论坛: 菜鸟乐园 标题: 没有进程名字使用了port5000的是不是木马? 复制本贴地址    
作者: tbilike [tbilike]    论坛用户   登录
我用Fport检查自已的机器,结果如下:
Pid  Process            Port  Proto Path                         
756  svchost        ->  135  TCP  C:\WINDOWS\system32\svchost.exe
4    System        ->  139  TCP                               
4    System        ->  445  TCP                               
1752  Explorer      ->  1024  TCP  C:\WINDOWS\Explorer.EXE     
804  svchost        ->  1025  TCP  C:\WINDOWS\System32\svchost.exe
4    System        ->  1029  TCP                               
1608  fxssvc        ->  1037  TCP  C:\WINDOWS\system32\fxssvc.exe
4    System        ->  1054  TCP                               
4    System        ->  2738  TCP                               
0    System        ->  2835  TCP                               
0    System        ->  2838  TCP                               
2308  iexplore      ->  2845  TCP  C:\Program Files\Internet Explorer\iexplore.exe
996                  ->  5000  TCP                               
4    System        ->  123  UDP                               
996                  ->  137  UDP                               
1752  Explorer      ->  138  UDP  C:\WINDOWS\Explorer.EXE     
756  svchost        ->  445  UDP  C:\WINDOWS\system32\svchost.exe
4    System        ->  500  UDP                               
1752  Explorer      ->  1028  UDP  C:\WINDOWS\Explorer.EXE     
                             
其中有不知名的进程(进程ID为996)使用了端口137和端口5000,请问是不是木马?如是,怎么清除,另外大家也看到了我的135 139 445端口都开放着,请问怎么关闭啊,谢谢



地主 发表时间: 04-08-11 08:44
回复: BSJ [b_s_j]   论坛用户   登录
自己看嘛 写着的 C:\Program Files\Internet Explorer\iexplore.exe 那就是IEXPLORE 开的啊  正常的 上网用的临时端口 至于135 139 445 用防火墙屏蔽了就行了

B1层 发表时间: 04-08-11 16:30
回复: NickJ [jiangxiao]   论坛用户   登录
你也可以在控制面板-管理工具-服务里面将一些相关的服务关了 端口就自然关了(应为相应的端口本来就是相应的服务打开的)
至于楼上那个兄弟说的用防火墙的方法也可以,个人推荐天网.
具体方法就是在天网的自定义安全级别里面 添加相应的规则就OK了

比如说 你要屏蔽 139/TCP PORT
就可以新建一个规则 名字和说明 可以写 close 139(其实这个你可以根据你自己的需要来写)
在数据包方向选为 发送和接受
对方IP :任何
TCP本地端口: 139-139 右边的TCP标识全部沟上
下面的满足当前条件时:拦截    右边的也全构上
就OK了
区域的端口照常来就行了

B2层 发表时间: 04-08-11 17:34
回复: tbilike [tbilike]   论坛用户   登录
晕,不是啊,我已经关闭了IE可还是有这个没名称的进程,用木马客星5.46也查不出来!为什么会有没名称的进程呢?请指教

FPort v2.0 - TCP/IP Process to Port Mapper
Copyright 2000 by Foundstone, Inc. http://www.foundstone.com

Pid  Process            Port  Proto Path                         
744  svchost        ->  135  TCP  C:\WINDOWS\system32\svchost.exe
4    System        ->  139  TCP                               
4    System        ->  445  TCP                               
1556  Explorer      ->  1024  TCP  C:\WINDOWS\Explorer.EXE     
792  svchost        ->  1025  TCP  C:\WINDOWS\System32\svchost.exe
4    System        ->  1027  TCP                               
0    System        ->  1093  TCP                               
0    System        ->  1100  TCP                               
992                  ->  5000  TCP                               
1556  Explorer      ->  123  UDP  C:\WINDOWS\Explorer.EXE     
4    System        ->  123  UDP                               
1704  fxssvc        ->  137  UDP  C:\WINDOWS\system32\fxssvc.exe
4    System        ->  138  UDP                               
744  svchost        ->  445  UDP  C:\WINDOWS\system32\svchost.exe
4    System        ->  500  UDP                               
1556  Explorer      ->  1034  UDP  C:\WINDOWS\Explorer.EXE     
792  svchost        ->  1067  UDP  C:\WINDOWS\System32\svchost.exe
992                  ->  1900  UDP                               
0    System        ->  1900  UDP 

B3层 发表时间: 04-08-12 10:47
回复: lijingxi [lijingxi]   见习版主   登录
5000 是XP 默认开放的端口 正常!

B4层 发表时间: 04-08-12 10:51
回复: tbilike [tbilike]   论坛用户   登录
哦,谢谢,有没能Port5000相关的文章给点我看看

B5层 发表时间: 04-08-12 14:33

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号