taskmgr.exe bittet um Erlaubnis, eine Verbindung zu 66.152.109.110 herzustellen

tag-icon tag-icon windows-7 security malware
taskmgr.exe bittet um Erlaubnis, eine Verbindung zu 66.152.109.110 herzustellen

taskmgr.exe bittet um Berechtigung zur Verbindung mit 66.152.109.110.

Ich verwende Windows 7. Ist das normal? Ist mein Computer mit Malware infiziert? Danke!

Antwort1

Durch Ihren Besuch http://66.152.109.110erhalten Sie eine Road RunnerSite.

Bei einer Google-Suche nachRoad Runner 66.152.109.110 gibt uns einen Domänennamen, die ich nachgeschlagen habe:

nslookup dnssearch.rr.com

Name:    twc.cfg.srchdeliv.com
Addresses:  184.106.15.239
          66.152.109.110
          204.232.137.207
Aliases:  dnssearch.rr.com

Machen wir jetzt ein paar Whois-Prüfungen, um herauszufinden, wer diese Typen sind:

whois rr.com

Domain Name: rr.com

    Registrar Name: Markmonitor.com
    Registrar Whois: whois.markmonitor.com
    Registrar Homepage: http://www.markmonitor.com

Administrative Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    60 Columbus Circle
     New York NY 10023
    US
    [email protected] +1.2123648539 Fax: +1.7049736228
Technical Contact, Zone Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    7910 Crescent Executive Drive
     Charlotte NC 28217
    US
    [email protected] +1.8777772263 Fax: +1.7047311180

Scheint, als ob Markmonitor schützteine Marke, was weniger wahrscheinlich auf eine seltsame bösartige IP hinweist.

Aber es gibt auch srchdeliv.com… mal sehen, was da steht:

whois srchdeliv.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: SRCHDELIV.COM
   Created on: 19-Mar-08
   Expires on: 19-Mar-14
   Last Updated on: 25-Jul-10

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Wieder eine Marke, die geschützt wird.

Das Erstellen einer umgekehrten IP-Adresse führt 66-152-109-110.tvc-ip.comtatsächlich zu Ergebnissen. Machen wir also noch eine:

whois tvc-ip.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: TVC-IP.COM
   Created on: 17-Dec-03
   Expires on: 17-Dec-13
   Last Updated on: 05-Oct-11

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Fällt Ihnen etwas auf? Genau, abgedeckt durch denselben Registranten, was alle drei miteinander verbinden könnte.

Was fehlt uns? Genau, wir besuchen die Domänennamen, um zu sehen, was sie hosten.

http://www.rr.com(Road Runner) scheint eine völlig sichere Site zu sein, die verbunden ist mitTime Warner Cablewie unten angegeben (vielleicht im Zusammenhang mit TVC?), was auch eine völlig sichere Site zu sein scheint.

Kleines Update:

Ich habe festgestellt, dass es rr.comauch als E-Mail-Handler für die tt.Domäne dient.

Gehe zudieses Online- digToolund geben Sie für die Abfrage ein tt.und wählen Sie aus . Klicken Sie dann auf .MXLook it up

tt.    86400    IN    MX    0    66-27-54-138.san.rr.com.
tt.    86400    IN    MX    10   66-27-54-142.san.rr.com.

Dies macht es rr.comso legitim wie es nur sein kann.

Aber warum sollte taskmgr.exe versuchen, eine Verbindung damit herzustellen?

Erinnern Sie sich an Ihren Besuch bei Road Runner oder Time Warner Cable oder nutzen Sie deren Dienste?

Ich sehe keine andere Möglichkeit als die, dass diese letzten Websitessicher aussehen. Und die IP ist eindeutig ein DNS für ihre DNS-Suchfunktion. Es könnte jedoch sein, dass sie eine Infektion haben und diese auf Sie übergegriffen hat; aber ich wäre mir zunächst nicht so sicher ...

