taskmgr.exe は 66.152.109.110 への接続許可を求めています

tag-icon tag-icon windows-7 security malware
taskmgr.exe は 66.152.109.110 への接続許可を求めています

taskmgr.exe は 66.152.109.110 への接続許可を求めています。

私は Windows 7 を使用しています。これは正常ですか? 私のマシンはマルウェアに感染していますか? ありがとうございます!

答え1

訪問するとサイトhttp://66.152.109.110が提供されますRoad Runner

Googleで検索するとRoad Runner 66.152.109.110 ドメイン名を付与します調べてみたら、

nslookup dnssearch.rr.com

Name:    twc.cfg.srchdeliv.com
Addresses:  184.106.15.239
          66.152.109.110
          204.232.137.207
Aliases:  dnssearch.rr.com

さて、whois を実行してこれらの人が誰なのか確認してみましょう。

whois rr.com

Domain Name: rr.com

    Registrar Name: Markmonitor.com
    Registrar Whois: whois.markmonitor.com
    Registrar Homepage: http://www.markmonitor.com

Administrative Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    60 Columbus Circle
     New York NY 10023
    US
    [email protected] +1.2123648539 Fax: +1.7049736228
Technical Contact, Zone Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    7910 Crescent Executive Drive
     Charlotte NC 28217
    US
    [email protected] +1.8777772263 Fax: +1.7047311180

マークモニターは保護しているようだブランドこれは、奇妙な悪意のある IP を示している可能性は低いです。

srchdeliv.comしかし、次のようなものもあります。何と書いてあるか見てみましょう。

whois srchdeliv.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: SRCHDELIV.COM
   Created on: 19-Mar-08
   Expires on: 19-Mar-14
   Last Updated on: 25-Jul-10

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

再びブランドが保護されます。

逆 IP を実行すると66-152-109-110.tvc-ip.com、確かに次のようになります。もう 1 つ実行してみましょう。

whois tvc-ip.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: TVC-IP.COM
   Created on: 17-Dec-03
   Expires on: 17-Dec-13
   Last Updated on: 05-Oct-11

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

何か気づきましたか? まさにその通りです。同じ登録者によってカバーされており、3 つすべてを結び付けている可能性があります。

何が欠けているのでしょうか? そうです、ドメイン名を訪問して、何をホストしているか確認することです。

http://www.rr.com(ロードランナー)は完全に安全なサイトのようですが、タイムワーナーケーブル一番下に記載されているように(おそらく TVC に関連しているのでしょうか?)、完全に安全なサイトのようです。

小さなアップデート:

rr.comドメインのメール ハンドラーとしても機能することがわかりましたtt.

へ移動このオンラインdigツールを入力しtt.てクエリを選択しMX、 をクリックしますLook it up

tt.    86400    IN    MX    0    66-27-54-138.san.rr.com.
tt.    86400    IN    MX    10   66-27-54-142.san.rr.com.

これにより、rr.com本当に合法的なものになります。

しかし、なぜ taskmgr.exe はそれに接続しようとするのでしょうか?

Road Runner または Time Warner Cable を訪れたことを覚えていますか? あるいは、それらのサービスのユーザーですか?

これらの最後のウェブサイトを考えると、それ以外の可能性はないと思います安全に見える. そして、明らかに IP は DNS 検索機能用の DNS です。ただし、感染していてそれがあなたに広がった可能性はあります。しかし、最初は確信が持てません...

の出力を投稿していただけますかipconfig /all。おそらく、これを DNS として設定しているのではないでしょうか。

これらのサービスをまったく使用していない場合、マルウェアは問題を解決するためにその Web サイトを使用している可能性が高く、つまり、ホスト ファイルや独自の DNS 設定をバイパスしている可能性があります。

答え2

名前付きホストは大規模な不正使用に関与しており、ほとんどのグローバル ブラックリストに載っています。つまり、バックドアがあるということです。

クリーンなコンピュータを使用して、次の方法で CD を録音します。

  • Avira アンチウイルス
  • コモドアンチウイルス
  • AVG アンチウイルス
  • スパイボット s&d
  • すべての更新。
  • 会社にあるクリーナー。Sophos や Dr.Web など。

それから:

  • あらゆるタイプのネットワークからコンピュータを切断する
  • セーフモードで起動する
  • アンインストールウイルス対策ソフトやスパイウェア対策ソフトは役に立たない(ただし、ファイアウォールはまだ有効)
  • スパイボットをインストールし、*_includes.exe で更新し、システムを免疫化し、セーフ モードで再起動し、スパイボットでスキャンとクリーンアップを実行します。
  • 問題がなければ、再起動してクリーンになるまで再度スキャンします。
  • 次に、任意の AV をインストールし、完全なクリーンアップ、再起動、クリーンになるまでの再スキャン、アンインストール、再起動、さらにもう一度という操作を、適切だと感じられるまで繰り返します。

Windows コンピューターで直接インターネットに接続する場合は、NAT ホーム ルーターが必要になる場合があります。

答え3

ワームかトロイの木馬を扱っているのは間違いないと思います。

  • タスク マネージャーがインターネット接続を開く必要があるもっともらしい理由が思いつきません。

  • IP の逆 DNS エントリは なので66-152-109-110.tvc-ip.com、これは住宅のエンドユーザー IP です ( への接続を開くタスク マネージャーはsomething.microsoft.com異なります)。

  • 同じIPがこの郵便受け潜在的な Conficker の亜種について。

ダウンロードしてみるMalwarebytes アンチマルウェア 無料インストールし、セーフモードで起動してシステムをスキャンします。

答え4

実はこれはマルウェアではなく、RoadRunner/Bright House/TWC が提供する「RoadRunner Search Guide」というサービスです。

行くだけ出典: http://www.dnssearch.comをクリックすると、「このサービスにオプトインまたはオプトアウトする」というリンクが表示されます。

「Webアドレスエラーリダイレクトサービス」の下で「無効」を選択します

これによりオプトアウトされ、通常の DNS 機能が回復します。

また、出典: http://www.dnssearch.com、「なぜ私はここにいるのか?」というリンクが表示されます。

友人が 66.162.109.110 と 69.16.143.110 の www サイトで nslookup が常に実行されるのに、ドメイン検索では実行されない理由を解明しようと一晩中考えていました。中国の「Golden Shield」によく似ていたので、ISP を疑い始めました。

個人的には、彼らは自分たちが何をしているのかをもう少し明確にすべきだったと思います。しかし、それは単なる私の意見です。

関連情報