Was ist diese Mischung aus chinesischem / arabischem / koreanischem / japanischem Benutzer, der einen Prozess besitzt, der Port 139 überwacht?

538
Joe Brown

Bei der Verwendung eines Tools zum Prüfen offener Ports (Technicians toolbox v1.1.0) habe ich einen merkwürdigen Benutzernamen gefunden, der Port 139 abhört und sich in PID 4 verbirgt, wobei eine Mischung aus chinesischen und anderen Unicode-Zeichen als Benutzername verwendet wird:

Es ist kein Befehlszeilen- oder Erstellungsdatum oder ein ausführbarer Pfad oder Gerätepfad aufgeführt. Das Programm lässt mich auch den Dateipfad nicht nachverfolgen. es kommt mit "Fehler". Im Windows Task-Manager wird PID 4 als "System" angezeigt.

Die Unicode-Zeichen sind: 

U+548B U+0824 U+428D U+8B0C U+E84A U+C833 U+ACE8 U+F8A9 U+B8FF U+F680 U+7318 U+29E9 U+FBBA U+22FF U+9305 U+0219 U+005C

Der Google-Übersetzer übersetzte den chinesischen Teil als "Ye Ge Mad Dog" mit einer Form von Unicode.

Laut unicode-table.com gibt es eine Mischung aus Arabisch, Koreanisch, Japanisch, Latein und Chinesisch mit privaten Code-Blöcken.

Ich arbeite mit meinem Laptop durch einen Belkin 600-WLAN-Extender, der aus einem Linksys WRT54GS hervorgeht, beide haben keine Sicherheit.

Hat jemand eine Idee was das ist? Soll ich diesen Prozess beenden?

