taskmgr.exe 正在请求连接到 66.152.109.110 的权限。
我正在使用 Windows 7。这正常吗?我的机器是否感染了恶意软件?谢谢!
答案1
访问http://66.152.109.110为我们提供了一个Road Runner站点。
在谷歌搜索时Road Runner 66.152.109.110 给我们一个域名,我查了一下:
nslookup dnssearch.rr.com
Name: twc.cfg.srchdeliv.com
Addresses: 184.106.15.239
66.152.109.110
204.232.137.207
Aliases: dnssearch.rr.com
现在让我们进行一些 whois 查询,看看这些人是谁:
whois rr.com
Domain Name: rr.com
Registrar Name: Markmonitor.com
Registrar Whois: whois.markmonitor.com
Registrar Homepage: http://www.markmonitor.com
Administrative Contact:
Domain Name Administrator
Time Warner Cable Inc.
60 Columbus Circle
New York NY 10023
US
[email protected] +1.2123648539 Fax: +1.7049736228
Technical Contact, Zone Contact:
Domain Name Administrator
Time Warner Cable Inc.
7910 Crescent Executive Drive
Charlotte NC 28217
US
[email protected] +1.8777772263 Fax: +1.7047311180
似乎 Markmonitor 保护一个品牌,这不太可能表示奇怪的恶意 IP。
但还有srchdeliv.com,让我们看看那句话是怎么说的:
whois srchdeliv.com
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: SRCHDELIV.COM
Created on: 19-Mar-08
Expires on: 19-Mar-14
Last Updated on: 25-Jul-10
Administrative Contact:
Private, Registration [email protected]
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2598
Technical Contact:
Private, Registration [email protected]
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2598
再次,品牌受到保护。
进行反向 IP 验证66-152-109-110.tvc-ip.com确实可以得到结果,让我们再做一次:
whois tvc-ip.com
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: TVC-IP.COM
Created on: 17-Dec-03
Expires on: 17-Dec-13
Last Updated on: 05-Oct-11
Administrative Contact:
Private, Registration [email protected]
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2598
Technical Contact:
Private, Registration [email protected]
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2598
注意到什么了吗?没错,由同一注册人承保,这可能将这三者联系在一起。
我们遗漏了什么?没错,访问域名,看看它们托管什么。
http://www.rr.com(Road Runner)似乎是一个完全安全的网站,它与时代华纳有线正如底部所述(可能与 TVC 相关?),这似乎也是一个完全安全的网站。
小更新:
我发现它rr.com还可作为该tt.域的邮件处理程序。
去这个在线dig工具并输入tt.并选择MX查询,然后单击Look it up。
tt. 86400 IN MX 0 66-27-54-138.san.rr.com.
tt. 86400 IN MX 10 66-27-54-142.san.rr.com.
这使得它rr.com尽可能合法。
但是为什么 taskmgr.exe 会尝试连接它呢?
您还记得访问过 Road Runner 或 Time Warner Cable 吗,或者您是其服务的用户吗?
鉴于最近这些网站,我认为没有其他可能性看起来很安全。很明显,IP 是 DNS,用于其 DNS 搜索功能。不过,他们可能感染了病毒,并传染给了你;但我一开始并不太确定……
您能否将输出发给我们ipconfig /all,也许您已将其设置为您的 DNS?
如果您完全不使用任何这些服务,恶意软件很可能会使用该网站来解决问题;这意味着绕过您的主机文件/自己的 DNS 设置。
答案2
命名主机涉及大量滥用,并且出现在大多数全球黑名单中。所以你有一个后门。
使用干净的计算机来录制 CD:
- Avira 防病毒软件
- Comodo 防病毒软件
- AVG 防病毒软件
- 间谍机器人
- 所有更新。
- 贵公司有一些清理工具。例如 Sophos 或 Dr.Web。
然后:
- 断开计算机与任何类型的网络的连接
- 以安全模式启动
- 卸载您拥有的任何防病毒/反间谍软件 - 它们都没用(但您的防火墙仍然很好)
- 安装 spybot,使用 *_includes.exe 更新,免疫系统,重新启动回到安全模式,使用 spybot 进行扫描和清理。
- 一旦完成,重新启动并再次扫描,直到清洁为止。
- 现在安装您选择的任何 AV 并进行全面清理、重新启动、重新扫描直至清理、卸载、重新启动,然后再重新启动一次,依此类推,直到感觉正确为止。
如果您使用 Windows 计算机直接连接到互联网,您可能需要 NAT 家庭路由器。
答案3
我很肯定你正在处理蠕虫或特洛伊木马。
我想不出任务管理器为什么要打开互联网连接的任何合理理由。
此 IP 的反向 DNS 条目是
66-152-109-110.tvc-ip.com,因此它是住宅最终用户 IP(任务管理器打开的连接会something.microsoft.com有所不同)。同一 IP 已出现在这个帖子有关潜在的 Conficker 变种。
尝试下载Malwarebytes 反恶意软件免费版,安装它,以安全模式启动并扫描您的系统。
答案4
实际上,它并不是恶意软件,只是 RoadRunner/Bright House/TWC 提供的一项名为“RoadRunner 搜索指南”的服务。
只需前往http://dnssearch.rr.com,您将看到“选择加入或退出此服务”的链接。
在“网址错误重定向服务”下选择“禁用”
这将使您退出,并恢复您通常的 DNS 功能。
同样在http://dnssearch.rr.com,您将看到“我为什么在这里?”的链接。
我花了一个晚上试图弄清楚为什么一位朋友不断收到 66.162.109.110 和 69.16.143.110 的 www 站点的 nslookup,但域查询却没有收到。这看起来很像中国的“金盾”,我开始怀疑 ISP。
就我个人而言,我认为他们应该更明显地表明自己在做什么。但这只是我的看法。