Porte TCP che si aprono da sole...

[Santovasku]

nelle ultime tre settimane ho avuto un pò di problemi con la mia connessione internet e, smanettando alla ricerca di una soluzione, ho scoperto (grazie al comando netstat -a) che il mio pc ha la strana abitudine di aprire un sacco di porte TCP in locale e lasciarle aperte (status: LISTENING'), apparentemente senza alcuna ragione...

in pratica, a partire da quando lo accendo, il pc comincia ad aprire in locale tutte le porte TCP dalla 1024 alla 5000, lentamente ma senza tregua, fino a che dopo un'ora o due arrivo ad'avere 4000 porte tutte aperte con status 'LISTENING' che sembrano star lì a far nulla... praticamente dopo qualche ora la schermata di netstat è così:


Proto---Indirizzo locale------Indirizzo remoto-------Stato
TCP-----0.0.0.0:1025----------0.0.0.0:0--------------LISTENING
TCP-----0.0.0.0:1026----------0.0.0.0:0--------------LISTENING
TCP-----0.0.0.0:1027----------0.0.0.0:0--------------LISTENING

E così via, fino alla porta 5000 senza saltarne nessuna...


ora, sicuramente alcune di quelle avranno al loro funzione ma tutte le altre migliaia? io sono ignorante in materia di sicurezza e non vorrei fosse qualcosa di brutto...



ecco un pò di dettagli assortiti:

- uso WINDOWS 2000 PRO (+ Service Pack 2), il resto della configurazione la vedete nella sign... se volete altri dettagli su hardware/software, chiedete...

- questo strano comportamente non sembra legato all'essere connesso a internet: se accendo il pc ma non mi collego, lui pian piano le porte se le apre tutte lo stesso...

- parimenti, il comportamente non sembra legato a eventuali applicazioni in esecuzione: me lo fa anche se avvio il pc e lo lascio lì senza lanciare o eseguire nulla...

- riguardo eventuali applicazioni in esecuzione automatica, non tengo niente di pesante e cmq nè il taskmanager nè 'SiSoft Sandra 2003' rilevano niente di anomalo o indesiderato in esecuzione... se volete dettagli, chiedete pure...



ora passiamo a quello che ho già tentato:

- ho installato spybot 1.2 e l'ho aggiornato a ieri, non ha rilevato nulla di grosso a parte un dialer e due/tre vecchi spyware, che ho già eliminato... ci sarebbero pure una manciata di vecchie chiavi di registro in disuso ma non credo c'entrino nulla e cmq non mi azzardo a toccare... non si sa mai... :quipy:

- ho controllato con AVG7 aggiornato a ieri e non ho rilevato virus... idem con bitdefender provato tre ore fa...

- anti-trojan 5.5 aggiornato a oggi non ha rilevato nessun trojan attivo sui dischi o nel registro di sistema...

- non ho firewall installati...



credo di non aver dimenticato nulla, nel caso fatemelo notare... e grazie mille ha chi ha avuto la forza di leggersi tutto quello che ho scritto...

[scimmietta1]

prova a montare un firewall e collegati.. vedi se ti da qualche avviso, soprattutto riguardo a qualche programma che vuole accedere alla net..
fammi sapere

[tia86]

Originariamente inviato da Santovasku


Proto---Indirizzo locale------Indirizzo remoto-------Stato
TCP-----0.0.0.0:1025----------0.0.0.0:0--------------LISTENING
TCP-----0.0.0.0:1026----------0.0.0.0:0--------------LISTENING
TCP-----0.0.0.0:1027----------0.0.0.0:0--------------LISTENING

E così via, fino alla porta 5000 senza saltarne nessuna...

scaricati fport e scrivi il processo a cui sono correlate le porte aperte

[Phantom]

Installa sygate personal firewll e poi qualsiasi cosa che vuole entrare o uscire dal tuo pc dovrà essere autorizzata. Non passa niente su nessuna porta se non lo vuoi. Ne in entrata ne in uscita

