Esses dias tive um problema sério com virus e trojans. Até ai blz.. passei anti-spywares/anti-vírus e estava quase tudo beleza, quando testei um software que enviava pacotes streams para fora via porta 1040, a primeira vez que executei foi tudo ok, mas fiz uma parada para manutenção e quando habilitei novamente me deparei com uma situação muito estranha, o programa nao pode enviar mais os pacotes pela porta 1040 pois esta porta ja estava vendo usada. Estranho muito estranho.
Ai quiz saber quem é que estava usando essa maldita porta e é muito simples:
Primeiramente entre no prompt de comando (MS-DOS) e executar tudo via linha de comando.
Para listar o Idprocess que está usando uma determinada porta
C:\> netstat -o -a Conexões ativas Proto Endereço local Endereço externo Estado TCP minhamaquina:epmap minhamaquina:0 LISTENING 920 TCP minhamaquina:microsoft-ds minhamaquina:0 LISTENING 4 TCP minhamaquina:2030 minhamaquina:0 LISTENING 1708 TCP minhamaquina:3389 minhamaquina:0 LISTENING 860 TCP minhamaquina:5800 minhamaquina:0 LISTENING 1996 TCP minhamaquina:1042 minhamaquina:0 LISTENING 1996 TCP minhamaquina:1521 minhamaquina:0 LISTENING 868 TCP minhamaquina:3113 localhost:3591 ESTABLISHED 2920 TCP minhamaquina:3164 localhost:3591 ESTABLISHED 2920 TCP minhamaquina:3310 localhost:3311 ESTABLISHED 4080 TCP minhamaquina:3311 localhost:3310 ESTABLISHED 4080 TCP minhamaquina:3312 localhost:3313 ESTABLISHED 4080 TCP minhamaquina:3313 localhost:3312 ESTABLISHED 4080 TCP minhamaquina:3380 localhost:3583 ESTABLISHED 3500 TCP minhamaquina:3473 localhost:3583 ESTABLISHED 3500 TCP minhamaquina:3563 minhamaquina:0 LISTENING 2572 TCP minhamaquina:3566 minhamaquina:0 LISTENING 868 TCP minhamaquina:3581 minhamaquina:0 LISTENING 3200
E desta forma achei quem estava usando a porta 1042 que esta representado na linha 10.
Feito isso pode ser aberto o gerenciador de processos do windows e adicionar a coluna de ID de processos ou continuar no MS-DOS e fazer tudo por ali.
Agora tenho o processo 1996 e quero descobrir quem é esse cara
C:\>tasklist /FO list Nome da imagem Identi Nome da sessão Sessão# Uso de memór ========================= ====== ================ ======== ============ System Idle Process 0 Console 0 16 K System 4 Console 0 28 K smss.exe 568 Console 0 128 K csrss.exe 624 Console 0 3.096 K winlogon.exe 648 Console 0 7.872 K services.exe 692 Console 0 1.840 K lsass.exe 704 Console 0 3.192 K svchost.exe 860 Console 0 1.692 K svchost.exe 920 Console 0 1.464 K svchost.exe 996 Console 0 9.796 K svchost.exe 1036 Console 0 3.196 K svchost.exe 1140 Console 0 928 K GbpSv.exe 1296 Console 0 448 K alg.exe 1996 Console 0 32.000 K spoolsv.exe 1340 Console 0 1.000 K
Obs.: Caso tenha grep no windows
C:\> tasklist /FO list | grep -i "IDprocess"
E bingo achei o cara, um tal de alg.exe que ainda nao sei quem é exatamente, procurei na net e pode ser um virus ou algo do genero, porem ja desativei ele no micro e vamos ver como o micro se comporta sem esse cara.
Mas antes de apagar o arquivo temos que matar o processo, assim vamos matar pelo MS-DOS mesmo.
Para matar o processo
C:\>taskkill /PID 1996 /F
Acabei de iniciar o meu aplicativo na porta 1040 e esta funcionando perfeitamente, claro esse foi o meu caso, mas caso queira identificar qualquer aplicativo utilizando N portas no micro podes seguir este artigo que assim você pode localiza-lo mais rapidamente do que baixar um programa de terceiros para fazer isso por você.
Obs.:
o alg.exe realmente é um arquivo legitimo do windows
O arquivo deve estar obrigatoriamente na pasta system32
C:\Windows\System32\alg.exe
caso ele não esteja nesta pasta, ele esteja,por exemplo, na:
C:\Windows\system\alg.exe
C:\Windows\alg.exe
Ele é um malware.
ALG.EXE - Application Layer Gateway service is a component of of Windows OS. It is required if you use a 3rd party firewall or Internet Connection Sharing (ICS) to connect to the internet. Do not end this program in task manager - you will lose all internet connectivity until next restart or login.
2