- 締切済み
ウィルス感染チェックのための netstat の見方について
ウィルス感染しているかどうかのチェック方法に「netstat -ano」で Local Address に 80、8000、8080 のポートが開いているかどうかを 確認するというものがあります。 実際に実行してみたところ、下記のようになりました。 Proto LocalAddress ForeignAddress State PID TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 948 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 TCP 127.0.0.1:1025 0.0.0.0:0 LISTENING 384 TCP 127.0.0.1:8080 0.0.0.0:0 LISTENING 3120 TCP 127.0.0.1:19597 0.0.0.0:0 LISTENING 3120 UDP 0.0.0.0:445 *:* 4 UDP 0.0.0.0:500 *:* 676 UDP 0.0.0.0:1030 *:* 1112 UDP 0.0.0.0:1281 *:* 1112 UDP 0.0.0.0:1282 *:* 1112 UDP 0.0.0.0:2187 *:* 1112 UDP 0.0.0.0:4500 *:* 676 UDP 0.0.0.0:4961 *:* 1112 UDP 127.0.0.1:123 *:* 1040 UDP 192.168.0.2:1900 *:* 1168 UDP 127.0.0.1:1900 *:* 1168 UDP 127.0.0.1:3057 *:* 2076 UDP 192.168.0.2:123 *:* 1040 当方、80 や 8080 ポートを使うようなアプリケーション(サーバー)は 使用しておりませんが、Localアドレスに「127.0.0.1:8080」というのが あります。 これはウィルス感染を疑ったほうが良いのでしょうか。 なお、ウィルス対策プログラムでも、インターネットスキャンでも、 ウィルスは検知されておりません。 以上、よろしくご教示の程、お願い申し上げます。
- JOBK_TV
- お礼率100% (2/2)
- ネットワーク
- 回答数1
- ありがとう数4
- みんなの回答 (1)
- 専門家の回答
みんなの回答
- qaaq
- ベストアンサー率36% (146/404)
OS名が不明ですが、「netstatのoオプションを使っている」ので、Windows2000以降と推測します。 表示された内容ののPIDがプロセスIDを示しています。 タスクマネージャで該当PIDを見ると、プロセス名がわかります。 ここ↓に詳しい説明がありますね。 『netstatでリッスンしているプロセスを特定する』 http://www.atmarkit.co.jp/fwin2k/win2ktips/236portcheck/portcheck.html XPならこんなコマンドもあるんですね。 netstat -anbv もしLinuxならlsof,FreeBSDならsockstatを使いましょう。(see man)
関連するQ&A
- netstatをしてみたら身に覚えのないLISTENINGが
はじめまして。 さっそくですけど、質問いたします。 パソコンが不安定になったので、 netstatをしてみたら身に覚えのないLISTENINGが3つありました。 全く何も起動してない状態で、です。ウイルスでしょうか? どなたか教えてください。 パソコンはWinXP ファイヤーウォールはjeticoです。 ログを載せますね。 Proto Local Address Foreign Address State TCP Computer:epmap Computer:0 LISTENING TCP Computer:1026 Computer:0 LISTENING TCP Computer:netbios-ssn Computer:0 LISTENING UDP Computer:1025 *:* UDP Computer:1066 *:* UDP Computer:ntp *:* UDP Computer:1368 *:* UDP Computer:1900 *:* UDP Computer:ntp *:* UDP Computer:netbios-ns *:* UDP Computer:netbios-dgm *:* UDP Computer:1900 *:* それと別のソフトで見た結果です。IPは0.0.0.0だったので省略。 ローカルポート リモートポート 状態 135 36941 LISTENING 139 61653 LISTENING 1026 26979 LISTENING 宜しくお願いします。
- ベストアンサー
- ネットワーク
- コマンド netstat -a(an)について
