tcp port 5000 Fermé

Question

bonjour!
J'ai un problème avec un truc appelé TCP port 5000. Quand zone lab le bloque tout va bien mais quand il apparait en action dans zone lab tout bloque.
Qu'est-ce donc? et comment m'en débarasser! Ne serait-ce pas un ver?!
merci pour votre réponse
koala

king · Answer

http://www.linklogger.com/TCP5000.htmun probable ver, un tit tour vers une désinfection ;-)

king · Answer

un tit complément:

Augmentation de l'activite sur le port 5000/TCP

--------------------------------------------------------------------------------

On observe depuis cette semaine une augmentation de l'activite sur
le port 5000/tcp.

Cette augmentation correspond avec l'apparition de nouveaux
vers Internet s'attaquant a des vulnerabilites de systemes
Windows.

Les systemes sont compromis de facon automatique lors d'un
processus assez transparent pour l'utilisateur. Les deux vers
en question sont Bobax et Kibuv.

Bobax
---

Il en existe deja 4 versions: A, B, C et D.

Bobax sonde l'Internet a la recherche de systemes Windows XP
(scans sur le port 5000/TCP).

Lorsqu'il en identifie, il tente de le penetrer en testant
sa vulnerabilite a diverses failles de securite identifiees
sur ces systemes:

- La faille LSASS (version A, B, C et D) au travers du port 445/tcp
- La faille RPC/DCOM (version C) au travers du port 135/tcp

Tout systeme infecte sonde le reseau a la recherche de nouvelles
cibles potentielles. Des qu'il en detecte, il lance l'attaque.

Il semblerait qu'il ait ete cree dans le but mettre sur
pied un gigantesque reseau permettant d'envoyer des
messages electroniques non sollicites (spam) a tres
grande echelle.

Le groupe LHURQ en propose une analyse assez interessante:
http://www.lurhq.com/bobax.html

source: www4.renater.fr

meskoalas · Answer

Salut King
Je pensais bien... même très néophite que je suis...que c'était un ver. merci de me le confirmer.
J'ai déjà scanner avec norton et secuser et ad aware et spybot.....et rien! Pas moyen de le dénicher mais je sais qu'il est là!
Je parviens à le stopper quand je vais ds gestionnaire de tache et je surveille zone lab, pour voir s'il revient.
Comment faire pour le détruire!
merci pour ton aide
koala

king · Answer

Alors:

Pour m'sieur Kibuv, tester:
http://securityresponse.symantec.com/avcenter/venc/data/w32.kibuv.b.html

Pour m'sieur Bobax,tester:
http://search.atomz.com/search/?sp-a=sp1002e9aa&sp-f=ISO-8859-1&sp-g=2&sp-q=Bobax&submit=Ok

Scanner sur toute les variantes si tu ne sais pas lequel c'est. Pour la soluce suffit (normalement) de cliquer sur les liens.

king · Answer

Si marche pas, plan B:-regarde avec ZoneAlarm quel nom il donne a la demande de connexion et fait une recherche avec win (on ne sait jamais)

king · Answer

C'est une bête recherche de windows lui-même: démarrer/rechercher (mais dans ce cas ci, je doute de l'utilité).

Fais un ctrl+ALT+delete et clic sur onglet Processus et cherche un exe qui pompe un max de ressources (si il te bloque tout, il doit être repérable).

En attendant tu peux demander à ZoneAlarm un refus de connexion définitif.

Si tu sais depuis quelle date ça coince, tu peux aussi demander une restauration sur date antérieure ou virer ce que tu as installé avant le problème.

Suis pas expère sur la question cela dit (tu as essayé le scan sur toutes les variantes?)

king · Answer

et c'est évidemment expert (je fatigue)

meskoalas · Answer

Oui, il y a processus inactif système, que j'avais repéré hier mais je ne sais pas quoi en faire!quant à zone alarm, il ne bloque pas à tous les coups l'entréedu "truc".??????????

king · Answer

le processus inactif système, ben tu n'en fais rien, ce sont les processus inactifs (le % non utilisé).

Pour zonealarm, faut lui dire de ne pas autoriser l'accès (petites croix rouges), il sera toujours dans la liste mais ne pourra pas se connecter.

Faut regarder ce qui pompe le plus sur l'utilisation mémoire, si le truc te bloque tout comme tu dis, c'est qu'il pompe beaucoup de ressources.

meskoalas · Answer

Bon, je vois rien d'autre ds le gestionnaire de tache, pourtant "il" est toujours là!
sachant que je suis à jour, que norton et secuser ont fait des recherches, s'il y avait bobax et kibuv, ils pourraient ne pas lesavoir détectés?
et "écoute zones sécurisés uniquement"... ça veut dire quoi?
sinon, j'ai vu à la suite d'une alerte précédente, qu'il y avait un rapport avec DNS ou DSN... c'est quoi?
Je suis désolée de toutes ces questions mais je voudrais pouvoir être sure de mon ordi...
re MERCI
koala

king · Answer

Bon pour ce que j'en sais:

écoute zones sécurisés uniquement: normalement ce serait tout ce qui touche a une connexion internet (généralement les zones sécurisées par défaut, celles qui sont en première ligne)

DNS: ce sont les domain name serveur (au passage, faut pas lire tout ce que raconte zonealarm, doit y avoir un millier de pings au bas mot. D'ailleurs il bosse tout seul, les messages sont purement informatifs, il a déjà réglé le pépin quand il y en a un).

