Каждое приложение в Windows 7 (даже если они вообще не используют Интернет, например notepad.exe) пытается получить доступ к Интернету

Question

После некоторого недавнего обновления программного обеспечения AV/FW (Comodo) и перезагрузки компьютера я был обеспокоен большим количеством предупреждений о том, что приложение "x" (где "x" - это почти все, что я пытаюсь запустить) пытается установить исходящее соединение на адрес 224.0.0.252 (или иногда аналогичный адрес из того же диапазона). Даже если это какое-то фиктивное приложение, которое я только что создал, или любое приложение, которое не имеет ничего общего с интернетом. Кроме того, сам "Системный" процесс пытается также отправлять эти запросы IGMP. 5 соединений в минуту в среднем. Было также увеличение (или обновление FW вызвало чрезмерную чувствительность) с трафиком на портах 137 и 138 UDP, что я исправил, отключив NetBIOS.

Мой вопрос: что может быть причиной этого? Это нормально? Неужели мой брандмауэр стал сверхчувствительным в связи с последним обновлением, тревожащим меня о некоторых внутренних проблемах Windows, которые происходят постоянно? Или, может быть, я поймал что-то вредоносное (Comodo / Spybot Search и Destroy, похоже, не поднимают никаких красных флажков). Что еще я могу использовать, чтобы проверить / очистить мою систему от угроз, которые могут быть применены к моему текущему AV.FW (Comodo)?

-----Редактировать-----

Только что установленная система со всеми обновлениями, похоже, работает точно так же, но с меньшей интенсивностью. Сканирование с помощью Защитника Windows в автономном режиме не выявило проблем.

Я в основном из идей и все еще задаюсь вопросом, вызвано ли это недавним обновлением системы или, возможно, неисправным программным обеспечением брандмауэра. И если это вызвано каким-то руткитом, как выявить и избавиться от него.

Answer 1

Похоже, вы поймали что-то злое. Если вы поймали вирус / троянскую программу / шпионское ПО, которое использовало инъекцию DLL, и в этой внедренной DLL он вызвал тот IP-адрес, который вы видели, вы увидите именно то поведение, которое вы испытываете.

Это также может быть ошибочным обновлением от законной программы, и это объясняет, почему антивирус его не перехватил, но это маловероятно.

Я бы порекомендовал перейти на другой компьютер, который, как вы знаете, не содержит инфекций, и загрузить Windows Defender Offline Это позволит вам создать загрузочный CD/USB (если вы создаете загрузочный USB-диск, вы можете обновить определения вирусов, снова запустив программу установки с подключенным диском), и он будет сканировать ваш компьютер на наличие инфекций без загрузки ОС. если заражение блокирует вирусный сканер от просмотра зараженных файлов, запускается до того, как Windows (и до того, как вирус сможет попасть в сеть), автономное сканирование может увидеть скрытые файлы.

Answer 2

224.0.0.252 для разрешения имен на той же локальной ссылке LLMNR

По данным Управления по присвоению номеров в Интернете:

Многоадресные маршрутизаторы не должны пересылать никакие многоадресные дейтаграммы с адресами назначения в этом диапазоне, независимо от их TTL.

Это означает, что пакеты, отправленные на 224.0.0.252 (адрес многоадресной рассылки), ограничены, чтобы маршрутизатор с поддержкой многоадресной рассылки не мог переслать сообщение запроса за пределы подсети, в которую оно было первоначально отправлено.

Целью этих передач является разрешение имен (как это делает DNS). Он разрешает имена с одной меткой (например, MYCOMPUTR) в локальной подсети, когда деволюция DNS не может разрешить имя. Это полезно, если вы находитесь в сценарии Ad-Hoc сети или в сценарии, где записи DNS не включают хосты в локальной подсети.

Поэтому, если вы находитесь в не маршрутизируемой частной сети, эти пакеты будут видеть только локальные компьютеры, которые их прослушивают (настроенные для Network Discovery). Что слушатели узнают из прослушивания, так это имя компьютера.

Вы можете искать в вашем реестре EnableMulticast , который должен (как правило) находиться в разделе HKLM Windows Software. Если это установлено в ноль, эти пакеты должны остановиться.

Если вы используете IPv4, ваши локальные компьютеры, вероятно, смогут использовать NetBIOS через TCP/IP для разрешения имен, но, поскольку это не работает по IPv6, LLMNR вступит во владение.