Что это за смесь китайского / арабского / корейского / японского пользователя, владеющего процессом, прослушивающим порт 139?

505
Joe Brown

При использовании инструмента проверки открытого порта (Technicians toolbox v1.1.0) я обнаружил странное имя пользователя, прослушивающее порт 139, скрывающееся в PID 4 со смесью китайских и других символов Юникода в качестве имени пользователя:

В списке нет ни командной строки, ни даты создания, ни пути к исполняемому файлу или устройству. Также программа не позволит мне отследить путь к файлу; это приходит с ошибкой. В диспетчере задач Windows PID 4 отображается как «Система».

Символы Unicode: 

U+548B U+0824 U+428D U+8B0C U+E84A U+C833 U+ACE8 U+F8A9 U+B8FF U+F680 U+7318 U+29E9 U+FBBA U+22FF U+9305 U+0219 U+005C

Переводчик Google перевел китайскую часть как «Ye Ge mad dog», смешанный с некоторой формой Unicode.

Согласно unicode-table.com, существует смесь арабского, корейского, японского, латинского и китайского языков с частными кодами блоков.

Я запускаю свой ноутбук через удлинитель Wi-Fi Belkin 600 с усилением Linksys WRT54GS, оба не имеют безопасности.

Кто-нибудь знает, что это? Должен ли я убить этот процесс?

7
Ваше сообщение просто из блока текста, его нелегко прочитать. Пожалуйста, отредактируйте свой пост и отформатируйте его; легко читать вопросы легче читать Dave 8 лет назад 0
Порт 139 - это порт, используемый для общего доступа к файлам и принтерам Windows. Это нормально для того, чтобы он был открыт для вашей внутренней сети (если это не ваша машина не может предлагать файлы или общие ресурсы для печати другим). Он не должен быть виден общедоступному Интернету, т. Е. Ваш маршрутизатор не должен передавать его, но большинство интернет-провайдеров не будут его маршрутизировать. Какой «инструмент проверки открытого порта» вы использовали? Jamie Hanrahan 8 лет назад 0
Инструментарий для технических специалистов v1.1.0 @JamieHanrahan Joe Brown 8 лет назад 0
Давайте посмотрим больше контекста, пожалуйста. Меньше вид листьев, больше лес. Jamie Hanrahan 8 лет назад 0
Еще для расследования: инструмент проверки портов также дает вам IP-адрес подключенного клиента? Если нет, то что делает что-то вроде `netstat -aon | найти "139" `дать вам? Учитывая этот IP-адрес, [whois] (http://whois.arin.net/) может дать вам некоторую подсказку о том, откуда они подключаются, при условии, что это не адрес в [частных диапазонах для локальных сетей] (https : //en.wikipedia.org/wiki/Private_network#Private_IPv4_address_spaces). Кроме того, вы говорите, что ваш WiFi не защищен? Тогда это может быть даже сосед (возможно, с зараженным компьютером), который подключается. Arjan 8 лет назад 1
@Arjan В списке нет ни командной строки, ни даты создания, ни пути к исполняемому файлу или устройству. Также программа не позволит мне отследить путь к файлу с ошибкой. Там нет IP-адрес в списке. Вот скриншот процесса и его параметров. (http://i.imgur.com/MHiVya2.png) Процесс представляет собой порт прослушивания с Pid 4 прямо под верхним окном. Joe Brown 8 лет назад 0
Ах, мой плохой: я думал, что вы каким-то образом видели имя пользователя подключившегося, но это имя пользователя процесса Windows. Тогда `netstat -aon | find "139" `может сказать вам, если кто-либо (в настоящее время) подключен. Очень низкий PID указывает, что это началось на очень ранней стадии, когда Windows запускается, я думаю, но я не использую Windows, поэтому я не уверен на 100% в этом. Можете ли вы увидеть того же странного пользователя в списке пользователей Windows, где-то на панели управления? Также: стандартный диспетчер задач Windows также может отображать PID; может быть, вы можете сказать, какая программа связана с этим тогда? Arjan 8 лет назад 1
@Arjan. Нет, я никогда не сталкивался с этим ни в одной части моего ноутбука и не имел IP-адреса и низкого PID 4, который указан как «system» в подробностях диспетчера задач, и что я не могу отследить путь к файлу процессов. причина, по которой я здесь пытаюсь найти ответы. Корейские символы, смешанные с японским и китайским, латинским и арамейским, символы - это нормально в строках Unicode? И как имя пользователя процесса? Спасибо, что заглянули в этот бутон. Joe Brown 8 лет назад 0
* «Корейские символы, смешанные с японскими и китайскими, латинскими и арамейскими символами, это нормально в строках Unicode?» * Это МОЖЕТ быть просто интерпретацией; если имя пользователя состоит из случайных байтов, то при попытке * интерпретировать * эти байты как Unicode (более конкретно: Unicode в кодировке UTF-8), вы можете увидеть эти забавные символы. Но если их интерпретировать с помощью другой кодировки (например, плохой, но иллюстративный пример: азбука Морзе или музыка), можно увидеть разные вещи. Но я думаю, что это не должно быть случайных байтов, чтобы начать с ... Arjan 8 лет назад 0
Кстати, * "без IP-адреса" *: я не вижу удаленного IP-адреса, это нормально. Удаленный IP-адрес `0.0.0.0` с удаленным портом` 0` указывает, что кто-либо МОЖЕТ подключиться (если ваш модем / маршрутизатор это позволяет), но я думаю, что в этом обзоре просто нет столбца, чтобы показать, что ВОЗ подключена, если кто-либо. Arjan 8 лет назад 0
@Arjan Нет Pid просто перечислите 4 как system вместе с множеством других процессов, которые выполняются в системе. И даже с помощью инструмента, который я использую, я все еще не могу отследить путь к файлу. Я в конце моего ноу-хау на этом. Ни у одного другого процесса нет имени пользователя, написанного на Unicode для того инструмента, который я использую. Я пытаюсь отследить путь к файлу в поисках вируса, угоняющего браузер, который попал в игру, загруженную на семейный ноутбук. Пока что это только угон браузеров на основе хрома Opera, Comodo и Google Chrome. Mozilla и IE, наконец, получили удар, теперь я использую Slim Browser. Joe Brown 8 лет назад 1
Просто к сведению: в Windows 7, запущенной в Parallels на Mac, я вижу имя пользователя `SYSTEM` в диспетчере задач Windows. И `netstat -aon | find "139" `также показывает PID 4 точно так же, как вы, и` netstat -abon` показывает много попаданий для этого PID 4, но также не показывает исполняемый файл ни для одного из них. Как для порта 139: `TCP 10.211.55.5:139 0.0.0.0:0 СЛУШАТЬ 4 Не удается получить информацию о владельце`. Arjan 8 лет назад 1
Ах, будьте осторожны: в диспетчере задач вы должны увидеть Image Name = System и User = SYSTEM, поэтому обязательно используйте меню «View» для включения столбцов, если это необходимо. В Windows 7 я вижу [this] (http://i.stack.imgur.com/rok45.png), включая Путь к изображению = `C: \ Windows \ system32 \ ntoskrnl.exe`, но без значения для командной строки , Arjan 8 лет назад 1

