Explorer.exe in ascolto su porta 33139 ?!?

[Santovasku]

vi sottopongo questo mio piccolo problema: sono utente di win2000 e da ieri il mio fido firewall Kerio mi segnala che il programma explorer.exe tenta connettersi in remoto tramite TCP ascoltando sulla porta 33139... attenzione: sto parlando proprio del programma explorer.exe e non del browser internet explorer (l'icona è diversa: un piccolo PC con monitor e tastiera).

Questa cosa a me pare tutt'altro che normale (mai accaduta prima!) e il mio sospetto è che si tratti di un trojan/backdoor contratto da quache parte, forse attraverso bittorrent o edonkey...


Ho dato un'occhiata su google e negli archivi di trend, norton e mcafee ma non ho trovato riscontri specifici, nel senso che non sono noti virus che usino quella porta... è perchè è una cosa nuova o è capitato già ad altri qui?


Ovviamente il mio firewall è settato x bloccare ogni tentativo di connessione non autorizzato e aldilà di tenermi questa porta TCP aperta e in ascolto non succede altro, ma gradirei davvero capire cosa succede e rimuovere il problema...


Se qualcuno pensa di potermi aiutare...

[zedzero]

Solitamente la porta per le connessioni ad internet è la 8080!!

Il tuo caso mi puzza un pò!!! Però non conosco virus che agiscono sulla 33139!!!

[Santovasku]

L'idea mia infatti è che sia una backdoor di qualche tipo, fino a ieri non esisteva proprio che Explorer.exe rimanesse in ascolto sulla porta 33139 tentando di connettersi all'esterno... purtroppo non ho trovato riscontri in giro circa quella porta, che si tratti di un nuovo virus?

ho fatto una scansione con spybot aggiornato e non mi rileva nulla, x farvi capire meglio, vi allego una scansione della schermata che mi appare sotto Kerio firewall.

come vedete, pure l'icona è sospetta... è differente da quelle classiche di sistema usate x SVCHOST.EXE, LSASS.EXE e MSTASK.EXE


mi pare curioso non aver trovato riscontri da nessuna parte, qualche esperto può darmi un parere? Amvinfe, nostro sommo mod, tu che ne pensi di questa cosa?

[tia86]

scaricati tcpview e controlla se quel explorer.exe risiede nella cartella di windows.
se nn risiede lì cancellalo

[Santovasku]

Originariamente inviato da tia86
scaricati tcpview e controlla se quel explorer.exe risiede nella cartella di windows.
se nn risiede lì cancellalo

tcpview lo uso già da tempo, e di fatto si tratta proprio del file explorer.exe residente sotto windows, ma questo mi dice poco... non era mai successa prima una cosa simile, ha cominciato ieri, magari è un virus che si attacca al file originale e lo dirotta x i propri fini...


x curiosità, ho provato ad allentare il firewall x vedere a chi tentava di connettersi, e ho visto che cerca di collegarsi a questi due indirizzi IP:

nessun nome [69.28.141.195], port 80, TCP

www.eurodns.com [82.92.65.10], port 80, TCP

EDIT: al primo tenta di connettersi aprendo sul mio pc la porta 1034, a quel tale eurodns.com invece usando la porta 1040.

qualcuno ha idea di cosa siano, a chi possano corrispondere e perchè il file explorer.exe dovrebbe tentare di connettervisi?

a me sembra tutto molto inusuale, tanto più che come ho detto è una novità delle ultime 24 ore, mai accaduto prima d'ora in olre un'anno che ho installato il firewall...


cmq sia, ho passato il disco con lo STINGER della McAfee in modalità provvisoria e ho provato anche a installare l'edizione gratuita di bitdefender 7.2, aggiornando le firme... nessun riscontro in entrambi i casi, ma qualcosa ha da essere...


che si tratti di un nuovo virus? è l'unica cosa che riesco a pensare visto che non pare ancora elencato da nessuna parte...

[Santovasku]

aggiungo un'altra immagine di quanto riportato da kerio firewall, giusto x capirsi meglio... ditemi voi se vi sembra normale...

fra l'altro, il sito eurodns.com pare sia uno di quei posti dove si registrano i domini internet, qualcuno ha da spiegarmi x quale ragione un file come explorer.exe dovrebbe desiderare connettervisi... :quipy: