taskmgr.exe가 66.152.109.110에 연결하기 위한 권한을 요청하고 있습니다.

tag-icon tag-icon windows-7 security malware
taskmgr.exe가 66.152.109.110에 연결하기 위한 권한을 요청하고 있습니다.

taskmgr.exe가 66.152.109.110에 연결하기 위한 권한을 요청하고 있습니다.

Windows 7을 사용하고 있습니다. 정상인가요? 내 컴퓨터가 악성코드에 감염됐나요? 감사합니다!

답변1

방문하면 사이트 http://66.152.109.110가 제공됩니다 Road Runner.

구글링을 할 때Road Runner 66.152.109.110 우리에게 도메인 이름을 제공합니다, 내가 찾아본 결과:

nslookup dnssearch.rr.com

Name:    twc.cfg.srchdeliv.com
Addresses:  184.106.15.239
          66.152.109.110
          204.232.137.207
Aliases:  dnssearch.rr.com

이제 이 사람들이 누구인지 알아보기 위해 whois를 수행해 보겠습니다.

whois rr.com

Domain Name: rr.com

    Registrar Name: Markmonitor.com
    Registrar Whois: whois.markmonitor.com
    Registrar Homepage: http://www.markmonitor.com

Administrative Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    60 Columbus Circle
     New York NY 10023
    US
    [email protected] +1.2123648539 Fax: +1.7049736228
Technical Contact, Zone Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    7910 Crescent Executive Drive
     Charlotte NC 28217
    US
    [email protected] +1.8777772263 Fax: +1.7047311180

Markmonitor가 보호하는 것 같습니다브랜드, 이는 이상한 악성 IP를 나타낼 가능성이 적습니다.

하지만 거기에도 있습니다 srchdeliv.com. 그 내용이 무엇인지 살펴보겠습니다.

whois srchdeliv.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: SRCHDELIV.COM
   Created on: 19-Mar-08
   Expires on: 19-Mar-14
   Last Updated on: 25-Jul-10

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

다시 브랜드가 보호되고 있습니다.

역방향 IP를 수행하면 66-152-109-110.tvc-ip.com실제로 다른 작업을 수행해 보겠습니다.

whois tvc-ip.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: TVC-IP.COM
   Created on: 17-Dec-03
   Expires on: 17-Dec-13
   Last Updated on: 05-Oct-11

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

눈치채신 게 있나요? 정확히 말하면 세 가지를 모두 연결할 수 있는 동일한 등록자가 적용됩니다.

우리는 무엇을 놓치고 있나요? 맞습니다. 도메인 이름을 방문하여 그들이 호스팅하는 것을 확인하세요.

http://www.rr.com(Road Runner)는 완전히 안전한 사이트인 것 같습니다.타임 워너 케이블하단에 명시된 바와 같이(아마도 TVC와 관련이 있나요?) 완전히 안전한 사이트인 것 같습니다.

작은 업데이트:

나는 그것이 도메인 rr.com의 메일 처리기 역할도 한다는 것을 발견했습니다 tt..

이동이 온라인 dig도구쿼리를 입력 tt.하고 선택한 다음 을 클릭합니다 .MXLook it up

tt.    86400    IN    MX    0    66-27-54-138.san.rr.com.
tt.    86400    IN    MX    10   66-27-54-142.san.rr.com.

이것은 rr.com실제로 가능한 한 합법적입니다.

그런데 왜 taskmgr.exe가 연결을 시도할까요?

Road Runner나 Time Warner Cable을 방문했던 것을 기억하시나요? 아니면 이들 서비스의 사용자이신가요?

이 마지막 웹사이트를 고려하면 그 외에 다른 가능성은 없습니다.안전해 보여. 그리고 분명히 IP는 DNS 검색 기능을 위한 DNS입니다. 하지만 그들이 감염되어 귀하에게 퍼질 수도 있습니다. 하지만 처음에는 그렇게 확신할 수 없었습니다...