7
Ihr Beitrag ist nur aus Textblock, es ist nicht leicht zu lesen. Bearbeiten Sie Ihren Beitrag und formatieren Sie ihn. leicht lesbare Fragen sind einfacher zu lesen Dave vor 8 Jahren 0
Port 139 ist der Port, der von Windows-Datei- und Druckerfreigaben verwendet wird. Es ist normal, dass es für Ihr internes Netzwerk geöffnet ist (falls dies nicht der Fall ist, kann Ihr Gerät keine Datei- oder Druckfreigaben für andere anbieten). Es sollte für das öffentliche Internet nicht sichtbar sein, dh Ihr Router sollte es nicht weiterleiten, aber die meisten Internetdienstanbieter leiten es trotzdem nicht. Welches "Open-Port-Checking-Tool" haben Sie verwendet? Jamie Hanrahan vor 8 Jahren 0
Techniker-Toolbox v1.1.0 @JamieHanrahan Joe Brown vor 8 Jahren 0
Lassen Sie uns bitte mehr Kontext sehen. Weniger Sicht auf die Blätter, mehr auf den Wald. Jamie Hanrahan vor 8 Jahren 0
Weitere Informationen: Gibt das Port-Überprüfungs-Tool auch die IP-Adresse des verbundenen Clients an? Wenn nicht, was macht dann so etwas wie `netstat -aon | finden Sie "139" `geben Sie? Angesichts dieser IP-Adresse könnte ein [whois] (http://whois.arin.net/) Ihnen einen Hinweis darauf geben, von wo aus die Verbindung hergestellt wird, vorausgesetzt, es handelt sich nicht um eine Adresse in [den privaten Bereichen für lokale Netzwerke] (https.) : //en.wikipedia.org/wiki/Private_network#Private_IPv4_address_spaces). Sagen Sie auch, dass Ihr WLAN nicht geschützt ist? Dann könnte es sogar ein Nachbar (möglicherweise mit einem infizierten Computer) sein, der eine Verbindung herstellt. Arjan vor 8 Jahren 1
@Arjan Es ist kein Befehlszeilen- oder Erstellungsdatum oder ein ausführbarer Pfad oder Gerätepfad aufgeführt. Auch das Programm lässt mich nicht nachverfolgen, der Dateipfad kommt mit "Error". Es ist keine IP-Adresse aufgeführt. Hier ist ein Screenshot des Prozesses und seiner Parameter. (http://i.imgur.com/MHiVya2.png) Der Prozess ist der Abhörport mit Pid 4 direkt unter dem oberen Fenster. Joe Brown vor 8 Jahren 0
Ah, mein Schlechtes: Ich dachte, Sie haben irgendwie den Benutzernamen der Verbindung gesehen, aber es ist der Benutzername des Windows-Prozesses. Dann `netstat -aon | find "139" `kann Ihnen sagen, ob (derzeit) jemand verbunden ist. Die sehr niedrige PID zeigt an, dass dies zu einem sehr frühen Zeitpunkt beim Start von Windows gestartet wird, denke ich, aber ich benutze Windows nicht, daher bin ich nicht zu 100% sicher. Können Sie denselben seltsamen Benutzer in der Liste der Windows-Benutzer irgendwo in der Systemsteuerung sehen? Außerdem: Der Standard-Windows-Task-Manager kann auch die PIDs anzeigen. Vielleicht kannst du sagen, welches Programm dann damit zusammenhängt? Arjan vor 8 Jahren 1
@Arjan .Nein ich bin nie in irgendeinem Teil meines Laptops gestoßen und mit keiner IP-Adresse und einer niedrigen PID 4, die unter "Task-Manager" als "System" aufgeführt ist und dass ich den Dateipfad der Prozesse nicht verfolgen kann Der Grund, warum ich hier versuche, Antworten zu finden. Die koreanischen Zeichen, die mit japanischen und chinesischen, lateinischen und aramäischen Zeichen gemischt sind, ist das in Unicode-Zeichenfolgen normal? Und als Prozessbenutzername? Danke, dass Sie in diese Knospe schauen. Joe Brown vor 8 Jahren 0
* "Die koreanischen Zeichen, die mit japanischen und chinesischen, lateinischen und aramäischen Zeichen gemischt sind, sind in Unicode-Zeichenfolgen normal?" * Das könnte nur eine Interpretation sein; Wenn der Benutzername aus willkürlichen Bytes besteht und Sie versuchen, diese Bytes als Unicode * zu interpretieren * (genauer: UTF-8-codierter Unicode), werden diese lustigen Zeichen möglicherweise angezeigt. Wenn man sie jedoch mit einer anderen Kodierung interpretieren würde (schlechtes, aber illustratives Beispiel: Morsecode oder Musik), könnte man andere Dinge sehen. Aber ich denke, es sollte keine zufälligen Bytes sein ... Arjan vor 8 Jahren 0
Übrigens, * "ohne IP-Adresse" *: Keine Remote-IP-Adresse zu sehen ist in Ordnung, in dieser Ansicht denke ich. Die Remote-IP „0.0.0.0“ mit Remote-Port „0“ zeigt an, dass jemand eine Verbindung herstellen KANN (falls Ihr Modem / Router dies zulässt), aber ich denke, es gibt einfach keine Spalte in dieser Übersicht, in der Sie sehen, wer verbunden ist. Arjan vor 8 Jahren 0
@Arjan Nein, die PID listet nur 4 als System auf, zusammen mit einer Reihe anderer Prozesse, die unter System ablaufen. Und selbst mit dem von mir verwendeten Tool kann ich den Dateipfad immer noch nicht verfolgen. Ich bin am Ende meines Wissens darüber. Bei keinem anderen Prozess wurde der Benutzername in dem von mir verwendeten Tool in Unicode geschrieben. Ich versuche, den Dateipfad zu verfolgen, der nach einem Browser-Hijacking-Virus sucht, der bei einem auf den Familien-Laptop heruntergeladenen Spiel eingedrungen ist. Bisher haben sie nur chrom-basierte Browser wie Opera, Comodo und Google Chrome entführt. Mozilla und IE sind nun endlich dazu gekommen, dass ich Slim Browser verwende. Joe Brown vor 8 Jahren 1
Nur zur Information: In Windows 7, das in Parallels auf einem Mac ausgeführt wird, sehe ich den Benutzernamen "SYSTEM" im Windows Task-Manager. Und `netstat -aon | find "139" `zeigt auch PID 4 wie für Sie und" netstat -abon "zeigt viele Treffer für diese PID 4, zeigt jedoch auch keine ausführbare Datei. Wie für Port 139: "TCP 10.211.55.5:139 0.0.0.0:04 HÖREN 4 Kann keine Besitzinformationen abrufen". Arjan vor 8 Jahren 1
Ah, Vorsicht: Im Task-Manager sollte Image Name = System und User = SYSTEM angezeigt werden. Stellen Sie daher sicher, dass Sie im Menü "Ansicht" bei Bedarf Spalten aktivieren. Unter Windows 7 sehe ich [this] (http://i.stack.imgur.com/rok45.png), einschließlich Image Path = "C: \ Windows \ system32 \ ntoskrnl.exe", jedoch keinen Wert für die Befehlszeile . Arjan vor 8 Jahren 1