PC起動 ⇒ スタート ⇒ プログラム ⇒ アクセサリ ⇒ コマンドプロンプト ⇒ netsata -aを実行したら以下になってますが、なぜこのような表示になるのか分かりません。 ntt.setup(192.168.1.1)にはアクセスしてないのに・・・。 ***以下*** C:\Documents and Settings\yuuya>netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING TCP 192.168.1.6:139 0.0.0.0:0 LISTENING TCP 192.168.1.6:2740 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2741 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2746 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2749 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2762 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2766 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2774 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2777 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2793 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2795 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2813 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2829 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2847 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2862 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2865 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2870 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2880 192.168.1.1:80 TIME_WAIT TCP 192.168.1.6:2882 192.168.1.1:80 TIME_WAIT UDP 0.0.0.0:445 *:* UDP 192.168.1.6:137 *:* UDP 192.168.1.6:138 *:* UDP 192.168.1.6:500 *:* UDP 192.168.1.6:4500 *:* ***************** またサイトを二つ開いていてしばらく置いた後、 同じくnetstat -anを実行した時は下記のように表示されてるが、 サイトをいくつ開いたままでもねは表示されないとのことでしょうか? **下記** C:\>netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:1025 0.0.0.0:0 LISTENING UDP 0.0.0.0:445 *:* UDP 127.0.0.1:1246 *:* UDP 127.0.0.1:1348 *:*
- ベストアンサー
- その他([技術者向] コンピューター)
- 通信ポートのリストの見方を教えてください
WinXP(sp2)を使用しています。 このPCで開いている通信ポートを netstat -anコマンドで調べましたら 下記のリストが表示されました。 見方がわからないので、ポートの解説してあるサイトがあれば紹介してください。 0.0.0.0:**** や 127.0.0.1:**** のポートがなぜあるのかわかりません。 (***.***.***.*** はこのPCのIPアドレスです) >netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:7 0.0.0.0:0 LISTENING TCP 0.0.0.0:9 0.0.0.0:0 LISTENING TCP 0.0.0.0:13 0.0.0.0:0 LISTENING TCP 0.0.0.0:17 0.0.0.0:0 LISTENING TCP 0.0.0.0:19 0.0.0.0:0 LISTENING TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 0.0.0.0:6515 0.0.0.0:0 LISTENING TCP 127.0.0.1:1026 0.0.0.0:0 LISTENING TCP 127.0.0.1:1120 127.0.0.1:1121 ESTABLISHED TCP 127.0.0.1:1121 127.0.0.1:1120 ESTABLISHED TCP 127.0.0.1:1122 127.0.0.1:1123 ESTABLISHED TCP 127.0.0.1:1123 127.0.0.1:1122 ESTABLISHED TCP ***.***.***.***:139 0.0.0.0:0 LISTENING TCP ***.***.***.***:1119 ***.***.***.17:3128 CLOSE_WAIT UDP 0.0.0.0:7 *:* UDP 0.0.0.0:9 *:* UDP 0.0.0.0:13 *:* UDP 0.0.0.0:17 *:* UDP 0.0.0.0:19 *:* UDP 0.0.0.0:445 *:* UDP 0.0.0.0:500 *:* UDP 0.0.0.0:1039 *:* UDP 0.0.0.0:1075 *:* UDP 0.0.0.0:4500 *:* UDP 0.0.0.0:6514 *:* UDP 0.0.0.0:6515 *:* UDP 0.0.0.0:6516 *:* UDP 0.0.0.0:12352 *:* UDP 127.0.0.1:123 *:* UDP 127.0.0.1:1036 *:* UDP 127.0.0.1:1900 *:* UDP ***.***.***.***:123 *:* UDP ***.***.***.***:137 *:* UDP ***.***.***.***:138 *:* UDP ***.***.***.***:520 *:* UDP ***.***.***.***:1900 *:*
