Windows
埠 445 和 139 上的 Windows 7 垃圾郵件域控制器,導致鎖定
我有一個域鎖定問題,在故障排除中,我通過 netstat 發現我的機器正在攻擊埠 445 和 139 上的域控制器。它正在創建數千個使用者埠來執行此操作:今天它從埠 54000ish 開始,並且在幾個小時高達60000。
netstat -ob 將程序標識為 PID 4。
在我迄今為止的研究中,我不斷聽到病毒是可能的原因。我正在執行 Trend Micro 和 Windows Defender——Windows Defender 的全面掃描沒有發現任何問題。
除了我可以調查的病毒之外,還有其他原因嗎?
我可以通過阻止 Windows 防火牆中的出站埠來阻止它,但顯然這並不理想。
除了重新安裝作業系統,我還能做什麼?
有問題的服務原來是 Windows Media Player 網路共享 (wmpnetwk.exe)。我不記得在這台機器上使用過媒體播放器,所以我不確定該服務是如何被啟動的。
netstat -bo 報告程序名稱和 PID 4 的“無法獲取所有權資訊”(在任務管理器中顯示“NT 核心和系統”)
以下是我如何確定罪魁禍首:
我在 Windows 任務管理器中選中了“顯示所有使用者的程序”框。然後我轉到“服務”選項卡並開始停止服務,首先從最高的 pid 開始,並在每個之後檢查 netstat -bo 幾次,直到我不再看到連接到域的“無法獲取所有權資訊”程序microsoft-ds 和 nb-ssn 埠上的控制器。