의 출력을 게시할 수 있습니까 ipconfig /all? 아마도 DNS로 설정되어 있습니까?

이러한 서비스를 전혀 사용하지 않는 경우 악성 코드가 문제를 해결하기 위해 해당 웹 사이트를 사용할 가능성이 높습니다. 호스트 파일/자신의 DNS 설정을 우회한다는 의미입니다.

답변2

명명된 호스트는 대규모 남용에 연루되어 있으며 대부분의 글로벌 블랙리스트에 존재합니다. 그래서 당신은 백도어를 가지고 있습니다.

깨끗한 컴퓨터를 사용하여 다음을 사용하여 CD를 녹음하세요.

  • Avira 바이러스 백신
  • 코모도 바이러스 백신
  • AVG 바이러스 백신
  • 스파이봇 SD(&D)
  • 모든 업데이트.
  • 회사 주변에 청소기가 있습니다. Sophos나 Dr.Web처럼 말이죠.

그 다음에:

  • 모든 유형의 네트워크에서 컴퓨터 연결을 끊습니다.
  • 안전 모드로 부팅
  • 제거가지고 있는 바이러스 백신/스파이웨어 백신 - 쓸모가 없습니다(그러나 방화벽은 여전히 ​​양호합니다).
  • spybot 설치, *_includes.exe로 업데이트, 시스템 면역화, 안전 모드로 재부팅, spybot으로 검사 및 청소 수행.
  • 문제가 해결되면 재부팅하고 깨끗해질 때까지 다시 스캔하세요.
  • 이제 원하는 AV를 설치하고 전체 정리, 재부팅, 깨끗해질 때까지 다시 검색, 제거, 재부팅, 그리고 또 다른 작업 등을 수행하여 적절하다고 느껴질 때까지 계속하십시오.

Windows 컴퓨터를 사용하여 인터넷에 직접 연결되어 있는 경우 NAT 홈 라우터가 필요할 수 있습니다.

답변3

나는 당신이 웜이나 트로이 목마를 다루고 있다고 확신합니다.

  • 작업 관리자가 인터넷 연결을 열어야 하는 그럴듯한 이유가 생각나지 않습니다.

  • IP의 역방향 DNS 항목은 66-152-109-110.tvc-ip.com이므로 주거용 최종 사용자 IP입니다(연결을 여는 작업 관리자는 something.microsoft.com다를 수 있음).

  • 동일한 IP가 나타납니다.이 게시물잠재적인 Conficker 변종에 대해 알아보세요.

다운로드해 보세요Malwarebytes 안티 멀웨어 무료, 설치하고 안전 모드로 부팅한 후 시스템을 검사하세요.

답변4

실제로는 악성 코드가 아니며 RoadRunner/Bright House/TWC에서 제공하는 "RoadRunner 검색 가이드"라는 서비스일 뿐입니다.

그냥 가세요http://dnssearch.rr.com을 클릭하면 "이 서비스 선택 또는 선택 해제" 링크가 표시됩니다.

"웹 주소 오류 리디렉션 서비스"에서 "사용 안 함"을 선택하세요.

이렇게 하면 귀하가 선택 해제되고 일반적인 DNS 기능이 다시 제공됩니다.

또한http://dnssearch.rr.com, '내가 여기에 있는 이유'에 대한 링크가 표시됩니다.

나는 친구가 www 사이트 66.162.109.110 및 69.16.143.110에 대한 nslookup을 계속 얻었지만 도메인 조회는 얻지 못한 이유를 알아내려고 저녁 시간을 보냈습니다. ISP가 의심스러울 정도로 중국의 '황금방패'와 닮았다.

개인적으로 나는 그들이 무엇을 하고 있는지에 대해 좀 더 명확했어야 했다고 생각합니다. 하지만 그것은 단지 내 의견일 뿐이다.

관련 정보