Achar um processo via porta aberta no windows

Escrito por .rafa | Comments (2) | Trackbacks (0)

Esses dias tive um problema sério com virus e trojans. Até ai blz.. passei anti-spywares/anti-vírus e estava quase tudo beleza, quando testei um software que enviava pacotes streams para fora via porta 1040, a primeira vez que executei foi tudo ok, mas fiz uma parada para manutenção e quando habilitei novamente me deparei com uma situação muito estranha, o programa nao pode enviar mais os pacotes pela porta 1040 pois esta porta ja estava vendo usada. Estranho muito estranho.
Ai quiz saber quem é que estava usando essa maldita porta e é muito simples:

Primeiramente entre no prompt de comando (MS-DOS) e executar tudo via linha de comando.

Para listar o Idprocess que está usando uma determinada porta

C:\> netstat -o -a
Conexões ativas

Proto  Endereço local              Endereço externo     Estado
TCP    minhamaquina:epmap          minhamaquina:0        LISTENING       920
TCP    minhamaquina:microsoft-ds   minhamaquina:0        LISTENING       4
TCP    minhamaquina:2030           minhamaquina:0        LISTENING       1708
TCP    minhamaquina:3389           minhamaquina:0        LISTENING       860
TCP    minhamaquina:5800           minhamaquina:0        LISTENING       1996
TCP    minhamaquina:1042           minhamaquina:0        LISTENING       1996
TCP    minhamaquina:1521           minhamaquina:0        LISTENING       868
TCP    minhamaquina:3113           localhost:3591        ESTABLISHED     2920
TCP    minhamaquina:3164           localhost:3591        ESTABLISHED     2920
TCP    minhamaquina:3310           localhost:3311        ESTABLISHED     4080
TCP    minhamaquina:3311           localhost:3310        ESTABLISHED     4080
TCP    minhamaquina:3312           localhost:3313        ESTABLISHED     4080
TCP    minhamaquina:3313           localhost:3312        ESTABLISHED     4080
TCP    minhamaquina:3380           localhost:3583        ESTABLISHED     3500
TCP    minhamaquina:3473           localhost:3583        ESTABLISHED     3500
TCP    minhamaquina:3563           minhamaquina:0        LISTENING       2572
TCP    minhamaquina:3566           minhamaquina:0        LISTENING       868
TCP    minhamaquina:3581           minhamaquina:0        LISTENING       3200

E desta forma achei quem estava usando a porta 1042 que esta representado na linha 10.

Feito isso pode ser aberto o gerenciador de processos do windows e adicionar a coluna de ID de processos ou continuar no MS-DOS e fazer tudo por ali.

Agora tenho o processo 1996 e quero descobrir quem é esse cara

C:\>tasklist /FO list

Nome da imagem            Identi Nome da sessão    Sessão# Uso de memór
========================= ====== ================ ======== ============
System Idle Process            0 Console                 0         16 K
System                         4 Console                 0         28 K
smss.exe                     568 Console                 0        128 K
csrss.exe                    624 Console                 0      3.096 K
winlogon.exe                 648 Console                 0      7.872 K
services.exe                 692 Console                 0      1.840 K
lsass.exe                    704 Console                 0      3.192 K
svchost.exe                  860 Console                 0      1.692 K
svchost.exe                  920 Console                 0      1.464 K
svchost.exe                  996 Console                 0      9.796 K
svchost.exe                 1036 Console                 0      3.196 K
svchost.exe                 1140 Console                 0        928 K
GbpSv.exe                   1296 Console                 0        448 K
alg.exe                     1996 Console                 0     32.000 K
spoolsv.exe                 1340 Console                 0      1.000 K

Obs.: Caso tenha grep no windows
C:\> tasklist /FO list | grep -i “IDprocess”

E bingo achei o cara, um tal de alg.exe que ainda nao sei quem é exatamente, procurei na net e pode ser um virus ou algo do genero, porem ja desativei ele no micro e vamos ver como o micro se comporta sem esse cara.

Mas antes de apagar o arquivo temos que matar o processo, assim vamos matar pelo MS-DOS mesmo.

Para matar o processo

C:\>taskkill /PID 1996 /F

Acabei de iniciar o meu aplicativo na porta 1040 e esta funcionando perfeitamente, claro esse foi o meu caso, mas caso queira identificar qualquer aplicativo utilizando N portas no micro podes seguir este artigo que assim você pode localiza-lo mais rapidamente do que baixar um programa de terceiros para fazer isso por você.

Obs.:

o alg.exe realmente é um arquivo legitimo do windows
O arquivo deve estar obrigatoriamente na pasta system32
C:\Windows\System32\alg.exe
caso ele não esteja nesta pasta, ele esteja,por exemplo, na:
C:\Windows\system\alg.exe
C:\Windows\alg.exe
Ele é um malware.

ALG.EXE – Application Layer Gateway service is a component of of Windows OS. It is required if you use a 3rd party firewall or Internet Connection Sharing (ICS) to connect to the internet. Do not end this program in task manager – you will lose all internet connectivity until next restart or login.

GREP for Windows

Tags: , , , , , , , , ,
Categoria(s): Segurança, Sistemas Operacionais, Windows

Trackbacks & Pingbacks

No trackbacks/pingbacks yet.

Comments

Acertou na mosca!
rsrs…

Comentário por Junior on 29/1/2009 @ 07:48

Valeu Rafa… Essa dica me ajudou bastante hoje.

Comentário por Fabio on 30/6/2010 @ 16:41

Deixe um comentário

Quebras de linha e parágrafo automáticas, seu email nunca será mostrado, HTML permitido: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

(obrigatório)

(obrigatório)