    Te he mirado unas cuantas IP's usando este WHOIS: http://whois.domaintools.com/

    Aqui una, la segunda de tu primera lista:

    inetnum:     201.234.208/20status:      reallocatedowner:       Global Crossing Comunicaciones Ecuador S.A.ownerid:     EC-GCCE-LACNICresponsible: Jorge Lamaddress:     Urbanizacion Iñaquito Alto, Calle Juan Diaz N37, 111, address:      - Quito - country:     ECphone:       +59 32 2264101 []owner-c:     NEA5tech-c:      ECL3abuse-c:     GCA2inetrev:     201.234.211/24nserver:     NS1.IMPSAT.NET.EC  nsstat:      20120426 AAnslastaa:    20120426nserver:     GYE.IMPSAT.NET.EC  nsstat:      20120426 AAnslastaa:    20120426created:     20050818changed:     20110802inetnum-up:  201.234.128/17

    Dado este resultado, y el de otros, te sugiero que usas alguna herramienta de antivirus reputable, hay muchas gratis por internet. También los puertos por los que se comunican estas IP's me parecen raros. Podrías adjuntar una foto de todos los procesos en ejecucción de tu máquina?

    Ah, y el proceso ese "Windows Operating System" no me parece en absoluto legítimo. Puedes hacer click derecho, mirarle las propiedades, y decirnos donde está ubicado? Quizas sea un nombre que le asigne ese programa a un proceso de Windows, pero es mejor verificar.

    Saludos, 

    Julian





    jueves, 26 de abril de 2012 19:28