taskmgr.exe está pedindo permissão para se conectar a 66.152.109.110

Question 1

A visita http://66.152.109.110nos dá um Road Runnersite.

Ao fazer um google paraRoad Runner 66.152.109.110 nos dá um nome de domínio, que eu pesquisei:

nslookup dnssearch.rr.com

Name:    twc.cfg.srchdeliv.com
Addresses:  184.106.15.239
          66.152.109.110
          204.232.137.207
Aliases:  dnssearch.rr.com

Agora vamos fazer alguns whois para ver quem são esses caras:

whois rr.com

Domain Name: rr.com

    Registrar Name: Markmonitor.com
    Registrar Whois: whois.markmonitor.com
    Registrar Homepage: http://www.markmonitor.com

Administrative Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    60 Columbus Circle
     New York NY 10023
    US
    [email protected] +1.2123648539 Fax: +1.7049736228
Technical Contact, Zone Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    7910 Crescent Executive Drive
     Charlotte NC 28217
    US
    [email protected] +1.8777772263 Fax: +1.7047311180

Parece que o Markmonitor protegeuma marca, o que é menos provável que indique um IP malicioso estranho.

Mas também tem srchdeliv.com, vamos ver o que esse diz:

whois srchdeliv.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: SRCHDELIV.COM
   Created on: 19-Mar-08
   Expires on: 19-Mar-14
   Last Updated on: 25-Jul-10

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Novamente uma marca sendo protegida.

Fazer um IP reverso dá 66-152-109-110.tvc-ip.comsim, vamos fazer outro:

whois tvc-ip.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: TVC-IP.COM
   Created on: 17-Dec-03
   Expires on: 17-Dec-13
   Last Updated on: 05-Oct-11

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Notou alguma coisa? Exatamente, abrangidos pelo mesmo registante, o que poderá ligar todos os três.

O que estamos perdendo? Certo, visitando os nomes de domínio para ver o que eles hospedam.

http://www.rr.com(Road Runner) parece um site completamente seguro, associado aCabo da Time Warnerconforme indicado na parte inferior (Talvez relacionado ao TVC?), Que também parece um site totalmente seguro.

Pequena atualização:

Descobri que isso rr.comtambém serve como manipulador de e-mail para o tt.domínio.

Vá paraesta digferramenta on-linee digite tt.e selecione MXpara a consulta e clique em Look it up.

tt.    86400    IN    MX    0    66-27-54-138.san.rr.com.
tt.    86400    IN    MX    10   66-27-54-142.san.rr.com.

Isso torna o rr.comfato tão legítimo quanto possível.

Mas por que taskmgr.exe tentaria se conectar a ele?

Você se lembra de ter visitado Road Runner ou Time Warner Cable, ou é usuário de seus serviços?

Não vejo outra possibilidade senão essa, dado que estes últimos websitespareça seguro. E claramente o IP é um DNS para sua funcionalidade de pesquisa de DNS. Porém, pode ser possível que eles tenham uma infecção e que ela se espalhe para você; mas eu não teria tanta certeza a princípio...

Você pode nos postar a saída de ipconfig /all, talvez você a tenha definido como seu DNS?

Se você não estiver usando nenhum desses serviços, é provável que o malware esteja usando esse site para resolver problemas; significando ignorar seu arquivo hosts/próprias configurações de DNS.

Answer

A visita http://66.152.109.110nos dá um Road Runnersite.

Ao fazer um google paraRoad Runner 66.152.109.110 nos dá um nome de domínio, que eu pesquisei:

nslookup dnssearch.rr.com

Name:    twc.cfg.srchdeliv.com
Addresses:  184.106.15.239
          66.152.109.110
          204.232.137.207
Aliases:  dnssearch.rr.com

Agora vamos fazer alguns whois para ver quem são esses caras:

whois rr.com

Domain Name: rr.com

    Registrar Name: Markmonitor.com
    Registrar Whois: whois.markmonitor.com
    Registrar Homepage: http://www.markmonitor.com

Administrative Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    60 Columbus Circle
     New York NY 10023
    US
    [email protected] +1.2123648539 Fax: +1.7049736228
Technical Contact, Zone Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    7910 Crescent Executive Drive
     Charlotte NC 28217
    US
    [email protected] +1.8777772263 Fax: +1.7047311180

Parece que o Markmonitor protegeuma marca, o que é menos provável que indique um IP malicioso estranho.

Mas também tem srchdeliv.com, vamos ver o que esse diz:

whois srchdeliv.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: SRCHDELIV.COM
   Created on: 19-Mar-08
   Expires on: 19-Mar-14
   Last Updated on: 25-Jul-10

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Novamente uma marca sendo protegida.

Fazer um IP reverso dá 66-152-109-110.tvc-ip.comsim, vamos fazer outro:

whois tvc-ip.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: TVC-IP.COM
   Created on: 17-Dec-03
   Expires on: 17-Dec-13
   Last Updated on: 05-Oct-11

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Notou alguma coisa? Exatamente, abrangidos pelo mesmo registante, o que poderá ligar todos os três.