1 ответ на вопрос

2
moonpoint

Check the process with another tool such as TCPView from Microsoft. It will show process names with ports open with PID, protocol, local address, local port, remote address, remote port, as well as sent and received packets and bytes for each entry. Look for process ID 4 in its list. When you have located it, if you double-click on an entry, or right-click and choose "Process Properties", it will show the path and file name associated with the process. You could upload the file to Google's VirusTotal site, which checks uploaded files with multiple antivirus programs, to check whether it might be a system file that was replaced by malware, though it is possible that what you are seeing is due to some quirk of the tool. Once you have the location of the file associated with the process, you could right-click on it in the Microsoft Windows Explorer, choose "Properties", then select "Digital Signatures"; if it is a legitimate program, the name of the signer should be "Microsoft Corporation".

Another free tool that provides functionality similar to TCPView, is CurrPorts from NirSoft.

Спасибо, я все готов к запуску TCP и нескольких других программ Sysinternal, но без указанного IP-адреса и pid 4 «Система», которая запускает множество программ в Windows. Мне нужно запустить каждую программу, связанную с системным процессом, и приостановить TCP и Отследить сотни IP-адресов, которые я сделал и смог закрыть открытый порт, но не отследить зараженный файл. «К сожалению, что-то пошло не так», BSOD брал на себя запуск Windows, и я проследил его до 4 стран по нескольким IP-адресам. Joe Brown 8 лет назад 0
Ну да ладно, @Джо, если компьютер даже не запускается нормально, то это, вероятно, объясняет и странное имя пользователя, верно? Я бы просто [стереть все] (http://superuser.com/questions/100360/how-can-i-remove-malicious-spyware-malware-viruses-or-rootkits-from-my-pc). Arjan 8 лет назад 0
@ Джо Браун, если вы используете другие программы Sysinternals, [Autoruns] (https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx) иногда помогал мне определять незаконные программы, запускаемые при запуске системы. Я перечислил другие [бесплатные инструменты для выявления вредоносных программ здесь] (http://superuser.com/questions/948000/i-think-somebody-has-access-to-my-computer/948025#948025), которые я использую. moonpoint 8 лет назад 0
Компьютер запускается нормально, теперь я восстановил его до заводского состояния и запустил полдюжины надежных программ-шпионов и вредоносных программ, которые были загружены на флэш-диск, и каждая из них была проверена на соответствие друг другу, прежде чем я загрузил их на компьютер, который был полностью отключен от моей сети или любого интернет-соединения. Я обнаружил эту строку после всего этого, и теперь та же самая строка Unicode переместилась в PID 0 и 4. @moonpoint может быть прав насчет сбоя в программе проверки процессов, но она отлично работает на других процессах, с которыми я проверял. Joe Brown 8 лет назад 0

Похожие вопросы