Что это за смесь китайского / арабского / корейского / японского пользователя, владеющего процессом, прослушивающим порт 139?

Question

При использовании инструмента проверки открытого порта (Technicians toolbox v1.1.0) я обнаружил странное имя пользователя, прослушивающее порт 139, скрывающееся в PID 4 со смесью китайских и других символов Юникода в качестве имени пользователя:

В списке нет ни командной строки, ни даты создания, ни пути к исполняемому файлу или устройству. Также программа не позволит мне отследить путь к файлу; это приходит с ошибкой. В диспетчере задач Windows PID 4 отображается как "Система".

Символы Unicode:

U+548B U+0824 U+428D U+8B0C U+E84A U+C833
U+ACE8 U+F8A9 U+B8FF U+F680 U+7318 U+29E9
U+FBBA U+22FF U+9305 U+0219 U+005C

Переводчик Google перевел китайскую часть как "Ye Ge mad dog", смешанный с некоторой формой Unicode.

Согласно unicode-table.com, существует смесь арабского, корейского, японского, латинского и китайского языков с частными кодами блоков.

Я запускаю свой ноутбук через удлинитель Wi-Fi Belkin 600, работающий на Linksys WRT54GS, оба не имеют защиты.

Кто-нибудь знает, что это? Должен ли я убить этот процесс?

Answer 1

Проверьте процесс с помощью другого инструмента, такого как TCPView от Microsoft. Он будет отображать имена процессов с открытыми портами с PID, протоколом, локальным адресом, локальным портом, удаленным адресом, удаленным портом, а также отправленные и полученные пакеты и байты для каждой записи. Найдите идентификатор процесса 4 в его списке. Если вы нашли его, если дважды щелкнуть запись или щелкнуть правой кнопкой мыши и выбрать "Свойства процесса", он покажет путь и имя файла, связанного с процессом. Вы можете загрузить файл на сайт Google VirusTotal , который проверяет загруженные файлы с помощью нескольких антивирусных программ, чтобы проверить, может ли это быть системный файл, который был заменен вредоносным ПО, хотя возможно, что то, что вы видите, происходит из-за некоторой причуды инструмент. Если у вас есть местоположение файла, связанного с процессом, вы можете щелкнуть по нему правой кнопкой мыши в Microsoft Windows Explorer, выбрать "Свойства", затем выбрать "Цифровые подписи"; если это законная программа, имя подписавшего должно быть "Корпорация Microsoft".

Еще один бесплатный инструмент, обеспечивающий функциональность, аналогичную TCPView, - это CurrPorts от NirSoft.