在使用开放端口检查工具(Technicians toolbox v1.1.0)时,我发现一个奇怪的用户名隐藏在 PID 4 中,该用户名监听在端口 139 上,并且混合了中文和其他 Unicode 字符:
没有列出命令行或创建日期或可执行路径或设备路径。此外,程序不让我跟踪文件路径;它显示“错误”。在 Windows 任务管理器中,PID 4 显示为“系统”。
Unicode 字符包括:
U+548B U+0824 U+428D U+8B0C U+E84A U+C833
U+ACE8 U+F8A9 U+B8FF U+F680 U+7318 U+29E9
U+FBBA U+22FF U+9305 U+0219 U+005C
Google 翻译器将中文部分翻译为“野歌疯狗”,并混合了某种形式的 Unicode。
根据unicode-table.com 其中混合了阿拉伯语、韩语、日语、拉丁语和中文,并混杂了私人代码块。
我通过 Belkin 600 wifi 范围扩展器运行我的笔记本电脑,该扩展器由 Linksys WRT54GS 增强,两者都没有安全性。
有人知道这是什么吗?我应该终止此进程吗?
答案1
使用其他工具检查进程,例如TCP查看器来自 Microsoft。它将显示进程名称和打开的端口,以及 PID、协议、本地地址、本地端口、远程地址、远程端口,以及每个条目的发送和接收数据包和字节数。在其列表中查找进程 ID 4。找到它后,如果您双击某个条目,或右键单击并选择“进程属性”,它将显示与该进程关联的路径和文件名。您可以将文件上传到 Google 的病毒总数网站,它使用多个防病毒程序检查上传的文件,以检查它是否可能是被恶意软件替换的系统文件,尽管您看到的内容可能是由于该工具的一些怪癖造成的。一旦您知道与该过程关联的文件的位置,您就可以在 Microsoft Windows 资源管理器中右键单击它,选择“属性”,然后选择“数字签名”;如果它是合法程序,签名者的名称应该是“Microsoft Corporation”。