3

Когда я делаю netstat (в Windows XP), я, кажется, всегда получаю огромное количество подключений www.partypoker.com и не могу понять, откуда они берутся.

netstat -o показывает мне, что некоторые приходят из PID xxx, то есть Firefox, но если я убью его, соединения все равно останутся.

Некоторые приходят с PID 0, что не имеет смысла для меня.

ВТОРАЯ ПРОБЛЕМА: Можно подумать, что вы можете отредактировать файл C:\WINDOWS\system32\drivers\etc\hosts чтобы заблокировать это, но похоже, что моя машина игнорирует файл hosts! (Я пробовал с включенной и отключенной службой DNS-клиента, тот же результат).

Я только что перезагрузился, убил все мои обычные программы, и я не могу воспроизвести проблему. Если бы я был параноиком, я бы подумал, что там бегает какой-то умный троян.

Я работаю под управлением Windows XP Professional, Антивируса Касперского, CCleaner и полностью обновлен в Центре обновления Windows. Что дает?

Мои вопросы:

  1. Кто-нибудь еще видит эти странные связи с partypoker.com?
  2. Почему не работает мой фильтр хостов?
  3. Могу ли я запустить утилиту, чтобы узнать, что происходит? Я пробовал autoruns.exe от Sysinternals, но ничего интересного не увидел.

Я один с этой проблемой? Если вам понадобятся какие-то дополнительные вещи, дайте мне знать.

|источник

4 ответа4

2

2) Почему мой хост-фильтр не работает?

Одним из объяснений является то, что рекламное / вредоносное ПО подключено к серверу, используя другое DNS-имя или IP-адрес. Когда netstat разрешил IP-адрес, вы получили PTR-запись, которая может быть другим DNS-именем. Это означает, что поиск HOSTS, вероятно, был не для (www.) Partypoker.com.

|источник
0

Две заметки, которые могут прояснить ситуацию:

  • netstat не имеет возможности узнать, какое имя было использовано для установления соединения; он отслеживает только IP-адрес (проверьте это с помощью netstat -n -o). При отображении информации он пытается преобразовать IP-адреса обратно в имя. Таким образом, имеющееся у вас вредоносное ПО может подключаться напрямую к IP-адресу или к совершенно другому имени.

  • PID 0 может быть показан для соединений TCP в состоянии TIME_WAIT после завершения процесса. Это нормально.

|источник
0

Эти связи могут быть из-за баннеров на сайтах, которые вы посетили.

Соединение не исчезает сразу после netstat после того, как фактическое соединение было разорвано. Возникает вопрос - в каком состоянии находятся подключения к partypoker? ESTABLISHED или CLOSE_WAIT или что-то еще?

|источник
0

Ну, Party Poker - это известный онлайн покер-рум (я тоже там играю :)). Я не знаю, что касается FireFox, но он устанавливает что-то для IE, по крайней мере, значок быстрого запуска и что-то еще (я думаю, какой-то плагин для игр в браузере) - я заблокировал его при установке клиента. По крайней мере, это не похоже на вредоносное ПО. Попробуйте найти и удалить клиент PartyPoker, если он у вас есть. Также перезагрузите компьютер и проверьте, есть ли соединения перед запуском FF - потому что я действительно думаю, что это своего рода плагин от PartyPoker, который определенно не рискованный сайт.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .