Primeiro, descubra quais portas TCP (e / ou UDP) estão sendo usadas. Meu palpite é TCP porta 135, mas acredito que RPC pode ser uma coisa complicada, possivelmente usando outras portas. Se o seu firewall permitir que você desabilite essas portas especificando determinadas regras, observe essas regras para ver quais portas estão envolvidas.
Em seguida, procure por conexões ativas. Uma maneira é através de uma linha de comando. Aqui estão os comandos para a linha de comando tradicional:
netstat -na
netstat -na | find /i "135" | more
(Se estiver usando o PowerShell, você precisará colocar um caractere / caractere de retorno antes de cada uma dessas aspas).
Outra maneira: no Windows 10 (e talvez tão cedo quanto o Vista?), clique com o botão direito do mouse na barra de tarefas e escolha Gerenciador de Tarefas. Na guia Desempenho, clique em "Gerenciador de recursos". (Ou, pode haver algumas outras maneiras de chegar ao Gerenciador de Recursos.) Vá para a guia Rede e expanda a seção "Conexões TCP" (preferencial). Ou, se o UDP estiver envolvido, a seção "Listening Ports" poderá ter mais informações.
O que isto faz é começar a identificar o endereço IP do invasor. Depois disso, talvez você não consiga obter mais informações, a menos que você comece a interagir com essa máquina. (Você pode precisar de permissões nessa máquina para encontrar mais detalhes.) Bem, você pode obter mais informações cheirando a conexão de rede (por exemplo, com TCPDump ou o mais gráfico Wireshark), mas é melhor tentar usar essa máquina ( através do seu teclado, ou através de ferramentas de gerenciamento remoto como o Gerenciamento do Computador ou WMIC).
Se o endereço IP remoto for de loopback (começa com "127." para IPv4, ou é ":: 1" para IPv6), então você provavelmente terá duas entradas (uma para a conexão de saída e outra para a conexão de recepção). Nesse caso, execute netstat -nab
em um prompt de comando. Certifique-se de que o prompt de comando esteja elevado (se você tiver o UAC ativado). Isso lhe dará um PID que pode ser usado para identificar qual programa local está sendo usado. Para fazer isso, em um prompt de comando elevado, use:
WMIC PROCESS GET Name,ProcessID /FORMAT:LIST
(Novamente, os usuários do PowerShell fazem um back-tick, desta vez antes da vírgula.) (Para obter mais informações, desative a parte "Nome, ProcessID"). Para um ProcessID / PID específico, por exemplo, 12345, você poderia usar:
WMIC PROCESS GET Name,ProcessID /FORMAT:TABLE | FIND /I "12345"