我遇到了域锁定问题,在进行故障排除时,我通过 netstat 发现我的机器正在攻击端口 445 和 139 上的域控制器。它正在创建数千个用户端口来执行此操作:今天它从端口 54000ish 开始,几个小时内就增加到了 60000。
netstat -ob 将该进程标识为 PID 4。
到目前为止,在我进行的研究中,我一直听说病毒可能是原因。我运行了 Trend Micro 和 Windows Defender——Windows Defender 的全面扫描没有发现任何问题。
除了病毒之外,还有其他原因需要我去研究吗?
我可以阻止 Windows 防火墙中的出站端口来阻止它,但显然这并不理想。
除了重新安装操作系统我还能做什么?
答案1
有问题的服务原来是 Windows Media Player 网络共享 (wmpnetwk.exe)。我不记得在这台机器上使用过媒体播放器,所以我不确定该服务是如何激活的。
netstat -bo 报告进程名称和 PID 4(在任务管理器中显示“NT 内核和系统”)“无法获取所有权信息”
以下是我识别罪魁祸首的方法:
我在 Windows 任务管理器中选中了“显示所有用户的进程”复选框。然后,我转到“服务”选项卡并开始停止服务,首先从最高的 pid 开始,然后在每次停止后检查几次 netstat -bo,直到我不再看到“无法获取所有权信息”进程连接到 microsoft-ds 和 nb-ssn 端口上的域控制器。