taskmgr.exe запрашивает разрешение на подключение к 66.152.109.110

Question

taskmgr.exe запрашивает разрешение на подключение к 66.152.109.110.

Я использую Windows 7. Это нормально? Моя машина заражена вредоносным ПО? Спасибо!

Answer 1

Посещение http://66.152.109.110 дает нам сайт Road Runner .

Когда Google google для Road Runner 66.152.109.110 выдает нам доменное имя, которое я нашел :

nslookup dnssearch.rr.com

Name:    twc.cfg.srchdeliv.com
Addresses:  184.106.15.239
          66.152.109.110
          204.232.137.207
Aliases:  dnssearch.rr.com

Теперь давайте сделаем немного whois, чтобы увидеть, кто эти ребята:

whois rr.com

Domain Name: rr.com

    Registrar Name: Markmonitor.com
    Registrar Whois: whois.markmonitor.com
    Registrar Homepage: http://www.markmonitor.com

Administrative Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    60 Columbus Circle
     New York NY 10023
    US
    dnsadmin@rr.com +1.2123648539 Fax: +1.7049736228
Technical Contact, Zone Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    7910 Crescent Executive Drive
     Charlotte NC 28217
    US
    dnsadmin@rr.com +1.8777772263 Fax: +1.7047311180

Кажется, Markmonitor защищает бренд, который с меньшей вероятностью указывает на странный вредоносный IP-адрес.

Но есть также srchdeliv.com , давайте посмотрим, что он говорит:

whois srchdeliv.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: SRCHDELIV.COM
   Created on: 19-Mar-08
   Expires on: 19-Mar-14
   Last Updated on: 25-Jul-10

Administrative Contact:
   Private, Registration  SRCHDELIV.COM@domainsbyproxy.com
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  SRCHDELIV.COM@domainsbyproxy.com
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Опять бренд защищен.

Делая обратный IP, вы 66-152-109-110.tvc-ip.com , давайте сделаем еще один:

whois tvc-ip.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: TVC-IP.COM
   Created on: 17-Dec-03
   Expires on: 17-Dec-13
   Last Updated on: 05-Oct-11

Administrative Contact:
   Private, Registration  TVC-IP.COM@domainsbyproxy.com
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  TVC-IP.COM@domainsbyproxy.com
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Заметьте что-нибудь? Точно, распространяется на одного и того же владельца регистрации, который может связать все три вместе.

Чего нам не хватает? Правильно, посещение доменных имен, чтобы увидеть, что они размещают.

http://www.rr.com (Road Runner) кажется совершенно безопасным сайтом, который связан с Time Warner Cable, как указано внизу (возможно, связано с TVC?) который также кажется совершенно безопасным сайтом.

Небольшое обновление:

Я обнаружил, что rr.com также служит обработчиком почты для tt. домен.

Перейдите к этому онлайн-инструменту dig и введите tt. и выберите MX для запроса, затем нажмите « Look it up .

tt.    86400    IN    MX    0    66-27-54-138.san.rr.com.
tt.    86400    IN    MX    10   66-27-54-142.san.rr.com.

Это делает rr.com действительно настолько легитимным, насколько это возможно.

Но почему taskmgr.exe пытается подключиться к нему?

Вы помните посещение Road Runner или Time Warner Cable, или вы пользуетесь их услугами?

Я не вижу другой возможности, кроме этого, учитывая, что эти последние сайты выглядят безопасными. И ясно, что IP является DNS для их функции поиска DNS. Вполне возможно, что у них есть инфекция, и она распространяется на вас; но я бы не был так уверен поначалу ...

Можете ли вы опубликовать нам вывод ipconfig /all , возможно, он установлен в качестве вашего DNS?

Если вы полностью не используете какую-либо из этих служб, вредоносные программы, скорее всего, используют этот веб-сайт для решения проблем; то есть обойти файл hosts / собственные настройки DNS.

Answer 2

Именованный хост участвует в массовых злоупотреблениях и присутствует в большинстве глобальных черных списков. Итак, у вас есть черный ход.

Используйте чистый компьютер для записи CD с:

• Авира Антивирус
• Comodo Antivirus
• AVG Antivirus
• Spybot s & d
• Все обновления
• Какой-нибудь уборщик в вашей компании. Как Sophos или Dr.Web.

Затем:

• Отключите компьютер от сети любого типа
• Загрузка в безопасном режиме
• Удалите все имеющиеся у вас антивирусы и шпионские программы - они бесполезны (но ваш брандмауэр все еще работает)
• Установите spybot, обновите с помощью * _include.exe, выполните иммунизацию системы, перезагрузите компьютер в безопасном режиме, выполните сканирование и очистку с помощью spybot.
• После того, как все получится, перезагрузите компьютер и повторите сканирование до полной очистки.
• Теперь установите любой AV по вашему выбору и выполните полную очистку, перезагрузку, повторное сканирование до очистки, удаление, перезагрузку, затем еще один, и так далее, пока не почувствуете себя правильно.

Если вы напрямую подключены к Интернету с помощью компьютера с Windows, вам может потребоваться домашний маршрутизатор NAT.

Answer 3

Я совершенно уверен, что вы имеете дело с червем или троянским конем.

• Я не могу придумать ни одной вероятной причины, по которой диспетчер задач должен открывать интернет-соединения.

• Обратный вход DNS в IP является 66-152-109-110.tvc-ip.com так что это жилая IP конечного пользователя (Task Manager открывает подключение к something.microsoft.com будет отличаться).

• Тот же IP появился в этом посте о потенциальном варианте Conficker.

Попробуйте загрузить Malwarebytes Anti-Malware Free, установить его, загрузить в безопасном режиме и просканировать свою систему.

Answer 4

На самом деле, это не вредоносное ПО, а сервис, предоставляемый RoadRunner/Bright House/TWC под названием "RoadRunner Search Guide".

Просто зайдите на http://dnssearch.rr.com, и вы увидите ссылку "Отказаться от участия в этом сервисе".

В разделе «Служба перенаправления ошибок веб-адреса» выберите "Отключить"

Это откажется от вас и вернет вам ваши обычные функции DNS.

Также на http://dnssearch.rr.com вы увидите ссылку «Почему я здесь?"

Я провел вечер, пытаясь выяснить, почему друг продолжал получать nslookups для сайтов www для 66.162.109.110 и 69.16.143.110, но не для поиска доменов. Это выглядело достаточно, как "Золотой щит" Китая, что я начал подозревать интернет-провайдера.

Лично я чувствую, что они должны были быть немного более очевидными в том, что они делали. Но это только мое мнение.

Answer 5

Это http://silkroad6ownowfk.onion Сайт черного рынка. Это украдет вашу информацию.