Was ist diese Mischung aus chinesischen / arabischen / koreanischen / japanischen Benutzern, die einen Prozess besitzen, der Port 139 abhört?

7

Bei Verwendung eines Tools zur Überprüfung offener Ports (Technicians Toolbox v1.1.0) habe ich einen seltsamen Benutzernamen gefunden, der Port 139 in PID 4 mit einer Mischung aus chinesischen und anderen Unicode-Zeichen als Benutzernamen abhört:

Es ist keine Befehlszeile oder kein Erstellungsdatum oder ein ausführbarer Pfad oder Gerätepfad aufgeführt. Außerdem lässt mich das Programm den Dateipfad nicht verfolgen. es kommt mit "Fehler". Im Windows Task-Manager wird PID 4 als "System" angezeigt.

Die Unicode-Zeichen sind:

U+548B U+0824 U+428D U+8B0C U+E84A U+C833
U+ACE8 U+F8A9 U+B8FF U+F680 U+7318 U+29E9
U+FBBA U+22FF U+9305 U+0219 U+005C

Der Google-Übersetzer übersetzte den chinesischen Teil als "Ye Ge mad dog" gemischt mit einer Form von Unicode.

Laut unicode-table.com gibt es eine Mischung aus Arabisch, Koreanisch, Japanisch, Latein und Chinesisch mit privaten Codeblöcken.

Ich verwende meinen Laptop über einen Belkin 600-WLAN-Range-Extender, der von einem Linksys WRT54GS ausgeht. Beide haben keine Sicherheit.

Hat jemand eine Idee was das ist? Soll ich diesen Prozess beenden?

Joe Brown
quelle
1
Weitere zu untersuchende Informationen: Gibt das Tool zur Portüberprüfung auch die IP-Adresse des verbundenen Clients an? Wenn nicht, was gibt netstat -aon | find "139"Ihnen so etwas ? Angesichts dieser IP-Adresse gibt Ihnen ein Whois möglicherweise einen Hinweis darauf, von wo aus die Verbindung hergestellt wird, vorausgesetzt, es handelt sich nicht um eine Adresse in den privaten Bereichen für lokale Netzwerke . Wollen Sie damit sagen, dass Ihr WLAN nicht geschützt ist? Dann könnte sogar ein Nachbar (möglicherweise mit einem infizierten Computer) eine Verbindung herstellen.
Arjan
1
Ah, mein schlechtes: Ich dachte, Sie haben irgendwie den Benutzernamen desjenigen gesehen, der eine Verbindung hergestellt hat, aber es ist der Benutzername des Windows-Prozesses. Dann netstat -aon | find "139"können Sie feststellen, ob jemand (derzeit) verbunden ist. Die sehr niedrige PID zeigt an, dass dies sehr früh gestartet wird, wenn Windows gestartet wird, denke ich, aber ich verwende Windows nicht, daher bin ich mir nicht 100% sicher. Können Sie denselben seltsamen Benutzer in der Liste der Windows-Benutzer irgendwo in der Systemsteuerung sehen? Außerdem: Der Standard-Windows-Task-Manager kann auch die PIDs anzeigen. Vielleicht können Sie dann sagen, welches Programm damit zusammenhängt?
Arjan
1
@Arjan Nein, die Pid listet nur 4 als System zusammen mit einer Vielzahl anderer Prozesse auf, die unter dem System ausgeführt werden. Und selbst mit dem von mir verwendeten Tool kann ich den Dateipfad nicht verfolgen. Ich bin am Ende meines Know-hows. Bei keinem anderen Prozess ist der Benutzername in Unicode auf dem von mir verwendeten Tool geschrieben. Ich versuche, den Dateipfad zu verfolgen, um nach einem Browser-Hijacking-Virus zu suchen, der in ein Spiel eingedrungen ist, das auf den Laptop der Familie heruntergeladen wurde. Bisher wurden nur chrombasierte Browser Opera, Comodo und Google Chrome entführt. Mozilla und IE wurden endlich getroffen, jetzt benutze ich Slim Browser.
Joe Brown
1
Nur zu Ihrer Information: In Windows 7, das in Parallels auf einem Mac ausgeführt wird, wird der Benutzername SYSTEMim Windows Task-Manager angezeigt. Und zeigt netstat -aon | find "139"zufällig PID 4 genau wie für Sie und netstat -abonzeigt viele Treffer für diese PID 4, zeigt aber auch keine ausführbare Datei für eine dieser. Wie für Port 139 : TCP 10.211.55.5:139 0.0.0.0:0 LISTENING 4 Can not obtain ownership information.
Arjan
1
Ah, Vorsicht: Im Task-Manager sollte Image Name = System und User = SYSTEM angezeigt werden. Verwenden Sie daher das Menü "View", um bei Bedarf Spalten zu aktivieren. Unter Windows 7 wird dies angezeigt, einschließlich Image Path = C:\Windows\system32\ntoskrnl.exe, aber kein Wert für die Befehlszeile.
Arjan

