none
Identificar/finalizar processo oculto RRS feed

  • Pergunta

  • Bom dia pessoal.

    Dei uma olhada aqui no fórum e não encontrei nada semelhante que poderia me ajudar.

    O que ocorre é o seguinte: tem uma analista de sistemas que utiliza um programinha, um servidor Telnet próprio em um dos nossos servidores. Para que ele funcione, o serviço Telnet do Windows tem que estar desabilitado. No services.msc, ele tem o nome de exibição Georgia SoftWorks UTS e o nome do serviço é GS_Tnet. Utilizamos o Windows Server 2003 Enterprise SP2.

    Ao tentar iniciar esse programa, nos logs do Windows é gerado a seguinte mensagem:

    Tipo de evento: Erro
    Fonte de evento: GS_Tnet
    Categoria do evento: Start/Stop
    Id. do evento: 19
    Data:  7/2/2011
    Hora:  09:48:32
    Usuário:  N/A
    Computador: NOME_DO_SERVIDOR
    Descrição:
    Service terminated abnormally -> Could not bind port.. Last WIN32 error: 10048(dec).

    Utilizando o comando netstat -ano |findstr "23" tenho a saída abaixo:


      TCP    0.0.0.0:23                  0.0.0.0:0                       LISTENING         1216
      TCP    127.0.0.1:61500        0.0.0.0:0                       LISTENING         1232
      TCP    172.20.2.20:23         172.20.2.20:3522          CLOSE_WAIT      1216
      TCP    172.20.2.20:23         192.168.102.79:1026    CLOSE_WAIT      1216
      TCP    172.20.2.20:23         192.168.102.79:1027    CLOSE_WAIT      1216
      TCP    172.20.2.20:23         192.168.102.79:1028    ESTABLISHED     1216
      TCP    172.20.2.20:23         192.168.102.80:1057    CLOSE_WAIT      1216

    Ou seja, algum programa/processo está utilizando a porta 23. Utilizei várias ferramentas (DameWare, Process Explorer, Process Revealer, Pslist, Pskill, Psinfo, Tasklist, Taskkill) e não consegui identificar/finalizar o processo que está usando a porta 23.

    Alguém conhece uma ferramenta capaz de identificar e finalizar o processo. Tem como dar um "restart" na porta para ela ser liberada?

    Desde já agradeço a atenção.


    Bruno Santos MCP, MCDST, MCSA, MCTS, MCITP O difícil é aprender a ler, o restante está escrito.
    segunda-feira, 7 de fevereiro de 2011 13:15

Respostas

  • Bom dia Bruno,

    execute o comando: netstat -anbo

    O -b vai te mostrar o executável do processo ligado aquela porta, já vai te ajudar a identificar quem é o kra que está escutando na Telnet.

    Para finalizar o processo utilize o taskkill: taskkill /PID 1234

    É claro, altere o número do PID do exemplo para o número correto do seu processo.

    Att,


    Fabiano Barreira

    MCP + MCDST + MCSA & MCSE on Windows Server 2003 + MCTS + MCITP
    Blog - http://fabianobarreira.wordpress.com
    • Marcado como Resposta Bruno Santos MCT terça-feira, 8 de fevereiro de 2011 18:36
    • Não Marcado como Resposta Bruno Santos MCT terça-feira, 8 de fevereiro de 2011 18:37
    • Marcado como Resposta Bruno Santos MCT terça-feira, 8 de fevereiro de 2011 18:37
    terça-feira, 8 de fevereiro de 2011 12:21

Todas as Respostas

  • Unlocker.
    Missão dada é missão cumprida.
    segunda-feira, 7 de fevereiro de 2011 16:43
    Moderador
  • Boa tarde Felipe. Obrigado pela resposta, mas infelizmente não é exatamente isso que procuro. Na verdade eu preciso identificar o que está utilizando a porta 23 e finalizá-lo. Se não me engano, outro analista tentou finalizar o PIP com o comando taskkill e recebeu a mensagem de acesso engado. Eu gostaria de identificar que é que está usando o PID para poder finalizá-lo. O engraçado é que quando reiniciamos o servidor tudo volta a funcionar. O ideal é não termos que reinciar o servidor...
    Bruno Santos MCP, MCDST, MCSA, MCTS, MCITP O difícil é aprender a ler, o restante está escrito.
    segunda-feira, 7 de fevereiro de 2011 17:46
  • O Unlocker se não me falha a memória vai identificar o que esta usando o PID.

    testou o unlocker e chegou a conclusão que não serve. ?


    Missão dada é missão cumprida.
    segunda-feira, 7 de fevereiro de 2011 18:28
    Moderador
  • Boa tarde Felipe.

    Na verdade não testei. Olhei a descrição dele no Baixaki e achei julguei que não serve. Vou testá-lo então e qualquer coisa posto os resutlados aqui.

    Abraços...


    Bruno Santos MCP, MCDST, MCSA, MCTS, MCITP O difícil é aprender a ler, o restante está escrito.
    segunda-feira, 7 de fevereiro de 2011 19:30
  • Bom dia Bruno,

    execute o comando: netstat -anbo

    O -b vai te mostrar o executável do processo ligado aquela porta, já vai te ajudar a identificar quem é o kra que está escutando na Telnet.

    Para finalizar o processo utilize o taskkill: taskkill /PID 1234

    É claro, altere o número do PID do exemplo para o número correto do seu processo.

    Att,


    Fabiano Barreira

    MCP + MCDST + MCSA & MCSE on Windows Server 2003 + MCTS + MCITP
    Blog - http://fabianobarreira.wordpress.com
    • Marcado como Resposta Bruno Santos MCT terça-feira, 8 de fevereiro de 2011 18:36
    • Não Marcado como Resposta Bruno Santos MCT terça-feira, 8 de fevereiro de 2011 18:37
    • Marcado como Resposta Bruno Santos MCT terça-feira, 8 de fevereiro de 2011 18:37
    terça-feira, 8 de fevereiro de 2011 12:21
  • Boa tarde Fabiano.

    Era exatamente isso o que eu procurava. Muito obrigado!!!

    Entretanto, como eu ainda não havia descoberto a solução, o servidor foi reiniciado para resolver o problema naquele momento. Portanto, não precisei executar o comando. Mas era isso mesmo o que eu precisava!!! Entretanto, eu já tinha tentado finalizar o PID usando o comando citado por você, porém recebi uma mensagem de acesso negado.

    Quero ver quando der problema novamente se ele vai me trazer o processo que, acredito eu, estava oculto, pois apenas consegui identificar o PID, porém o binário/arquivo/processo não era listado. E olha que eu usei diversas ferramentas.

    Também gostaria de agradecer ao Felipe Rocha pela ajuda. Valeu mesmo pessoal!!!

    Um grande abraço à todos!!!!


    Bruno Santos MCP, MCDST, MCSA, MCTS, MCITP O difícil é aprender a ler, o restante está escrito.
    • Editado Bruno Santos MCT terça-feira, 8 de fevereiro de 2011 18:38 Complemento de resposta.
    terça-feira, 8 de fevereiro de 2011 18:36