Tcp port 5000

Fermé
koala - 26 nov. 2005 à 20:20
 miage20 - 13 juin 2006 à 00:05
bonjour!
J'ai un problème avec un truc appelé TCP port 5000. Quand zone lab le bloque tout va bien mais quand il apparait en action dans zone lab tout bloque.
Qu'est-ce donc? et comment m'en débarasser! Ne serait-ce pas un ver?!
merci pour votre réponse
koala

23 réponses

http://www.linklogger.com/TCP5000.htm

un probable ver, un tit tour vers une désinfection ;-)
0
un tit complément:

Augmentation de l'activite sur le port 5000/TCP

--------------------------------------------------------------------------------



On observe depuis cette semaine une augmentation de l'activite sur
le port 5000/tcp.

Cette augmentation correspond avec l'apparition de nouveaux
vers Internet s'attaquant a des vulnerabilites de systemes
Windows.

Les systemes sont compromis de facon automatique lors d'un
processus assez transparent pour l'utilisateur. Les deux vers
en question sont Bobax et Kibuv.

Bobax
---

Il en existe deja 4 versions: A, B, C et D.

Bobax sonde l'Internet a la recherche de systemes Windows XP
(scans sur le port 5000/TCP).

Lorsqu'il en identifie, il tente de le penetrer en testant
sa vulnerabilite a diverses failles de securite identifiees
sur ces systemes:

- La faille LSASS (version A, B, C et D) au travers du port 445/tcp
- La faille RPC/DCOM (version C) au travers du port 135/tcp

Tout systeme infecte sonde le reseau a la recherche de nouvelles
cibles potentielles. Des qu'il en detecte, il lance l'attaque.

Il semblerait qu'il ait ete cree dans le but mettre sur
pied un gigantesque reseau permettant d'envoyer des
messages electroniques non sollicites (spam) a tres
grande echelle.

Le groupe LHURQ en propose une analyse assez interessante:
http://www.lurhq.com/bobax.html

source: www4.renater.fr
0
meskoalas Messages postés 32 Date d'inscription samedi 26 novembre 2005 Statut Membre Dernière intervention 8 novembre 2007 1
27 nov. 2005 à 15:23
Salut King
Je pensais bien... même très néophite que je suis...que c'était un ver. merci de me le confirmer.
J'ai déjà scanner avec norton et secuser et ad aware et spybot.....et rien! Pas moyen de le dénicher mais je sais qu'il est là!
Je parviens à le stopper quand je vais ds gestionnaire de tache et je surveille zone lab, pour voir s'il revient.
Comment faire pour le détruire!
merci pour ton aide
koala
0
Alors:

Pour m'sieur Kibuv, tester:
http://securityresponse.symantec.com/avcenter/venc/data/w32.kibuv.b.html

Pour m'sieur Bobax,tester:
http://search.atomz.com/search/?sp-a=sp1002e9aa&sp-f=ISO-8859-1&sp-g=2&sp-q=Bobax&submit=Ok

Scanner sur toute les variantes si tu ne sais pas lequel c'est. Pour la soluce suffit (normalement) de cliquer sur les liens.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Si marche pas, plan B:

-regarde avec ZoneAlarm quel nom il donne a la demande de connexion et fait une recherche avec win (on ne sait jamais)
0
meskoalas Messages postés 32 Date d'inscription samedi 26 novembre 2005 Statut Membre Dernière intervention 8 novembre 2007 1
27 nov. 2005 à 16:46
Salut!
Ca marche pas!
voilà ce qu'écrit zone alarm:
generic host process for win32 service
écoute du port tcp 5000
zone sécurisée uniquement
....il est là en ce moment!!!!!
c'est quoi une recherche avec win?
encore merci
koala
0
C'est une bête recherche de windows lui-même: démarrer/rechercher (mais dans ce cas ci, je doute de l'utilité).

Fais un ctrl+ALT+delete et clic sur onglet Processus et cherche un exe qui pompe un max de ressources (si il te bloque tout, il doit être repérable).

En attendant tu peux demander à ZoneAlarm un refus de connexion définitif.

Si tu sais depuis quelle date ça coince, tu peux aussi demander une restauration sur date antérieure ou virer ce que tu as installé avant le problème.

Suis pas expère sur la question cela dit (tu as essayé le scan sur toutes les variantes?)
0
et c'est évidemment expert (je fatigue)
0
meskoalas Messages postés 32 Date d'inscription samedi 26 novembre 2005 Statut Membre Dernière intervention 8 novembre 2007 1
27 nov. 2005 à 17:20
Oui, il y a processus inactif système, que j'avais repéré hier mais je ne sais pas quoi en faire!
quant à zone alarm, il ne bloque pas à tous les coups l'entréedu "truc".
??????????
0
le processus inactif système, ben tu n'en fais rien, ce sont les processus inactifs (le % non utilisé).

Pour zonealarm, faut lui dire de ne pas autoriser l'accès (petites croix rouges), il sera toujours dans la liste mais ne pourra pas se connecter.

