Windows SYSTEM PID 4 listando na porta 31337 (eleet)

2

Na minha caixa do Windows 7,

Eu tenho as seguintes portas abertas pelo processo do sistema.

Process PID     PROTO   LOCAL           REMOTE          State

System  4   TCP 0.0.0.0 445 0.0.0.0 0   LISTENING                                       
System  4   TCP 0.0.0.0 2869    0.0.0.0 0   LISTENING                                       
System  4   TCP 0.0.0.0 5357    0.0.0.0 0   LISTENING                                       
System  4   TCP 0.0.0.0 31337   0.0.0.0 0   LISTENING                                       

Eu não consigo encontrar o que o trojan é que está causando isso, eu fiz todas as buscas comuns do BO e o fato de que o PID 4 é relativo. Eu tentei ProcessExplorer e ainda não ajuda nenhuma idéia? Todos os antivírus que eu tentei Symantec, MalwareBytes e MS Security Essentials não retornam nada.

Fazendo um telnet para essa porta

telnet localhost 31337
Escape character is '^]'.
?
HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Thu, 16 Jan 2014 20:50:26 GMT
Connection: close
Content-Length: 326

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN""http://www.w3.org/TR/html4/strict.dtd">
<HTML><HEAD><TITLE>Bad Request</TITLE>
<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>
<BODY><h2>Bad Request - Invalid Verb</h2>
<hr><p>HTTP Error 400. The request verb is invalid.</p>
</BODY></HTML>
Connection closed by foreign host.

Onde posso começar a procurar?

Acontece que este era um serviço chamado "VirtualRouter" que criava um serviço HTTP. A desinstalação resolveu o problema. MSConfig foi a ferramenta chave na desativação de serviços. Também começando com "V" no meu método de pesquisa binária para diminuir o serviço. foi o último serviço que eu tentei! Ufa feliz por não ser um trojan!

    
por vajonam 16.01.2014 / 22:36

2 respostas

0

Algumas coisas para tentar:

  • Use o MSConfig para desativar todos os serviços que não são de MS e programas de inicialização de terceiros. Se não estiver mais ouvindo, ligue-as uma por vez até encontrar o culpado.

  • Execute netstat -ab em um prompt de comando elevado para obter informações diferentes sobre as portas. Se for um "Svchost" escutando nessa porta, comece a desabilitar os serviços até descobrir qual serviço é o culpado.

por 16.01.2014 / 22:57
0

Acontece que este era um serviço chamado "VirtualRouter" que criava um serviço HTTP. A desinstalação resolveu o problema. MSConfig foi a ferramenta chave na desativação de serviços. Também começando com "V" no meu método de pesquisa binária para diminuir o serviço. foi o último serviço que eu tentei! Ufa feliz por não ser um trojan!

    
por 16.01.2014 / 23:33