Antworten:

2

Überprüfen Sie den Prozess mit einem anderen Tool wie TCPView von Microsoft. Es werden Prozessnamen mit Ports angezeigt, die mit PID, Protokoll, lokaler Adresse, lokalem Port, Remote-Adresse, Remote-Port geöffnet sind, sowie gesendete und empfangene Pakete und Bytes für jeden Eintrag. Suchen Sie in der Liste nach Prozess-ID 4. Wenn Sie es gefunden haben, wenn Sie auf einen Eintrag doppelklicken oder mit der rechten Maustaste klicken und "Prozesseigenschaften" auswählen, werden der Pfad und der Dateiname angezeigt, die dem Prozess zugeordnet sind. Sie können die Datei auf Google VirusTotal hochladenSite, die hochgeladene Dateien mit mehreren Antivirenprogrammen überprüft, um zu überprüfen, ob es sich möglicherweise um eine Systemdatei handelt, die durch Malware ersetzt wurde. Es ist jedoch möglich, dass das, was Sie sehen, auf eine Besonderheit des Tools zurückzuführen ist. Sobald Sie den Speicherort der dem Prozess zugeordneten Datei festgelegt haben, können Sie im Microsoft Windows Explorer mit der rechten Maustaste darauf klicken, "Eigenschaften" und dann "Digitale Signaturen" auswählen. Wenn es sich um ein legitimes Programm handelt, sollte der Name des Unterzeichners "Microsoft Corporation" sein.

Ein weiteres kostenloses Tool, das ähnliche Funktionen wie TCPView bietet, ist CurrPorts von NirSoft .

Mondpunkt
quelle
Vielen Dank, ich bin alle bereit, TCP und einige andere Sysinternal-Programme auszuführen, aber ohne aufgelistete IP und das pid 4 "System", das eine Vielzahl von Programmen in Windows ausführt, muss ich jedes mit dem Systemprozess verknüpfte Programm starten und TCP und pausieren Zurückverfolgung von Hunderten von IP-Adressen, die ich durchgeführt habe und die den offenen Port schließen konnten, aber die infizierte Datei nicht zurückverfolgen konnten. Das BSOD "Ups, etwas ist schief gelaufen" übernahm den Windows-Start und ich verfolgte es auf mehreren IPs in 4 Ländern.
Joe Brown
Na ja, @Joe, wenn der Computer nicht einmal in Ordnung startet, erklärt das wahrscheinlich auch den seltsamen Benutzernamen, oder? Ich würde einfach alles abwischen .
Arjan
@ Joe Brown, wenn Sie andere Sysinternals-Programme verwenden, hat Autoruns mir manchmal geholfen, unzulässige Programme zu identifizieren, die beim Systemstart ausgeführt werden. Ich habe hier andere kostenlose Tools zur Identifizierung von Malware aufgelistet , die ich verwende.
Mondpunkt
Der Computer startet einwandfrei, jetzt habe ich ihn wieder auf den Werkszustand zurückgesetzt und ein halbes Dutzend vertrauenswürdiger Spyware- und Malware-Reinigungsprogramme ausgeführt, die auf ein Flash-Laufwerk geladen wurden, und jedes dieser Programme wurde gegeneinander geprüft, bevor ich sie vollständig auf den Computer geladen habe von meinem Netzwerk oder einer Internetverbindung getrennt. Nach all dem habe ich diese Zeichenfolge gefunden und jetzt ist dieselbe Unicode-Zeichenfolge auf PID 0 und 4 verschoben worden. @Moonpoint hat möglicherweise Recht mit einem Fehler im Prozessprüfprogramm, funktioniert aber bei den anderen Prozessen, mit denen ich sie überprüft habe, einwandfrei.
Joe Brown