taskmgr.exe solicita permiso para conectarse a 66.152.109.110

Question 1

Visitar http://66.152.109.110nos da un Road Runnersitio.

Al hacer un google paraRoad Runner 66.152.109.110 nos da un nombre de dominio, que busqué:

nslookup dnssearch.rr.com

Name:    twc.cfg.srchdeliv.com
Addresses:  184.106.15.239
          66.152.109.110
          204.232.137.207
Aliases:  dnssearch.rr.com

Ahora hagamos algunos whois para ver quiénes son estos tipos:

whois rr.com

Domain Name: rr.com

    Registrar Name: Markmonitor.com
    Registrar Whois: whois.markmonitor.com
    Registrar Homepage: http://www.markmonitor.com

Administrative Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    60 Columbus Circle
     New York NY 10023
    US
    [email protected] +1.2123648539 Fax: +1.7049736228
Technical Contact, Zone Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    7910 Crescent Executive Drive
     Charlotte NC 28217
    US
    [email protected] +1.8777772263 Fax: +1.7047311180

Parece que Markmonitor protegeuna marca, lo que es menos probable que indique una IP maliciosa extraña.

Pero también hay srchdeliv.com, veamos qué dice ese:

whois srchdeliv.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: SRCHDELIV.COM
   Created on: 19-Mar-08
   Expires on: 19-Mar-14
   Last Updated on: 25-Jul-10

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

De nuevo una marca protegida.

Hacer una IP inversa da 66-152-109-110.tvc-ip.comefectivamente, hagamos otra:

whois tvc-ip.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: TVC-IP.COM
   Created on: 17-Dec-03
   Expires on: 17-Dec-13
   Last Updated on: 05-Oct-11

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

¿Notas algo? Exacto, amparado por el mismo registrante lo que podría vincular a los tres.

¿Qué nos falta? Bien, visitando los nombres de dominio para ver qué alojan.

http://www.rr.com(Road Runner) parece un sitio completamente seguro, que está asociado conTime Warner Cablecomo se indica en la parte inferior (¿Quizás relacionado con TVC?), que también parece un sitio completamente seguro.

Pequeña actualización:

Descubrí que rr.comtambién sirve como controlador de correo para el tt.dominio.

Ir aesta digherramienta en líneay escriba tt.y seleccione MXpara la consulta, luego haga clic en Look it up.

tt.    86400    IN    MX    0    66-27-54-138.san.rr.com.
tt.    86400    IN    MX    10   66-27-54-142.san.rr.com.

Esto hace que rr.comrealmente sea lo más legítimo posible.

Pero, ¿por qué taskmgr.exe intentaría conectarse a él?

¿Recuerdas haber visitado Road Runner o Time Warner Cable, o eres usuario de sus servicios?

No veo otra posibilidad que esa, dado que estos últimos sitios weblucir seguro. Y claramente la IP es un DNS para su funcionalidad de búsqueda de DNS. Sin embargo, es posible que tengan una infección y que se la transmitan a usted; pero al principio no estaría tan seguro...

¿Puedes publicarnos el resultado de ipconfig /all, quizás lo tengas configurado como tu DNS?

Si no utiliza ninguno de estos servicios, lo más probable es que el malware esté utilizando ese sitio web para resolver las cosas; lo que significa omitir su archivo de hosts/configuración DNS propia.

Answer

Visitar http://66.152.109.110nos da un Road Runnersitio.

Al hacer un google paraRoad Runner 66.152.109.110 nos da un nombre de dominio, que busqué:

nslookup dnssearch.rr.com

Name:    twc.cfg.srchdeliv.com
Addresses:  184.106.15.239
          66.152.109.110
          204.232.137.207
Aliases:  dnssearch.rr.com

Ahora hagamos algunos whois para ver quiénes son estos tipos:

whois rr.com

Domain Name: rr.com

    Registrar Name: Markmonitor.com
    Registrar Whois: whois.markmonitor.com
    Registrar Homepage: http://www.markmonitor.com

Administrative Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    60 Columbus Circle
     New York NY 10023
    US
    [email protected] +1.2123648539 Fax: +1.7049736228
Technical Contact, Zone Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    7910 Crescent Executive Drive
     Charlotte NC 28217
    US
    [email protected] +1.8777772263 Fax: +1.7047311180

Parece que Markmonitor protegeuna marca, lo que es menos probable que indique una IP maliciosa extraña.

