taskmgr.exe запрашивает разрешение на подключение к 66.152.109.110.
Я использую Windows 7. Это нормально? Моя машина заражена вредоносным ПО? Спасибо!
Посещение http://66.152.109.110
дает нам сайт Road Runner
.
Когда Google google для Road Runner 66.152.109.110
выдает нам доменное имя, которое я нашел :
nslookup dnssearch.rr.com
Name: twc.cfg.srchdeliv.com
Addresses: 184.106.15.239
66.152.109.110
204.232.137.207
Aliases: dnssearch.rr.com
Теперь давайте сделаем немного whois, чтобы увидеть, кто эти ребята:
whois rr.com
Domain Name: rr.com
Registrar Name: Markmonitor.com
Registrar Whois: whois.markmonitor.com
Registrar Homepage: http://www.markmonitor.com
Administrative Contact:
Domain Name Administrator
Time Warner Cable Inc.
60 Columbus Circle
New York NY 10023
US
dnsadmin@rr.com +1.2123648539 Fax: +1.7049736228
Technical Contact, Zone Contact:
Domain Name Administrator
Time Warner Cable Inc.
7910 Crescent Executive Drive
Charlotte NC 28217
US
dnsadmin@rr.com +1.8777772263 Fax: +1.7047311180
Кажется, Markmonitor защищает бренд, который с меньшей вероятностью указывает на странный вредоносный IP-адрес.
Но есть также srchdeliv.com
, давайте посмотрим, что он говорит:
whois srchdeliv.com
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: SRCHDELIV.COM
Created on: 19-Mar-08
Expires on: 19-Mar-14
Last Updated on: 25-Jul-10
Administrative Contact:
Private, Registration SRCHDELIV.COM@domainsbyproxy.com
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2598
Technical Contact:
Private, Registration SRCHDELIV.COM@domainsbyproxy.com
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2598
Опять бренд защищен.
Делая обратный IP, вы 66-152-109-110.tvc-ip.com
, давайте сделаем еще один:
whois tvc-ip.com
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: TVC-IP.COM
Created on: 17-Dec-03
Expires on: 17-Dec-13
Last Updated on: 05-Oct-11
Administrative Contact:
Private, Registration TVC-IP.COM@domainsbyproxy.com
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2598
Technical Contact:
Private, Registration TVC-IP.COM@domainsbyproxy.com
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2598
Заметьте что-нибудь? Точно, распространяется на одного и того же владельца регистрации, который может связать все три вместе.
Чего нам не хватает? Правильно, посещение доменных имен, чтобы увидеть, что они размещают.
http://www.rr.com (Road Runner) кажется совершенно безопасным сайтом, который связан с Time Warner Cable, как указано внизу (возможно, связано с TVC?) который также кажется совершенно безопасным сайтом.
Небольшое обновление:
Я обнаружил, что rr.com
также служит обработчиком почты для tt.
домен.
Перейдите к этому онлайн-инструменту dig
и введите tt.
и выберите MX
для запроса, затем нажмите « Look it up
.
tt. 86400 IN MX 0 66-27-54-138.san.rr.com.
tt. 86400 IN MX 10 66-27-54-142.san.rr.com.
Это делает rr.com
действительно настолько легитимным, насколько это возможно.
Но почему taskmgr.exe пытается подключиться к нему?
Вы помните посещение Road Runner или Time Warner Cable, или вы пользуетесь их услугами?
Я не вижу другой возможности, кроме этого, учитывая, что эти последние сайты выглядят безопасными. И ясно, что IP является DNS для их функции поиска DNS. Вполне возможно, что у них есть инфекция, и она распространяется на вас; но я бы не был так уверен поначалу ...
Можете ли вы опубликовать нам вывод ipconfig /all
, возможно, он установлен в качестве вашего DNS?
Если вы полностью не используете какую-либо из этих служб, вредоносные программы, скорее всего, используют этот веб-сайт для решения проблем; то есть обойти файл hosts / собственные настройки DNS.
Именованный хост участвует в массовых злоупотреблениях и присутствует в большинстве глобальных черных списков. Итак, у вас есть черный ход.
Используйте чистый компьютер для записи CD с:
Затем:
Если вы напрямую подключены к Интернету с помощью компьютера с Windows, вам может потребоваться домашний маршрутизатор NAT.
Я совершенно уверен, что вы имеете дело с червем или троянским конем.
Я не могу придумать ни одной вероятной причины, по которой диспетчер задач должен открывать интернет-соединения.
Обратный вход DNS в IP является 66-152-109-110.tvc-ip.com
так что это жилая IP конечного пользователя (Task Manager открывает подключение к something.microsoft.com
будет отличаться).
Тот же IP появился в этом посте о потенциальном варианте Conficker.
Попробуйте загрузить Malwarebytes Anti-Malware Free, установить его, загрузить в безопасном режиме и просканировать свою систему.
На самом деле, это не вредоносное ПО, а сервис, предоставляемый RoadRunner/Bright House/TWC под названием "RoadRunner Search Guide".
Просто зайдите на http://dnssearch.rr.com, и вы увидите ссылку "Отказаться от участия в этом сервисе".
В разделе «Служба перенаправления ошибок веб-адреса» выберите "Отключить"
Это откажется от вас и вернет вам ваши обычные функции DNS.
Также на http://dnssearch.rr.com вы увидите ссылку «Почему я здесь?"
Я провел вечер, пытаясь выяснить, почему друг продолжал получать nslookups для сайтов www для 66.162.109.110 и 69.16.143.110, но не для поиска доменов. Это выглядело достаточно, как "Золотой щит" Китая, что я начал подозревать интернет-провайдера.
Лично я чувствую, что они должны были быть немного более очевидными в том, что они делали. Но это только мое мнение.
Это http://silkroad6ownowfk.onion Сайт черного рынка. Это украдет вашу информацию.