Faut regarder ce qui pompe le plus sur l'utilisation mémoire, si le truc te bloque tout comme tu dis, c'est qu'il pompe beaucoup de ressources.
0
meskoalas Messages postés 32 Date d'inscription samedi 26 novembre 2005 Statut Membre Dernière intervention 8 novembre 2007 1
27 nov. 2005 à 17:42
Bon, je vois rien d'autre ds le gestionnaire de tache, pourtant "il" est toujours là!
sachant que je suis à jour, que norton et secuser ont fait des recherches, s'il y avait bobax et kibuv, ils pourraient ne pas lesavoir détectés?
et "écoute zones sécurisés uniquement"... ça veut dire quoi?
sinon, j'ai vu à la suite d'une alerte précédente, qu'il y avait un rapport avec DNS ou DSN... c'est quoi?
Je suis désolée de toutes ces questions mais je voudrais pouvoir être sure de mon ordi...
re MERCI
koala
0
Bon pour ce que j'en sais:

écoute zones sécurisés uniquement: normalement ce serait tout ce qui touche a une connexion internet (généralement les zones sécurisées par défaut, celles qui sont en première ligne)

DNS: ce sont les domain name serveur (au passage, faut pas lire tout ce que raconte zonealarm, doit y avoir un millier de pings au bas mot. D'ailleurs il bosse tout seul, les messages sont purement informatifs, il a déjà réglé le pépin quand il y en a un).

Le kibuv et le bobax sont des vieux trucs connus qui devraient, normalement, être détectés depuis longtemps pour peu que ton antivirus soit à jour.

Finalement, je ne vois pas pourquoi tu dis que ça bloque:
C'est quoi le chiffre dans la colonne "processeur" pour processus inactif système?
0
meskoalas Messages postés 32 Date d'inscription samedi 26 novembre 2005 Statut Membre Dernière intervention 8 novembre 2007 1
27 nov. 2005 à 18:05
le chiffre, c'est 99
0
Bah alors c'est bon, plus il est élevé, moins il bosse :-)
Sous l'onglet "performance" tu as aussi l'utilisation de l'uc, avec un joli graphic (pour mâter le boulot en cours).

De toute façon, si il y a un pompage anormal des ressources, ton PC va se mettre à ramer comme un malade.
0
Peut toujours être utile:
http://cube10.free.fr/tuto/port5000.html

Petit utilitaire pour fermer le vilain 5000 :-)
0
meskoalas Messages postés 32 Date d'inscription samedi 26 novembre 2005 Statut Membre Dernière intervention 8 novembre 2007 1
28 nov. 2005 à 12:19
Aie!!! excuses, c'est encore moi!
je suis allée sur le site pour désactiver le port 5000.
Je n'arrive pas à télécharger le patch, en plus il parait qu'après il faut tout remettre manuellement et j'en suis pas capable.
J'ai essayé msconfig, mais je ne trouve pas "autostart" pour supprimer ssdpsrv.exe.
Et si le FBI conseille de le supprimer, comme c'est écrit!!!
sinon, par rapport au fait que le chiffre de processus inactif est élévé, c'est du à quoi?
merci encore pour tout, j'attend tes conseils pour supprimer le fichier.
à plus
koala
0
essaie ici, je l'ai téléchargé :-)

http://grc.com/UnPnP/UnPnP.htm

Le port 5000 sert apparemment à l'update plug and play ou à de sombres histoires de réseaux, style P2P (surnommé l'autoroute des vers, tout un programme).

Il est préférable de désactiver l'update automatique de windows, ça évite les emmerdes. En cas de faille critique, tu sais toujours récupérer le patch chez microsoft et l'installer en local.

Une reconnaissance du problème est affiché chez microsoft.

Si un ver bosse grave style pourriel, téléchargement, diffusion etc, ça devrait, en toute logique, faire bosser ton microprocesseur.

Quant le problème est actif (d'après ZoneAlarm), tu mâtes le processus inactif système, le chiffre devrait dégringoler grave (fait le test avec un programme gourmant en démarrant par exemple Photoshop ou Autocad etc, et mâte aussi l'activité UC).

Tu n'as peut-être pas le ver, au passage, si tu utilise des réseaux P2P, l'activité vient probablement de là.
0
meskoalas Messages postés 32 Date d'inscription samedi 26 novembre 2005 Statut Membre Dernière intervention 8 novembre 2007 1
28 nov. 2005 à 15:19
....Suite!
j'ai désactivé l'update de windows et j'ai téléchargé le patch contre port 5000...tout en vérifiant zone alarme....rien à l'horizon mais ds le gestionnaire de tache...quoi que je trouve!..."tcp port 5000-internet explorer avec club internet". Il avait jamais fait ça avant et quand je ferme, je n'ai plus la page d'accueil club internet.
mais ça avance quand même!
allez à plus
koala
0
meskoalas Messages postés 32 Date d'inscription samedi 26 novembre 2005 Statut Membre Dernière intervention 8 novembre 2007 1
28 nov. 2005 à 15:50
Bon, ben je crois que c'est bon....
"il" a disparu et ma bécane fonctionne toujours!!
un gros "smack" pour te remercier!!!!!
à bientot
koala
ps: à bientot, c'est vite dit.... j'espère que je n'aurais plus de problème!
0
meskoalas Messages postés 32 Date d'inscription samedi 26 novembre 2005 Statut Membre Dernière intervention 8 novembre 2007 1
28 nov. 2005 à 16:30
King au secours!!!!!
j'ai parlé trop vite, mais grace à toi je persévère.
carpe diem vars!! spybot n'est pas parvenu à le détruire, il dit qu'il est actif quelque part.
Comment je fais?
0
Ca commence à devenir gonflant :-)

Si tu as bloqué le port, il ne sais plus communiquer hein, sur le 5000 du moins, une variante bosse, apparemment, sur le 445 :-)

Spybot, je sais pas trop ce qu'il fait, sinan, vire Norton (c'est une passoire) et installe:

http://www.free-av.com/

La version perso est gratuite (mises à jour aussi), ça fait des années que j'ai celui-là et il a toujours tout neutralisé.
Il va faire un scan général du PC avant installation, puis installé tu cliques sur mise à jour (histoire de voir si il y a une nouvelle liste dispo).

De plus met le patch (si ce n'est déjà fait) sur faille LSASS, c'est dispo chez microsoft.
0