- 締切済み
- ネットワーク
- これらの通信で気になる部分はありますか。
>netstat -an Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:135 0.0.0.0:0 LISTENING TCP 0.0.0.0:445 0.0.0.0:0 LISTENING TCP 127.0.0.1:2559 0.0.0.0:0 LISTENING TCP 127.0.0.1:5152 0.0.0.0:0 LISTENING TCP 127.0.0.1:30606 0.0.0.0:0 LISTENING TCP 自分のDhcp割当てIP:1038 91.228.165.44:80 TIME_WAIT TCP 自分のDhcp割当てIP:1039 91.228.166.16:80 TIME_WAIT TCP [::]:135 [::]:0 LISTENING 0 TCP [::1]:30606 [::]:0 LISTENING 0 UDP 0.0.0.0:445 *:* UDP 127.0.0.1:123 *:* UDP 127.0.0.1:45301 *:* UDP 127.0.0.1:48000 *:* UDP 127.0.0.1:48001 *:* UDP 自分のDhcp割り当てIP:123 *:* 先ほどNetBiosをきってWINSも無効にして、445をSMBDeviceEnabled:0にして再起動しました。
- ベストアンサー
- ネットワーク
- netstatコマンドのアドレスについて
netstat コマンドの ローカルアドレスと、外部アドレスに関しての質問です。 私は、コンピューター初心者で、上手く質問できていなかったらすみません。 netstat -aを実行すると、以下のような結果になりました。(一部抜粋) Proto Local Address Foreign Address State (1) TCP 0.0.0.0:xxx 自分のPCのホスト名:0 LISTENING (2) TCP 自分のPCのIPアドレス:xxx 自分のPCのホスト名:0 LISTENING (3) TCP 127.0.0.1:xxx 自分のPCのホスト名:0 LISTENING *xxxの部分はポート番号です。 質問(1) ローカルアドレス部分の 0.0.0.0が、自分のPCが持つ全てのIPアドレスで待ち受けると言う意味合いで合っていますか? そして、ローカルアドレスに0.0.0.0 に対して、外部アドレスに 「自分のPCのホスト名」 がきているのは何故でしょうか? 質問(2) ローカルアドレスに自分のIPアドレス、外部アドレスに 自分のホスト名があるのはどういったことでしょう? 質問(3) (3)のケースでは、自分のパソコンの上で動いているアプリケーション等に自分がアクセスしに言っているという事でしょうか? もし具体例があれば教えていただけると助かります。 よろしくおねがいします。
- ベストアンサー
- ネットワーク
- 127.0.0.1とlocalhost
すみません。サーバのこともよくわかっていないような初心者です。 tomcatをインストールして、起動し、以下のURLで実行してみました。 http://localhost:8080 だと、‘server hungup’というエラーが出ます。 しかし、 http://127.0.0.1 だと、ちゃんと画面が表示されます。 これはどうしてなのでしょうか? 参考になるのかどうかはわかりませんが、以下にnetstat -naのコマンドを入力したときのDOS画面の表示を載せておきます。実はこのコマンドが何をしているのかもよくわかっていないのですが・・・。 C:\tomcat4.0.3\bin>netstat -na Active Connections Proto Local Address Foreign Address State TCP 0.0.0.0:8008 0.0.0.0:0 LISTENING TCP 0.0.0.0:8009 0.0.0.0:0 LISTENING TCP 0.0.0.0:8080 0.0.0.0:0 LISTENING TCP 127.0.0.1:8005 0.0.0.0:0 LISTENING TCP 127.0.0.1:2142 0.0.0.0:0 LISTENING TCP 127.0.0.1:2271 0.0.0.0:0 LISTENING TCP 169.254.139.254:137 0.0.0.0:0 LISTENING TCP 169.254.139.254:138 0.0.0.0:0 LISTENING TCP 169.254.139.254:139 0.0.0.0:0 LISTENING TCP 219.106.133.17:137 0.0.0.0:0 LISTENING TCP 219.106.133.17:138 0.0.0.0:0 LISTENING TCP 219.106.133.17:139 0.0.0.0:0 LISTENING UDP 127.0.0.1:2142 *:* UDP 127.0.0.1:2271 *:* 字数制限のため、一部省略してます。 よろしくお願いします。
