Transferencia sin motivo

Ocasionalmente, al conectarme a internet, hay transferencia aunque no tenga ningún programa abierto.
Me he fijado en los servicios y no aparece nada sospechoso, tampoco parece que tenga virus ni spy, entonces pregunto: existe algún programa, utilidad o método para saber que ocasiona la transferencia?.

Notas:
Los servicios de internet, como msnm o windows update están dehabilitados.
Una vez que me reconecto (cambio de IP), normalmente la transferencia se detiene.

Amigo creo que tienes un troyano, cuando cambias de ip el atacante no te detecta enseguida, en cuanto es detectado nuevamente tu ip el troyano comienza a trabajar como servidor ya que envía tu ip nuevo al atacante.
Te recomiendo correr antivirus potentes como es el casos de kaspersky una ves que tienes el antivirus instalado y actualizado desconéctate de Internet apagando el modem o desconectando el cable y ejecuta el antivirus. Que los troyanos generan puertas traseras... por eso ejecuta el antivirus con conexión a Internet totalmente desconectada
es mi humilde sugerencia
PD si no tienes instala también un cortafuegos

mira hace un netstat -ab en win xp
y en linux netstat -aux >> netstat.txt
y lo mandas

bueno tienes qye abrir la consola.
Inicio --> ejecutar --> Cmd y se habre la consola
si quieres que de quede en el escritorio
debes ahcer un
cd escritorio, cuando tengas el archivo lo mandas por el foro

OK, ahí va:

Microsoft Windows XP [Versión 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

E:\Documents and Settings\Dieter.DEFAULT>cd escritorio

E:\Documents and Settings\Dieter.DEFAULT\Escritorio>netstat -ab

Conexiones activas

Proto Dirección local Dirección remota Estado PID
TCP default:echo default:0 LISTENING 108
[tcpsvcs.exe]

TCP default:discard default:0 LISTENING 108
[tcpsvcs.exe]

TCP default:daytime default:0 LISTENING 108
[tcpsvcs.exe]

TCP default:qotd default:0 LISTENING 108
[tcpsvcs.exe]

TCP default:chargen default:0 LISTENING 108
[tcpsvcs.exe]

TCP default:http default:0 LISTENING 1720
[Apache.exe]

TCP default:epmap default:0 LISTENING 924
e:\windows\system32\WS2_32.dll
E:\WINDOWS\system32\RPCRT4.dll
e:\windows\system32\rpcss.dll
E:\WINDOWS\system32\svchost.exe
-- componentes desconocidos --
[svchost.exe]

TCP default:microsoft-ds default:0 LISTENING 4
[Sistema]

TCP default:3306 default:0 LISTENING 1868
[mysqld-nt.exe]

TCP default:1030 default:0 LISTENING 3228
[alg.exe]

TCP default:netbios-ssn default:0 LISTENING 4
[Sistema]

UDP default:chargen *:* 108
[tcpsvcs.exe]

UDP default:isakmp *:* 704
[lsass.exe]

UDP default:microsoft-ds *:* 4
[Sistema]

UDP default:1046 *:* 1144
E:\WINDOWS\system32\mswsock.dll
e:\windows\system32\WS2_32.dll
e:\windows\system32\DNSAPI.dll
e:\windows\system32\dnsrslvr.dll
E:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]

UDP default:echo *:* 108
[tcpsvcs.exe]

UDP default:4500 *:* 704
[lsass.exe]

UDP default:discard *:* 108
[tcpsvcs.exe]

UDP default:1038 *:* 1144
E:\WINDOWS\system32\mswsock.dll
e:\windows\system32\WS2_32.dll
e:\windows\system32\DNSAPI.dll
e:\windows\system32\dnsrslvr.dll
E:\WINDOWS\system32\RPCRT4.dll
[svchost.exe]

UDP default:daytime *:* 108
[tcpsvcs.exe]

UDP default:qotd *:* 108
[tcpsvcs.exe]

UDP default:ntp *:* 1068
e:\windows\system32\WS2_32.dll
e:\windows\system32\w32time.dll
ntdll.dll
E:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP default:1900 *:* 1232
e:\windows\system32\WS2_32.dll
e:\windows\system32\ssdpsrv.dll
ntdll.dll
E:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP default:2619 *:* 3524
[IEXPLORE.EXE]

UDP default:netbios-ns *:* 4
[Sistema]

UDP default:ntp *:* 1068
e:\windows\system32\WS2_32.dll
e:\windows\system32\w32time.dll
ntdll.dll
-- componentes desconocidos --
[svchost.exe]

UDP default:netbios-dgm *:* 4
[Sistema]

UDP default:1900 *:* 1232
e:\windows\system32\WS2_32.dll
e:\windows\system32\ssdpsrv.dll
ntdll.dll
E:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP default:ntp *:* 1068
e:\windows\system32\WS2_32.dll
e:\windows\system32\w32time.dll
ntdll.dll
E:\WINDOWS\system32\kernel32.dll
[svchost.exe]

UDP default:1900 *:* 1232
e:\windows\system32\WS2_32.dll
e:\windows\system32\ssdpsrv.dll
ntdll.dll
E:\WINDOWS\system32\kernel32.dll
[svchost.exe]


E:\Documents and Settings\Dieter.DEFAULT\Escritorio>

LSASS.EXE .... parece ese es un virus.
si tengo tiempo vere los otros, si tienes windows xp, seria bueno que instalaras
http://www.microsoft.com/latam/athom...e/default.mspx
y le pases un antivirus online..

ademas a que te refieres con transferencia sin motivo, para empesar

Siempre y cuando esté dentro de la carpeta system32, este es un archivo válido del sistema

Saludos

Siempre es recomendable tener un antivirus y un antitroyano, ambos (virus y troyano) no funcionan de la misma forma, por lo mismo a veces el antivirus no lo detecta.

Antitroyano
The Cleaner

Bueno, con Ad-Aware apareció el Win32.Trojan.Downloader en 4 entradas del registro.

Cuando digo transferencia sin motivo me refiero a que sin estar activa ninguna aplicación que requiera una conexión a Internet, la transferencia igualmente se realiza.

Aunque esto solo me ha sucedido muy ocasionalmente, (1 en 50 veces aprox.) me gustaría saber si existe alguna manera de saber que aplicación o proceso está solicitando datos de la red... aunque no se trate de virus o troyanos, solo por curiosidad.
Creo que debería existir algún programa a tal efecto para monitorear lo que entra o sale de nuestras máquinas.

Muchas gracias por toda la ayuda. Estoy aplicando cada sugerencia.

Ese programa se llama Firewall, puedes descargar uno de este enlace.

Saludos

Utilizo el Firewall predeterminado de Windows.
¿Lo que dices es que algún otro me permitiría saber hacia o desde que programa se realizan las transferencias?
Gracias.

El firewall que tiene el Windows XP SP2 es muy básico, desactívalo e instala uno mas completo como el Sygate Personal Firewall en donde podrás ver las conexiones entrantes y salientes.

Saludos

PDTA: Lee el enlace de Firewall que te di, hay menciona como funciona un firewall