Pero también hay srchdeliv.com, veamos qué dice ese:

whois srchdeliv.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: SRCHDELIV.COM
   Created on: 19-Mar-08
   Expires on: 19-Mar-14
   Last Updated on: 25-Jul-10

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

De nuevo una marca protegida.

Hacer una IP inversa da 66-152-109-110.tvc-ip.comefectivamente, hagamos otra:

whois tvc-ip.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: TVC-IP.COM
   Created on: 17-Dec-03
   Expires on: 17-Dec-13
   Last Updated on: 05-Oct-11

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

¿Notas algo? Exacto, amparado por el mismo registrante lo que podría vincular a los tres.

¿Qué nos falta? Bien, visitando los nombres de dominio para ver qué alojan.

http://www.rr.com(Road Runner) parece un sitio completamente seguro, que está asociado conTime Warner Cablecomo se indica en la parte inferior (¿Quizás relacionado con TVC?), que también parece un sitio completamente seguro.

Pequeña actualización:

Descubrí que rr.comtambién sirve como controlador de correo para el tt.dominio.

Ir aesta digherramienta en líneay escriba tt.y seleccione MXpara la consulta, luego haga clic en Look it up.

tt.    86400    IN    MX    0    66-27-54-138.san.rr.com.
tt.    86400    IN    MX    10   66-27-54-142.san.rr.com.

Esto hace que rr.comrealmente sea lo más legítimo posible.

Pero, ¿por qué taskmgr.exe intentaría conectarse a él?

¿Recuerdas haber visitado Road Runner o Time Warner Cable, o eres usuario de sus servicios?

No veo otra posibilidad que esa, dado que estos últimos sitios weblucir seguro. Y claramente la IP es un DNS para su funcionalidad de búsqueda de DNS. Sin embargo, es posible que tengan una infección y que se la transmitan a usted; pero al principio no estaría tan seguro...

¿Puedes publicarnos el resultado de ipconfig /all, quizás lo tengas configurado como tu DNS?

Si no utiliza ninguno de estos servicios, lo más probable es que el malware esté utilizando ese sitio web para resolver las cosas; lo que significa omitir su archivo de hosts/configuración DNS propia.

Question 2

El host designado está involucrado en abusos masivos y está presente en la mayoría de las listas negras globales. Entonces tienes una puerta trasera.

Utilice una computadora limpia para grabar un CD con:

Antivirus Avira
Antivirus Comodo
Antivirus AVG
Spybot s&d
Todas las actualizaciones.
Algún limpiador que tenga su empresa por ahí. Como Sophos o Dr.Web.

Entonces:

Desconectar el ordenador de cualquier tipo de red
Arrancar en modo seguro
Desinstalarcualquier antivirus/antispyware que tengas: son inútiles (pero tu firewall sigue siendo bueno)
Instale spybot, actualice con *_includes.exe, inmunice el sistema, reinicie nuevamente en modo seguro, escanee y limpie con spybot.
Una vez que esté bien, reinicie y escanee nuevamente hasta que esté limpio.
Ahora instale cualquier AV de su elección y realice una limpieza completa, reinicie, vuelva a escanear hasta que esté limpio, desinstale, reinicie, luego otro, y así sucesivamente hasta que se sienta bien.

Si está conectado directamente a Internet con una computadora con Windows, es posible que desee un enrutador doméstico NAT.

Answer

El host designado está involucrado en abusos masivos y está presente en la mayoría de las listas negras globales. Entonces tienes una puerta trasera.

Utilice una computadora limpia para grabar un CD con:

Antivirus Avira
Antivirus Comodo
Antivirus AVG
Spybot s&d
Todas las actualizaciones.
Algún limpiador que tenga su empresa por ahí. Como Sophos o Dr.Web.