- ベストアンサー
- Java
- ポートの状態について
初心者です。 netstat -anを実行した時に表示される情報の見方を 教えてください。 Proto Local Address Foreign Address State TCP 0.0.0.0:5000 0.0.0.0:0 LISTENING TCP 127.0.0.1:8431 0.0.0.0:0 LISTENING この5000番と8431番は、いつもLISTENINGという状態に なっているみたいです。
- ベストアンサー
- ネットワーク
- netstatについて
こんにちは。質問です。 Windows上でコマンドプロンプトを実行して、netstatと打ち込むとネットワークの状態(だと思うのですが)が表示されます。 そこで質問なのですが、 Proto Local Address Foreign Address State TCP (コンピュータ名):1663(1) (接続先?) TCP (上と同じ) : ・ ・ ・ ・ ・ ・ ・ ・ ・ ・ (これが100個位出ます) 分かりづらくて申し訳ございません。 質問したいのはTCPの欄が100個以上でるので、これを減らしたい訳です。 よく見ると、1663((1)参照)の数字が続いてます(1663,1670,1671等) タスクバーに表示される自動更新時に上記の症状が出ます。 お陰でPCはフリーズしますし、自動更新のダウンロードは止まります。 ウイルスだと思いましたが、ウイルスソフトを使用しても変わりません。 NTTさんの方にも電話しましたが、エラーログは発見出来なかったそうです。 何か良い方法がありましたら御願いします。 では失礼します。
- 締切済み
- ネットワーク
- netstatについて
こんにちは。よろしくお願いします。 REDHAT7.3をインストールした上で、netstatツールで $netstat -ant を実行すると、 Proto Recv-Q Send-Q LocalAddress ForeignAddress State tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN tcp 0 0 192.168.0.192:53 0.0.0.0:* LISTEN となっています(他省略) この数値はどこで設定された物が反映されているのでしょうか?
- 締切済み
- Linux系OS
- netstat -a
netstat -a Proto Local Address Foreign Address State TCP dtsdsd:epmap rad.msn.com:0 LISTENING TCP dtsdsd:microsoft-ds rad.msn.com:0 LISTENING TCP dtsdsd:990 rad.msn.com:0 LISTENING TCP dtsdsd:2869 rad.msn.com:0 LISTENING TCP dtsdsd:1029 rad.msn.com:0 LISTENING TCP dtsdsd:1038 rad.msn.com:0 LISTENING TCP dtsdsd:5152 rad.msn.com:0 LISTENING TCP dtsdsd:5679 rad.msn.com:0 LISTENING TCP dtsdsd:7438 rad.msn.com:0 LISTENING TCP dtsdsd:netbios-ssn rad.msn.com:0 LISTENING TCP dtsdsd:1061 pv-in-f147.1e100.net:https ESTABLISHED TCP dtsdsd:1074 pv-in-f147.1e100.net:http ESTABLISHED TCP dtsdsd:1079 pv-in-f102.1e100.net:http ESTABLISHED TCP dtsdsd:1080 pv-in-f102.1e100.net:http ESTABLISHED TCP dtsdsd:1100 px-in-f101.1e100.net:http ESTABLISHED TCP dtsdsd:1103 px-in-f154.1e100.net:http ESTABLISHED TCP dtsdsd:1104 px-in-f154.1e100.net:http ESTABLISHED TCP dtsdsd:1126 pw-in-f100.1e100.net:http ESTABLISHED こんな感じですrad.msn.comはmsnを実行したわけでもないのであります したのpv-in-f147.le100.netはなんですか? 実はこれだけじゃなくいろんな変な住所とがある時もあります portが13121, 53513, 61252など。。。 trojanウイルスでしょうか? trojanウイルスを消すだめにどうしたらいいんでしょうか
- ベストアンサー
- ネットワーク
お礼
ご回答ありがとうございます。 大変失礼いたしました。OS は XP SP2 です。 PIDからプロセスを特定すれば(あるいはnetstatのオプションを利用すれば)、 コンピュータ上で何が行われているかを調べる事ができるのですね。 早速、確認したいと思います。