netstat decine di connessioni

[l'evangelista]

Ciao,
questo il risultato di un netstat -an su un pc windows XP:


Connessioni attive

Proto Indirizzo locale Indirizzo esterno Stato
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1030 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING
TCP 82.51.145.142:3023 212.123.93.97:80 TIME_WAIT
TCP 82.51.145.142:3024 212.123.93.97:80 TIME_WAIT
TCP 82.51.145.142:3027 212.123.93.97:80 TIME_WAIT
TCP 82.51.145.142:3030 212.123.93.97:80 TIME_WAIT
TCP 82.51.145.142:3033 212.123.93.97:80 TIME_WAIT
TCP 82.51.145.142:3034 212.123.93.97:80 TIME_WAIT
TCP 82.51.145.142:14395 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1027 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1027 127.0.0.1:3019 TIME_WAIT
TCP 127.0.0.1:1027 127.0.0.1:3035 TIME_WAIT
TCP 127.0.0.1:1027 127.0.0.1:3037 TIME_WAIT
TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3004 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3016 127.0.0.1:1027 TIME_WAIT
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1028 *:*
UDP 0.0.0.0:3018 *:*
UDP 82.51.145.142:123 *:*
UDP 82.51.145.142:1900 *:*
UDP 82.51.145.142:2234 *:*
UDP 82.51.145.142:3011 *:*
UDP 82.51.145.142:15907 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:2234 *:*
UDP 127.0.0.1:3007 *:*

Cosa può esserci in questo pc?
QUesto il log di HijackThis

Logfile of HijackThis v1.98.2
Scan saved at 13.03.22, on 29/09/2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programmi\File comuni\Symantec Shared\ccSetMgr.exe
C:\Programmi\File comuni\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programmi\File comuni\Symantec Shared\ccProxy.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programmi\File comuni\Symantec Shared\ccApp.exe
C:\Programmi\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programmi\Messenger\msmsgs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\cmd.exe
C:\Programmi\Norton AntiVirus\SAVScan.exe
C:\Programmi\Internet Explorer\iexplore.exe
C:\Documents and Settings\computer\Desktop\HijackThis1982.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.exite.it/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmi\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {930E4DE1-973D-42D6-BF6E-6788E06BD003} - (no file)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programmi\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programmi\File comuni\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programmi\File comuni\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programmi\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\MSMSGS.EXE
O12 - Plugin for .mov: C:\Programmi\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096446948180
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EB691235-349D-4F6B-855B-F3B785374CFF}: NameServer = 81.74.229.227 151.99.125.1

le scansioni online di trendmicro, quelle in locale di norton, adware e spybot non hanno rilevato nulla (a parte qualche cookie).
Unica cosa sospetta, il messenger avviato automaticamente, ma possibile apra tutte quelle porte? (era solo avviato sul pc ma non connesso e loggato).

[Habanero]

direi che in linea di massima sembra normale...

considera che le porte in time wait sono vecchie connessioni in fase di chiusura e non sono aperte...

in ogni caso prova a rifare

netstat -anob

e posta il risultato.

posta anche il risultato di:

tasklist

[ZeroCool981]

non per dire ma k'unica connessione aperta, a parte localhost (127.0.0.1) è l'ip 82.51.145.142.

le connessioni 0.0.0.0 non esistono e sono fittizie.

[Habanero]

non esistono come connessioni ma sono porte in ascolto cioè aperte...e quindi sono potenziali future connessioni.

[davdie]

scusa ma netstat -anob nn esiste... o mi sbaglio?

[Habanero]

solo XP supporta i flag -o (fa vedere i PID dei processi associati) -b (fa vedere i nomi dei componenti associati)

[l'evangelista]

Ciao Habanero, grazie per le risposte.
Quanto a netstat -anob non sono riuscito ad eseguirlo, mi restituisce l'help di nestat.

Per il tasklist questo è il risultato:

Nome immagine PID Nome sessione Sessione Utilizzo mem
========================= ====== ================ ======== ============
System Idle Process 0 Console 0 20 K
System 4 Console 0 40 K
smss.exe 404 Console 0 52 K
csrss.exe 452 Console 0 1.932 K
winlogon.exe 484 Console 0 1.168 K
services.exe 528 Console 0 1.588 K
lsass.exe 540 Console 0 2.076 K
svchost.exe 704 Console 0 1.968 K
svchost.exe 748 Console 0 8.248 K
svchost.exe 836 Console 0 1.084 K
svchost.exe 868 Console 0 1.064 K
ccSetMgr.exe 920 Console 0 3.568 K
explorer.exe 1076 Console 0 9.256 K
ccEvtMgr.exe 1096 Console 0 2.348 K
spoolsv.exe 1288 Console 0 588 K
alg.exe 1380 Console 0 1.996 K
ccProxy.exe 1396 Console 0 3.716 K
rundll32.exe 1436 Console 0 532 K
ccApp.exe 1452 Console 0 8.540 K
UsrPrmpt.exe 1472 Console 0 60 K
ctfmon.exe 1496 Console 0 740 K
msmsgs.exe 1536 Console 0 3.280 K
NAVAPSVC.EXE 1584 Console 0 9.088 K
svchost.exe 1700 Console 0 356 K
SAVSCAN.EXE 1548 Console 0 636 K
wuauclt.exe 2096 Console 0 2.584 K
IEXPLORE.EXE 2516 Console 0 17.980 K
cmd.exe 2808 Console 0 1.472 K
wmiprvse.exe 2860 Console 0 4.948 K
tasklist.exe 2896 Console 0 4.032 K

