我们的工作站之一就是安全日志已满。 原因是不断出现的事件861,即寡妇防火墙阻止处理svchost.exe和lsass.exe通过UDP监听非系统。 非系统端口是指1500,3000,6000等高端口(不限于此)。
为什么地球上的服务主机进程将会监听UDP上程序通常使用的端口?
我使用3个不同的反恶意软件工具扫描感染,什么都没发现。 这看起来像感染,但没有发现感染。 我正在调查哪些进程实际运行在进程ID的监听下。 我稍后会发布这些服务。
您是否尝试过运行CurrPorts来查看svchost和lsass是否打回任何外部IP? 你甚至可以使用它与IP到国家查找表来识别远程国家/地点。 如果确实有这样的交通,那么这将支持你的怀疑感染。
我也将运行Process Explorer来查看有关创build的线程的更多细节,看看是否有帮助。