1 Antwort auf die Frage

2
moonpoint

Überprüfen Sie den Prozess mit einem anderen Tool, z. B. TCPView von Microsoft. Es zeigt Prozessnamen mit offenen Ports mit PID, Protokoll, lokaler Adresse, lokalem Port, Remote-Adresse, Remote-Port sowie gesendete und empfangene Pakete und Bytes für jeden Eintrag an. Suchen Sie nach der Prozess-ID 4 in der Liste. Wenn Sie den Eintrag gefunden haben, doppelklicken Sie auf einen Eintrag oder klicken Sie mit der rechten Maustaste und wählen Sie "Prozesseigenschaften". Daraufhin werden der Pfad und der Dateiname angezeigt, die dem Prozess zugeordnet sind. Sie können die Datei in das VirusTotal von Google hochladenWebsite, die hochgeladene Dateien mit mehreren Antivirenprogrammen überprüft, um zu prüfen, ob es sich um eine Systemdatei handelt, die durch Malware ersetzt wurde. Es ist jedoch möglich, dass das, was Sie sehen, auf eine gewisse Eigenart des Tools zurückzuführen ist. Sobald Sie den Speicherort der Datei für den Prozess festgelegt haben, können Sie im Microsoft Windows Explorer mit der rechten Maustaste darauf klicken, "Eigenschaften" und dann "Digitale Signaturen" auswählen. Wenn es sich um ein legitimes Programm handelt, sollte der Name des Unterzeichners "Microsoft Corporation" lauten.

Ein weiteres kostenloses Tool, das ähnliche Funktionen wie TCPView bietet, ist CurrPorts von NirSoft .

Vielen Dank, ich bin bereit TCP und ein paar andere Sysinternal-Programme auszuführen, aber ohne IP und das PID 4 "System", das eine Vielzahl von Programmen in Windows ausführt. Ich muss jedes mit dem Systemprozess verknüpfte Programm starten und TCP und pausieren Hunderte von IP-Adressen zurückverfolgen, was ich tat und in der Lage war, den offenen Port zu schließen, aber die infizierte Datei nicht zu verfolgen. Das "Oops, was ist schief gelaufen" BSOD übernahm das Windows-Startup, und ich verfolgte es in 4 Ländern auf mehreren IPs. Joe Brown vor 8 Jahren 0
Na ja, @Joe, wenn der Computer nicht mal in Ordnung startet, dann erklärt das wahrscheinlich auch den komischen Benutzernamen, oder? Ich würde einfach [alles wegwischen] (http://superuser.com/questions/100360/how-can-i-remove-malicious-spyware-malware-viruses-or-rootkits-frommy-pc). Arjan vor 8 Jahren 0
@Joe Brown, wenn Sie andere Sysinternals-Programme verwenden, hat [Autoruns] (https://technet.microsoft.com/en-us/sysinternals/bb963902.aspx) manchmal dabei geholfen, illegale Programme zu identifizieren, die beim Systemstart ausgeführt werden. Ich habe andere [kostenlose Tools zum Erkennen von Malware] (http://superuser.com/questions/948000/i-think-somebody-has-access-to-my-computer/948025#948025) aufgelistet, die ich verwende. moonpoint vor 8 Jahren 0
Der Computer startet jetzt ganz gut. Jetzt habe ich ihn auf den Werkszustand zurückgesetzt und ein halbes Dutzend gesicherte Reinigungs-Spyware- und Malware-Programme ausgeführt, die auf ein Flash-Laufwerk geladen wurden. Jedes dieser Programme wurde miteinander verglichen, bevor ich sie vollständig in den Computer einlegte getrennt von meinem Netzwerk oder einer Internetverbindung. Ich fand diese Zeichenfolge nach all dem und jetzt ist die gleiche Unicode-Zeichenfolge auf PID 0 und 4 verschoben worden. @Moonpoint könnte einen Fehler im Prozessüberprüfungsprogramm richtig machen, aber es funktioniert gut mit dem anderen Prozess, mit dem ich es überprüft habe. Joe Brown vor 8 Jahren 0

Verwandte Probleme