[billiejoex]

Haba il suffisso -b in netstat non esiste.
Per le tue connessioni sembra tutto in ordine. Forse hai un po troppi servizi up che potresti chiudere come ad es l'upnp (5000 tcp) e qualche altro. Tempo fa habanero aveva postao un ottimo link in cui spiegava come chiudere manualmente tutte le porte nei sistemi 2000/nt.
Ad ogni modo, con un firewall non dovresti avere nessun problema dato che il risultato del tuo netstat è quello più comune.

[l'evangelista]

Ho connesso il pc ad internet, ho navigato tranquillamente per 5 minuti.
Poi molti siti non si sono piu aperti. Su mozilla.com mi dava il messaggio "impossibile aprire la pagina di ricerca", classico messaggio di quando la connessione non è disponibile. Riuscivo solo ad aprire www.exite.it, prima pagina del browser.
Nestat è diventato cosi:


Connessioni attive

Proto Indirizzo locale Indirizzo esterno Stato
TCP 0.0.0.0:135 0.0.0.0:0 LISTENING
TCP 0.0.0.0:445 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING
TCP 0.0.0.0:1030 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3376 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3377 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3378 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3379 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3382 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3383 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3384 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3385 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3386 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3387 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3388 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3390 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3391 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3392 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3393 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3394 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3395 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3396 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3397 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3398 0.0.0.0:0 LISTENING
TCP 0.0.0.0:3399 0.0.0.0:0 LISTENING
TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING
TCP 82.51.145.190:3338 195.22.198.30:80 TIME_WAIT
TCP 82.51.145.190:3340 195.22.198.30:80 TIME_WAIT
TCP 82.51.145.190:3347 207.68.171.232:80 TIME_WAIT
TCP 82.51.145.190:3349 195.22.198.30:80 TIME_WAIT
TCP 82.51.145.190:3355 151.1.141.66:80 TIME_WAIT
TCP 82.51.145.190:3378 212.123.93.97:80 ESTABLISHED
TCP 82.51.145.190:3379 212.123.93.97:80 ESTABLISHED
TCP 82.51.145.190:3388 212.123.93.97:80 ESTABLISHED
TCP 82.51.145.190:3389 212.123.93.97:80 ESTABLISHED
TCP 82.51.145.190:3390 212.123.93.97:80 ESTABLISHED
TCP 82.51.145.190:3392 212.123.93.97:80 ESTABLISHED
TCP 82.51.145.190:3394 212.123.93.97:80 ESTABLISHED
TCP 82.51.145.190:3395 212.123.93.97:80 ESTABLISHED
TCP 82.51.145.190:3396 212.123.93.97:80 ESTABLISHED
TCP 82.51.145.190:3397 212.123.93.97:80 ESTABLISHED
TCP 82.51.145.190:3399 213.205.44.57:80 CLOSE_WAIT
TCP 82.51.145.190:11315 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1027 0.0.0.0:0 LISTENING
TCP 127.0.0.1:1027 127.0.0.1:3372 TIME_WAIT
TCP 127.0.0.1:1027 127.0.0.1:3374 TIME_WAIT
TCP 127.0.0.1:1027 127.0.0.1:3376 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:3377 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:3382 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:3383 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:3384 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:3385 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:3386 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:3387 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:3391 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:3393 ESTABLISHED
TCP 127.0.0.1:1027 127.0.0.1:3398 FIN_WAIT_2
TCP 127.0.0.1:3001 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3002 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3003 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3004 0.0.0.0:0 LISTENING
TCP 127.0.0.1:3376 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:3377 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:3382 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:3383 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:3384 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:3385 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:3386 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:3387 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:3391 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:3393 127.0.0.1:1027 ESTABLISHED
TCP 127.0.0.1:3398 127.0.0.1:1027 CLOSE_WAIT
UDP 0.0.0.0:445 *:*
UDP 0.0.0.0:500 *:*
UDP 0.0.0.0:1028 *:*
UDP 0.0.0.0:3014 *:*
UDP 0.0.0.0:3019 *:*
UDP 82.51.145.190:123 *:*
UDP 82.51.145.190:1900 *:*
UDP 82.51.145.190:2234 *:*
UDP 82.51.145.190:3008 *:*
UDP 82.51.145.190:13322 *:*
UDP 127.0.0.1:123 *:*
UDP 127.0.0.1:1900 *:*
UDP 127.0.0.1:2234 *:*
UDP 127.0.0.1:3371 *:*


Devo però dire che le stesse pagine, su altro pc e diverso modem (sempre adsl) le ho cmq aperte con difficoltà. Posso stare tranquillo pure con un netstat cosi? (ovviamente metterò un firewall). XP è aggiornato.

[davdie]

Originariamente inviato da Habanero
solo XP supporta i flag -o (fa vedere i PID dei processi associati) -b (fa vedere i nomi dei componenti associati)

Io ho xp pro e nn esiste la b, neanche se faccio help dei comandi di netstat...