PIDが0のプロセスがポートを空けている・・・

netstat　-ano
をしたところ、 Idle process である　pidが0のプロセスが、
src 192.168.0.2:1202 　dest ***.***.***.***:80 pid 0　
と通信しているようです。
こういうことはありえるんでしょうか。
ウイルスとかでしょうか。

No.3 回答者： ryu-fiz 回答日時： 2006/12/01 14:19

http://nagoya.cool.ne.jp/infinite/internet/troja …
を見た感じ、destつまりForeine Addressが***.***.***.***となっていても問題ないかな、とも思えますが…pidが0、つまりSystem Idle Processというのは…納得行きませんね。

http://www.atmarkit.co.jp/fwin2k/win2ktips/236po …
を参考にして、"netstat -anbv"を使うとより詳細に分かるかも知れませんが…何も分からないかも。

もし何かあるとしたら、WindowsAPIから隠蔽されている疑いが濃いので、最大限疑ってかかるとなるとrootkit関係を調べる必要があると思います。
取り敢えずF-Secure BlackLightを試しに使ってみればどうでしょう。
http://www.higaitaisaku.com/blacklight.html

ちなみに…192.168.0.2は常識的に考えればLAN接続された別のクライアントのプライベートIPでは。

あと、ご利用になっているPC周りのネットワーク環境とかをもっと詳しく補足されたほうがよろしいかと。私はあいにくLAN関係は疎いので何ともいえませんが…。

No.2 回答者： iso_tank 回答日時： 2006/12/01 11:05

アドレスから手がかりが得られるかもしれませんが

過去の投稿　QNo.2435267

http://sanwa.okwave.jp/kotaeru.php3?q=2435267

利用した事はありませんが
Port Reporter ツールの概要と入手方法

http://support.microsoft.com/kb/837243/ja

No.1 回答者： FMVNB50GJ 回答日時： 2006/12/01 08:49

http://www.symantec.com/region/jp/securitycheck/
それでセキュリティチェックをしてはどうですか。

「pidが0のプロセス」
よくわかりませんが、80というのは、相手のポート番号なら、サイトか80番ポートへのアクセスだろうと思います。

80番ポートにアクセスする不正プログラムがあったと思いますが。

ウイルス・スパイウェアの疑いはスキャンしてみることで確認ですね。

src 192.168.0.2:1202　あなたのパソコン1202番ポート
dest ***.***.***.***:80　相手のコンピューター80番ポート