当我执行 netstat(在 Windows XP 上)时,我似乎总是会收到大量 www.partypoker.com 连接,而且我无法弄清楚它们来自哪里。
Anetstat -o
显示有些来自 PID xxx,即 Firefox,但如果我将其终止,连接仍然保留。
有些来自 PID 0,这对我来说没有意义。
第二个问题:有人会认为你可以编辑C:\WINDOWS\system32\drivers\etc\hosts
文件来阻止这种情况,但似乎我的机器忽略了 hosts 文件!(我尝试过启用和禁用 DNS 客户端服务,结果相同)。
我刚刚重启,关闭了所有正常程序,但问题似乎没有重现。如果我是个多疑的人,我会认为有某种智能木马在运行。
我正在运行 Windows XP Professional、Kaspersky Antivirus、CCleaner,并且已完全更新 Windows Update。发生了什么?
我的问题是:
- 还有其他人看到这些与 partypoker.com 的奇怪连接吗?
- 为何我的主机过滤器不工作?
- 是否有可以运行的实用程序来查明发生了什么?我尝试过 Sysinternals 中的 autoruns.exe,但没有发现任何有趣的东西。
只有我一个人有这个问题吗?如果您需要我运行任何其他程序,请告诉我。
答案1
2)为什么我的主机过滤器不工作?
一种解释是,广告软件/恶意软件使用连接到服务器不同的 DNS 名称或者IP地址。当 netstat 解析 IP 地址时,您会得到 PTR 记录,这可能是一个不同的 DNS 名称。这意味着,HOSTS 查找可能不是针对 (www.)partypoker.com 名称。
答案2
有两点也许能消除一些困惑:
netstat 无法找出用于发起连接的名称;它只跟踪 IP 地址(使用 netstat -n -o 检查)。当向您显示信息时,它会尝试将 IP 地址解析回名称。因此,您拥有的恶意软件可能会直接连接到 IP 地址或完全不同的名称。
进程终止后,处于 TIME_WAIT 状态的 TCP 连接可能会显示 PID 0。这是正常现象。
答案3
这些连接可能是由于您访问过的网站上的横幅广告造成的。
实际连接结束后,连接不会立即从 netstat 中消失。这就产生了一个问题 - 与 partypoker 的连接处于什么状态?ESTABLISHED 还是 CLOSE_WAIT 还是其他状态?
答案4
好吧,Party Poker 是一个著名的在线扑克室(我也在那里玩 :))。我不知道 FireFox 是否如此,但它会为 IE 安装一些东西,至少是快速启动图标和其他东西(我认为是一些用于浏览器内游戏的插件)——我在安装客户端时阻止了它。至少它看起来不像是恶意软件。如果您有 PartyPoker 客户端,请尝试找到并卸载它。在运行 FF 之前,还要重新启动并检查是否有连接——因为我真的认为它是 PartyPoker 的某种插件,而 PartyPoker 绝对不是一个有风险的网站。