埠 445 和 139 上的 Windows 7 垃圾郵件域控制器，導致鎖定

我有一個域鎖定問題，在故障排除中，我通過 netstat 發現我的機器正在攻擊埠 445 和 139 上的域控制器。它正在創建數千個使用者埠來執行此操作：今天它從埠 54000ish 開始，並且在幾個小時高達60000。

netstat -ob 將程序標識為 PID 4。

在我迄今為止的研究中，我不斷聽到病毒是可能的原因。我正在執行 Trend Micro 和 Windows Defender——Windows Defender 的全面掃描沒有發現任何問題。

除了我可以調查的病毒之外，還有其他原因嗎？

我可以通過阻止 Windows 防火牆中的出站埠來阻止它，但顯然這並不理想。

除了重新安裝作業系統，我還能做什麼？

有問題的服務原來是 Windows Media Player 網路共享 (wmpnetwk.exe)。我不記得在這台機器上使用過媒體播放器，所以我不確定該服務是如何被啟動的。

netstat -bo 報告程序名稱和 PID 4 的“無法獲取所有權資訊”（在任務管理器中顯示“NT 核心和系統”）

以下是我如何確定罪魁禍首：

我在 Windows 任務管理器中選中了“顯示所有使用者的程序”框。然後我轉到“服務”選項卡並開始停止服務，首先從最高的 pid 開始，並在每個之後檢查 netstat -bo 幾次，直到我不再看到連接到域的“無法獲取所有權資訊”程序microsoft-ds 和 nb-ssn 埠上的控制器。

引用自：https://serverfault.com/questions/640366