Le kibuv et le bobax sont des vieux trucs connus qui devraient, normalement, être détectés depuis longtemps pour peu que ton antivirus soit à jour.

Finalement, je ne vois pas pourquoi tu dis que ça bloque:
C'est quoi le chiffre dans la colonne "processeur" pour processus inactif système?

meskoalas · Answer

le chiffre, c'est 99

king · Answer

Bah alors c'est bon, plus il est élevé, moins il bosse :-)
Sous l'onglet "performance" tu as aussi l'utilisation de l'uc, avec un joli graphic (pour mâter le boulot en cours).

De toute façon, si il y a un pompage anormal des ressources, ton PC va se mettre à ramer comme un malade.

king · Answer

Peut toujours être utile: http://cube10.free.fr/tuto/port5000.htmlPetit utilitaire pour fermer le vilain 5000 :-)

meskoalas · Answer

Aie!!! excuses, c'est encore moi!
je suis allée sur le site pour désactiver le port 5000.
Je n'arrive pas à télécharger le patch, en plus il parait qu'après il faut tout remettre manuellement et j'en suis pas capable.
J'ai essayé msconfig, mais je ne trouve pas "autostart" pour supprimer ssdpsrv.exe.
Et si le FBI conseille de le supprimer, comme c'est écrit!!!
sinon, par rapport au fait que le chiffre de processus inactif est élévé, c'est du à quoi?
merci encore pour tout, j'attend tes conseils pour supprimer le fichier.
à plus
koala

king · Answer

essaie ici, je l'ai téléchargé :-)

http://grc.com/UnPnP/UnPnP.htm

Le port 5000 sert apparemment à l'update plug and play ou à de sombres histoires de réseaux, style P2P (surnommé l'autoroute des vers, tout un programme).

Il est préférable de désactiver l'update automatique de windows, ça évite les emmerdes. En cas de faille critique, tu sais toujours récupérer le patch chez microsoft et l'installer en local.

Une reconnaissance du problème est affiché chez microsoft.

Si un ver bosse grave style pourriel, téléchargement, diffusion etc, ça devrait, en toute logique, faire bosser ton microprocesseur.

Quant le problème est actif (d'après ZoneAlarm), tu mâtes le processus inactif système, le chiffre devrait dégringoler grave (fait le test avec un programme gourmant en démarrant par exemple Photoshop ou Autocad etc, et mâte aussi l'activité UC).

Tu n'as peut-être pas le ver, au passage, si tu utilise des réseaux P2P, l'activité vient probablement de là.

meskoalas · Answer

....Suite!
j'ai désactivé l'update de windows et j'ai téléchargé le patch contre port 5000...tout en vérifiant zone alarme....rien à l'horizon mais ds le gestionnaire de tache...quoi que je trouve!..."tcp port 5000-internet explorer avec club internet". Il avait jamais fait ça avant et quand je ferme, je n'ai plus la page d'accueil club internet.
mais ça avance quand même!
allez à plus
koala

meskoalas · Answer

Bon, ben je crois que c'est bon....
"il" a disparu et ma bécane fonctionne toujours!!
un gros "smack" pour te remercier!!!!!
à bientot
koala
ps: à bientot, c'est vite dit.... j'espère que je n'aurais plus de problème!

meskoalas · Answer

King au secours!!!!!j'ai parlé trop vite, mais grace à toi je persévère.carpe diem vars!! spybot n'est pas parvenu à le détruire, il dit qu'il est actif quelque part.Comment je fais?

king · Answer

Ca commence à devenir gonflant :-)

Si tu as bloqué le port, il ne sais plus communiquer hein, sur le 5000 du moins, une variante bosse, apparemment, sur le 445 :-)

Spybot, je sais pas trop ce qu'il fait, sinan, vire Norton (c'est une passoire) et installe:

http://www.free-av.com/

La version perso est gratuite (mises à jour aussi), ça fait des années que j'ai celui-là et il a toujours tout neutralisé.
Il va faire un scan général du PC avant installation, puis installé tu cliques sur mise à jour (histoire de voir si il y a une nouvelle liste dispo).

De plus met le patch (si ce n'est déjà fait) sur faille LSASS, c'est dispo chez microsoft.

meskoalas · Answer

Merci encore pour ta fidélité!je peux pas virer norton... je paie, mais effectivement, je vais y penser à la fin de mon abonnement.En attendant, j'ai lu sur le forum des trucs sur le ver et j'ai fais comme ils disaient. J'ai installé ewido et lui, contrairement à ad aware et spybot, a réussi à neutraliser le ver. j'ai rescanner une troisième fois avec spybot et cette fois, il n'est plus là.effectivement le port 5000 a disparu et ça a du l'embêter!si j'ai persévéré, c'est vraiment grace à toi! car je n'y comprends rien à tous ces trucs et pourtant, il faut bien essayer!encore merci pour tout.koala

king · Answer

connais pas "ewido " mais si tu es finalement débarassé de l'emmerdeur, c'est le principal :-)

miage20 · Answer

slt pour moi j'ai un prb avec zone alam elle m'empeche de connecter a Net aprés la mis a jour dans langlet optionin internet/connexion ; elle m'empeche d'etablir la connexion ( elle selection jamais etablir une connexion )

Tcp port 5000

23 réponses

Discussions similaires

Newsletters