Können Sie uns die Ausgabe von posten ipconfig /all? Vielleicht haben Sie es als Ihren DNS festgelegt?

Wenn Sie keinen dieser Dienste nutzen, wird diese Website höchstwahrscheinlich von Schadsoftware zur Problembehebung genutzt, d. h., sie umgeht Ihre Hosts-Datei bzw. Ihre eigenen DNS-Einstellungen.

Antwort2

Named Host ist in massiven Missbrauch verwickelt und steht auf den meisten globalen Blacklists. Sie haben also eine Hintertür.

Verwenden Sie einen sauberen Computer zum Brennen einer CD mit:

  • Avira Antivirus
  • Comodo Antivirus
  • AVG Antivirus
  • Spybot s&d
  • Alle Updates.
  • Irgendein Reiniger, den Ihr Unternehmen hat. Wie Sophos oder Dr.Web.

Dann:

  • Trennen Sie den Computer von jedem Netzwerktyp
  • Booten im abgesicherten Modus
  • Deinstallierenalle Antiviren-/Antispyware-Programme, die Sie haben – sie sind nutzlos (aber Ihre Firewall ist immer noch gut)
  • Installieren Sie Spybot, aktualisieren Sie mit *_includes.exe, immunisieren Sie das System, starten Sie im abgesicherten Modus neu und führen Sie einen Scan und eine Bereinigung mit Spybot durch.
  • Wenn alles gut ist, starten Sie neu und scannen Sie erneut, bis alles sauber ist.
  • Installieren Sie jetzt einen Virenschutz Ihrer Wahl, führen Sie eine vollständige Bereinigung durch, starten Sie neu, scannen Sie erneut, bis alles sauber ist, deinstallieren Sie den Computer, starten Sie neu, dann noch einmal und so weiter, bis es sich richtig anfühlt.

Wenn Sie mit einem Windows-Computer direkt mit dem Internet verbunden sind, benötigen Sie möglicherweise einen NAT-Heimrouter.

Antwort3

Ich bin ziemlich sicher, dass es sich um einen Wurm oder ein Trojanisches Pferd handelt.

  • Mir fällt kein plausibler Grund ein, warum der Task-Manager Internetverbindungen öffnen sollte.

  • Der Reverse-DNS-Eintrag der IP lautet 66-152-109-110.tvc-ip.com, es handelt sich also um die IP eines privaten Endbenutzers (wenn der Task-Manager eine Verbindung zu öffnet, something.microsoft.comwäre das anders).

  • Die gleiche IP erschien indieser Beitragüber eine mögliche Conficker-Variante.

Versuchen Sie den DownloadMalwarebytes Anti-Malware Kostenlos, installieren Sie es, starten Sie im abgesicherten Modus und scannen Sie Ihr System.

Antwort4

Tatsächlich handelt es sich dabei nicht um Schadsoftware, sondern lediglich um einen von RoadRunner/Bright House/TWC bereitgestellten Dienst namens „RoadRunner Search Guide“.

Gehen Sie einfach zuhttp://dnssearch.rr.com, und Sie sehen einen Link zum „Abonnieren oder Abmelden von diesem Dienst“.

Wählen Sie unter „Web Address Error Redirect Service“ die Option „Deaktivieren“ aus.

Dadurch melden Sie sich ab und erhalten Ihre üblichen DNS-Funktionen zurück.

Auch beihttp://dnssearch.rr.com, sehen Sie einen Link zu „Warum bin ich hier?“

Ich habe einen Abend damit verbracht, herauszufinden, warum ein Freund ständig nslookups für WWW-Seiten für 66.162.109.110 und 69.16.143.110 bekam, aber nicht für Domain-Lookups. Es sah so sehr nach Chinas „Goldenem Schild“ aus, dass ich begann, den ISP zu verdächtigen.

Ich persönlich bin der Meinung, dass sie etwas deutlicher hätten machen sollen, was sie taten. Aber das ist nur meine Meinung.

verwandte Informationen