端口 31337 上列出的 Windows SYSTEM PID 4 (eleet)

tag-icon tag-icon windows malware
端口 31337 上列出的 Windows SYSTEM PID 4 (eleet)

在我的 Windows 7 机器上,

我有系统进程打开的以下端口..

Process PID     PROTO   LOCAL           REMOTE          State

System  4   TCP 0.0.0.0 445 0.0.0.0 0   LISTENING                                       
System  4   TCP 0.0.0.0 2869    0.0.0.0 0   LISTENING                                       
System  4   TCP 0.0.0.0 5357    0.0.0.0 0   LISTENING                                       
System  4   TCP 0.0.0.0 31337   0.0.0.0 0   LISTENING

我找不到导致这种情况的木马,我进行了所有常规 BO 搜索,但 PID 4 令人担忧。我尝试了 ProcessExplorer,但仍然没有帮助,有什么想法吗?我尝试过的所有防病毒软件,Symantec、MalwareBytes 和 MS Security Essentials 都没有返回任何结果。

通过 telnet 连接到该端口

telnet localhost 31337
Escape character is '^]'.
?
HTTP/1.1 400 Bad Request
Content-Type: text/html; charset=us-ascii
Server: Microsoft-HTTPAPI/2.0
Date: Thu, 16 Jan 2014 20:50:26 GMT
Connection: close
Content-Length: 326

<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01//EN""http://www.w3.org/TR/html4/strict.dtd">
<HTML><HEAD><TITLE>Bad Request</TITLE>
<META HTTP-EQUIV="Content-Type" Content="text/html; charset=us-ascii"></HEAD>
<BODY><h2>Bad Request - Invalid Verb</h2>
<hr><p>HTTP Error 400. The request verb is invalid.</p>
</BODY></HTML>
Connection closed by foreign host.

我应该从哪里开始寻找?

原来这是一个名为“VirtualRouter”的服务,它创建了一个 HTTP 服务。卸载它解决了这个问题。MSConfig 是禁用服务的关键工具。在我的二进制搜索方法中,以“V”开头来缩小服务范围。是我尝试的最后一个服务!呼,很高兴它不是木马!

答案1

可以尝试以下几件事:

  • 使用 MSConfig 关闭所有非 MS 服务和第三方启动程序。如果不再监听,请逐个打开它们,直到找到罪魁祸首。

  • 从提升的命令提示符运行netstat -ab以获取有关端口的不同信息。如果发现是“Svchost”监听该端口,请开始禁用服务,直到找出哪个服务是罪魁祸首。

答案2

原来这是一个名为“VirtualRouter”的服务,它创建了一个 HTTP 服务。卸载它解决了这个问题。MSConfig 是禁用服务的关键工具。在我的二进制搜索方法中,以“V”开头来缩小服务范围。是我尝试的最后一个服务!呼,很高兴它不是木马!

相关内容