У меня проблема с блокировкой домена, и при устранении неполадок я обнаружил через netstat, что моя машина забивает контроллеры домена на портах 445 и 139. Для этого он создает тысячи пользовательских портов: сегодня он начался с порта 54000ish и в течение нескольких часов было до 60000.
netstat -ob идентифицирует процесс как PID 4.
В своих исследованиях я постоянно слышу, что вероятной причиной является вирус. У меня работает Trend Micro и Windows Defender - полное сканирование Windows Defender не выявило ничего неправильного.
Есть ли другие причины, кроме вируса, на которые я мог бы изучить?
Мне удалось остановить это, заблокировав исходящие порты в брандмауэре Windows, но, очевидно, это не идеально.
Что я могу сделать, кроме переустановки ОС?
Оказалось, что вредоносной службой является общий доступ к сети проигрывателя Windows Media (wmpnetwk.exe). Я не помню, чтобы использовал медиаплеер на этой машине, поэтому я не уверен, как эта служба была активирована.
netstat -bo сообщал «Невозможно получить информацию о владельце» для имени процесса и PID 4 (который в диспетчере задач показывает «NT Kernel & System»)
Вот как я определил виновника:
Я установил флажок в диспетчере задач Windows «Показать процесс от всех пользователей». Затем я перешел на вкладку «Службы» и начал останавливать службы, начиная с самых высоких pid и проверяя netstat -bo несколько раз после каждого из них, пока я больше не увидел процесс «Не удается получить информацию о владельце», подключающийся к домену. контроллеры на портах microsoft-ds и nb-ssn.