Bye

[Santovasku]

Originariamente inviato da tia86
scaricati fport e scrivi il processo a cui sono correlate le porte aperte

fatto... il programma mi segnala che tutti i processi sono legati a un file chiamato XMDM.EXE che risiederebbe nella cartella C:\WINNT\system32 anche se andando a cotnrollare sto file non esiste, nemmeno abilitando l'opzione 'visualizza file nascosti o di sistema'....


cercando in giro x il web tramtie google ho notato parecchie altre persone con lo stesso problema, si sospetta sia un virus ma nessuno sembra aver trovato una soluzione e la maggior parte degi antivirus non lo rileva...
qualcuno ha qualche idea su cosa sia questo file e come liberarsene in caso sia effettivamente dannoso?



prima mi libero di questo intruso, poi mi metto un bel firewall così eliminiamo una votla x tutte il problema...

[tia86]

http://vil.nai.com/vil/content/v_100485.htm

[Santovasku]

thanks, ho giusto appena finito di provare a seguire le loro istruzioni ma anche in modalità provvisoria le chiavi di registro non mi permette di cancellarle, mi nega l'accesso... come faccio a liberarmene?

spybot non trova nulla nemmeno in provvisoria e bitdefender si rifuta proprio di partire... immagino l'antivirus mcafee sia la soluzione ma non mi pare sia freeware, quindi come procedo?

grazie x i suggerimenti...



PS: ho notato che oltre al file XMDM.EXE c'è pure un certo XDOOR3.EXE che porta la stessa data di creazione e puzza come un pesce morto... rimosso pure lui, tanto x gradire, ma tem che finchè non elimino le chiavi di registro non risolvo... :quipy:

[amvinfe]

Puoi tentare con Trojan Remover, non è free ma una volta risolto il problema (sempre che ci riesca) lo puoi disinstallare.
Una volta installato, aggiornalo.
http://www.simplysup.com/tremover/download.html



Marco(amvinfe)

[Santovasku]

a dire il vero lo avevo già scaricat ma non aveva trovato nulla, forse perchè non ro in mdalità provvisoria...

cmq adesso ho cancellato entrambi i file (XMDM.EXE e XDOOR3.EXE) e smanettando un pò con le autorizzazioni sono riiuscito a eliminare entrmabe le chiavi di registro, o così pare...
:mavieni:
fatto sta che al momento (dopo numerosi riavvii) il problema non c'è più, niente più porte aperte a caso e tutto sotto controllo... se è vero che i trojan non si riroducono come i virus e una olta eliminati i file non rispuntano più, dorei aver risolto... sperem...

appena sarò sicuro sia tutto a posto mi installerò un bel firewall decente, avrei pensato al McAfee che è compreso assieme all'antivirus ma non saprei... ce ne stanno troppi... :quipy:


cmq grazie mille a tutti del vostro aiuto, siete stati preziosissimi... questo piccolo trojan (BACKDOOR.AUZ) è poco diffuso e ancor meno noto, solo sul sito mcafee lo conoscevano e se non era x voi non lo avrei mai identificato... a buon rendere...

[Santovasku]

piccolo aggiornamento x i naviganti...

se fate uso abituale di client p2p (edonkey, emule, overnet) vi sconsiglio caldamente l'installazione di McAfee Viruscan: benchè eccellente e sempre aggiornato (mi ha aiutato a risolvere il mio problema) pare sia incompatibile con i suddetti programmi, dopo un pò vi chiude tutte le porte di connessione, sa lui perchè... insomma, m'è toccato disinstallarlo del tutto... pazienza, dovrò passare ad'altro...


pare che simile fato tocchi a chi installa il firewall zonealarm, anche se non tutti hanno esperienze simili... mi auguro di no eprchè avevo pensato proprio a lui come firewall... :quipy:


bon, paso e chiudo...