Windows DatabaseebooksStatistical Information

LWE10028 : Howto find which service is listening on which port on windows

Symptom:

Service does not run properly after a firewall has been installed

Cause:

The necessary ports have been blocked

Solution:

In the first step you use Netstat.exe at the command line:
netstat -a -o -n
-a displays all connections and listening ports
-o displays the PID for each connection
-n displays address and port number as numbers

The following list show an example:
C:>tasklist /svc

Abbildname                  PID Dienste
========================= ===== =============================================
System Idle Process           0 Nicht verfügbar
System                        4 Nicht verfügbar
smss.exe                    608 Nicht verfügbar
csrss.exe                   664 Nicht verfügbar
winlogon.exe                688 Nicht verfügbar
services.exe                732 Eventlog, PlugPlay
lsass.exe                   744 Netlogon, PolicyAgent, ProtectedStorage,
                                SamSs
svchost.exe                1108 DcomLaunch, TermService
svchost.exe                1176 RpcSs
svchost.exe                1264 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
                                EventSystem, helpsvc, lanmanserver,
                                lanmanworkstation, Netman, Nla, RasMan,
                                seclogon, SENS, SharedAccess,
                                ShellHWDetection, srservice, TapiSrv,
                                Themes, TrkWks, winmgmt, Wmi, wuauserv,
                                WZCSVC
svchost.exe                1360 Dnscache
svchost.exe                1460 LmHosts, RemoteRegistry, SSDPSRV, WebClient
spoolsv.exe                1572 Spooler
mgmtagnt.exe               1728 esiCore
GoogleUpdaterService.exe   1808 gusvc
LogWatNT.exe               1876 LogWatch
FrameworkService.exe       1892 McAfeeFramework
Mcshield.exe               1964 McShield
VsTskMgr.exe               1980 McTaskManager
naPrdMgr.exe               2012 Nicht verfügbar
sqlservr.exe                164 MSSQL$SQLEXPRESS
sftvsa.exe                  412 sftvsa
sftlist.exe                1124 sftlist
mgmtagnt.exe               1772 ersupext
alg.exe                    2092 ALG
sftdcc.exe                 2644 Nicht verfügbar
explorer.exe               2668 Nicht verfügbar
igfxtray.exe               2884 Nicht verfügbar
hkcmd.exe                  2936 Nicht verfügbar
igfxpers.exe               2964 Nicht verfügbar
shstat.exe                 2980 Nicht verfügbar
UpdaterUI.exe              3068 Nicht verfügbar
eTray.exe                  3228 Nicht verfügbar
ctfmon.exe                 3256 Nicht verfügbar
OSA.EXE                    3248 Nicht verfügbar
mmc.exe                    3288 Nicht verfügbar
sfttray.exe                1480 Nicht verfügbar
MDM.EXE                    2344 Nicht verfügbar
WINWORD.EXE                2536 Nicht verfügbar
cmd.exe                    3632 Nicht verfügbar
firefox.exe                3076 Nicht verfügbar
notepad.exe                2704 Nicht verfügbar
wmiprvse.exe               3920 Nicht verfügbar
wuauclt.exe                2308 Nicht verfügbar
tasklist.exe                712 Nicht verfügbar
wmiprvse.exe                844 Nicht verfügbar


In the next step you find out which service has which PID by running the command tasklist /svc.

C:>tasklist /svc

Abbildname                  PID Dienste
========================= ===== =============================================
System Idle Process           0 Nicht verfügbar
System                        4 Nicht verfügbar
smss.exe                    608 Nicht verfügbar
csrss.exe                   664 Nicht verfügbar
winlogon.exe                688 Nicht verfügbar
services.exe                732 Eventlog, PlugPlay
lsass.exe                   744 Netlogon, PolicyAgent, ProtectedStorage,
                                SamSs
svchost.exe                1108 DcomLaunch, TermService
svchost.exe                1176 RpcSs
svchost.exe                1264 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
                                EventSystem, helpsvc, lanmanserver,
                                lanmanworkstation, Netman, Nla, RasMan,
                                seclogon, SENS, SharedAccess,
                                ShellHWDetection, srservice, TapiSrv,
                                Themes, TrkWks, winmgmt, Wmi, wuauserv,
                                WZCSVC
svchost.exe                1360 Dnscache
svchost.exe                1460 LmHosts, RemoteRegistry, SSDPSRV, WebClient
spoolsv.exe                1572 Spooler
mgmtagnt.exe               1728 esiCore
GoogleUpdaterService.exe   1808 gusvc
LogWatNT.exe               1876 LogWatch
FrameworkService.exe       1892 McAfeeFramework
Mcshield.exe               1964 McShield
VsTskMgr.exe               1980 McTaskManager
naPrdMgr.exe               2012 Nicht verfügbar
sqlservr.exe                164 MSSQL$SQLEXPRESS
sftvsa.exe                  412 sftvsa
sftlist.exe                1124 sftlist
mgmtagnt.exe               1772 ersupext
alg.exe                    2092 ALG
sftdcc.exe                 2644 Nicht verfügbar
explorer.exe               2668 Nicht verfügbar
igfxtray.exe               2884 Nicht verfügbar
hkcmd.exe                  2936 Nicht verfügbar
igfxpers.exe               2964 Nicht verfügbar
shstat.exe                 2980 Nicht verfügbar
UpdaterUI.exe              3068 Nicht verfügbar
eTray.exe                  3228 Nicht verfügbar
ctfmon.exe                 3256 Nicht verfügbar
OSA.EXE                    3248 Nicht verfügbar
mmc.exe                    3288 Nicht verfügbar
sfttray.exe                1480 Nicht verfügbar
MDM.EXE                    2344 Nicht verfügbar
WINWORD.EXE                2536 Nicht verfügbar
cmd.exe                    3632 Nicht verfügbar
firefox.exe                3076 Nicht verfügbar
notepad.exe                2704 Nicht verfügbar
wmiprvse.exe               3920 Nicht verfügbar
wuauclt.exe                2308 Nicht verfügbar
tasklist.exe               3952 Nicht verfügbar
wmiprvse.exe               2400 Nicht verfügbar

Now you can use find to go through the list and to find the ports for the service. e.g. McShield has PID=1964

C:>netstat -a -o -n|find /i "1964"
  UDP    127.0.0.1:1038         *:*                                    1964

and uses UDP Port 1038.

Disclaimer:

The information provided in this document is intended for your information only. Lubby makes no claims to the validity of this information. Use of this information is at own risk!
Copyright © 2004-2011 Lubby (V3.0.10 Aug 2011)
Sponsored by Keskon.
Statistical information by Google Analytics