Entonces:

Desconectar el ordenador de cualquier tipo de red
Arrancar en modo seguro
Desinstalarcualquier antivirus/antispyware que tengas: son inútiles (pero tu firewall sigue siendo bueno)
Instale spybot, actualice con *_includes.exe, inmunice el sistema, reinicie nuevamente en modo seguro, escanee y limpie con spybot.
Una vez que esté bien, reinicie y escanee nuevamente hasta que esté limpio.
Ahora instale cualquier AV de su elección y realice una limpieza completa, reinicie, vuelva a escanear hasta que esté limpio, desinstale, reinicie, luego otro, y así sucesivamente hasta que se sienta bien.

Si está conectado directamente a Internet con una computadora con Windows, es posible que desee un enrutador doméstico NAT.

Question 3

Estoy bastante seguro de que se trata de un gusano o un caballo de Troya.

No se me ocurre ninguna razón plausible por la que el Administrador de tareas deba abrir conexiones a Internet.
La entrada de DNS inverso de la IP es 66-152-109-110.tvc-ip.com, por lo que es una IP de usuario final residencial (el Administrador de tareas al abrir una conexión sería something.microsoft.comdiferente).
La misma IP ha aparecido enesta publicaciónsobre una posible variante de Conficker.

Intenta descargarMalwarebytes Anti-Malware Gratis, instálelo, inicie en modo seguro y escanee su sistema.

Answer

Estoy bastante seguro de que se trata de un gusano o un caballo de Troya.

No se me ocurre ninguna razón plausible por la que el Administrador de tareas deba abrir conexiones a Internet.
La entrada de DNS inverso de la IP es 66-152-109-110.tvc-ip.com, por lo que es una IP de usuario final residencial (el Administrador de tareas al abrir una conexión sería something.microsoft.comdiferente).
La misma IP ha aparecido enesta publicaciónsobre una posible variante de Conficker.

Intenta descargarMalwarebytes Anti-Malware Gratis, instálelo, inicie en modo seguro y escanee su sistema.

Question 4

En realidad, no es malware, sólo un servicio proporcionado por RoadRunner/Bright House/TWC llamado "RoadRunner Search Guide".

solo ve ahttp://dnssearch.rr.comy verá un enlace para "Aceptar o cancelar este servicio".

En "Servicio de redireccionamiento de errores de dirección web", seleccione "Desactivar"

Esto lo excluirá y le devolverá sus funciones DNS habituales.

También enhttp://dnssearch.rr.com, verá un enlace para "¿Por qué estoy aquí?"

Pasé una tarde tratando de descubrir por qué un amigo seguía recibiendo nslookups para sitios www para 66.162.109.110 y 69.16.143.110, pero no para búsquedas de dominio. Se parecía tanto al "Escudo Dorado" de China que comencé a sospechar del ISP.

Personalmente, siento que deberían haber sido un poco más obvios acerca de lo que estaban haciendo. Pero esa es sólo mi opinión.

Answer

En realidad, no es malware, sólo un servicio proporcionado por RoadRunner/Bright House/TWC llamado "RoadRunner Search Guide".

solo ve ahttp://dnssearch.rr.comy verá un enlace para "Aceptar o cancelar este servicio".

En "Servicio de redireccionamiento de errores de dirección web", seleccione "Desactivar"

Esto lo excluirá y le devolverá sus funciones DNS habituales.

También enhttp://dnssearch.rr.com, verá un enlace para "¿Por qué estoy aquí?"

Pasé una tarde tratando de descubrir por qué un amigo seguía recibiendo nslookups para sitios www para 66.162.109.110 y 69.16.143.110, pero no para búsquedas de dominio. Se parecía tanto al "Escudo Dorado" de China que comencé a sospechar del ISP.

Personalmente, siento que deberían haber sido un poco más obvios acerca de lo que estaban haciendo. Pero esa es sólo mi opinión.

taskmgr.exe solicita permiso para conectarse a 66.152.109.110

Respuesta1

Respuesta2

Respuesta3

Respuesta4

información relacionada