O que estamos perdendo? Certo, visitando os nomes de domínio para ver o que eles hospedam.

http://www.rr.com(Road Runner) parece um site completamente seguro, associado aCabo da Time Warnerconforme indicado na parte inferior (Talvez relacionado ao TVC?), Que também parece um site totalmente seguro.

Pequena atualização:

Descobri que isso rr.comtambém serve como manipulador de e-mail para o tt.domínio.

Vá paraesta digferramenta on-linee digite tt.e selecione MXpara a consulta e clique em Look it up.

tt.    86400    IN    MX    0    66-27-54-138.san.rr.com.
tt.    86400    IN    MX    10   66-27-54-142.san.rr.com.

Isso torna o rr.comfato tão legítimo quanto possível.

Mas por que taskmgr.exe tentaria se conectar a ele?

Você se lembra de ter visitado Road Runner ou Time Warner Cable, ou é usuário de seus serviços?

Não vejo outra possibilidade senão essa, dado que estes últimos websitespareça seguro. E claramente o IP é um DNS para sua funcionalidade de pesquisa de DNS. Porém, pode ser possível que eles tenham uma infecção e que ela se espalhe para você; mas eu não teria tanta certeza a princípio...

Você pode nos postar a saída de ipconfig /all, talvez você a tenha definido como seu DNS?

Se você não estiver usando nenhum desses serviços, é provável que o malware esteja usando esse site para resolver problemas; significando ignorar seu arquivo hosts/próprias configurações de DNS.

Question 2

O anfitrião nomeado está envolvido em abusos massivos e está presente na maioria das listas negras globais. Então você tem uma porta dos fundos.

Use um computador limpo para gravar um CD com:

Antivírus Avira
Comodo Antivírus
AVG Antivírus
Spybot s&d
Todas as atualizações.
Algum limpador que sua empresa tenha por perto. Como Sophos ou Dr.Web.

Então:

Desconecte o computador de qualquer tipo de rede
Inicialize em modo de segurança
Desinstalarqualquer antivírus/antispyware que você tenha - eles são inúteis (mas seu firewall ainda está bom)
Instale o spybot, atualize com *_includes.exe, imunize o sistema, reinicie no modo de segurança, faça a varredura e limpe com o spybot.
Quando estiver bom, reinicie e verifique novamente até limpar.
Agora instale qualquer AV de sua escolha e faça uma limpeza completa, reinicie, verifique novamente até limpar, desinstale, reinicie, depois outro e assim por diante até parecer certo.

Se você estiver conectado diretamente à Internet com um computador Windows, talvez queira um roteador doméstico NAT.

Answer

O anfitrião nomeado está envolvido em abusos massivos e está presente na maioria das listas negras globais. Então você tem uma porta dos fundos.

Use um computador limpo para gravar um CD com:

Antivírus Avira
Comodo Antivírus
AVG Antivírus
Spybot s&d
Todas as atualizações.
Algum limpador que sua empresa tenha por perto. Como Sophos ou Dr.Web.

Então:

Desconecte o computador de qualquer tipo de rede
Inicialize em modo de segurança
Desinstalarqualquer antivírus/antispyware que você tenha - eles são inúteis (mas seu firewall ainda está bom)
Instale o spybot, atualize com *_includes.exe, imunize o sistema, reinicie no modo de segurança, faça a varredura e limpe com o spybot.
Quando estiver bom, reinicie e verifique novamente até limpar.
Agora instale qualquer AV de sua escolha e faça uma limpeza completa, reinicie, verifique novamente até limpar, desinstale, reinicie, depois outro e assim por diante até parecer certo.

Se você estiver conectado diretamente à Internet com um computador Windows, talvez queira um roteador doméstico NAT.

Question 3

Tenho certeza de que você está lidando com um worm ou um cavalo de Tróia.

Não consigo pensar em nenhuma razão plausível para o Gerenciador de Tarefas abrir conexões com a Internet.
A entrada DNS reverso do IP é 66-152-109-110.tvc-ip.com, portanto, é um IP de usuário final residencial (o Gerenciador de Tarefas abrir uma conexão seria something.microsoft.comdiferente).
O mesmo IP apareceu emesta postagemsobre uma possível variante do Conficker.

Tente baixarMalwarebytes Anti-Malware Gratuito, instale-o, inicialize no modo de segurança e verifique seu sistema.

Answer

Tenho certeza de que você está lidando com um worm ou um cavalo de Tróia.

Não consigo pensar em nenhuma razão plausível para o Gerenciador de Tarefas abrir conexões com a Internet.
A entrada DNS reverso do IP é 66-152-109-110.tvc-ip.com, portanto, é um IP de usuário final residencial (o Gerenciador de Tarefas abrir uma conexão seria something.microsoft.comdiferente).
O mesmo IP apareceu emesta postagemsobre uma possível variante do Conficker.

Tente baixarMalwarebytes Anti-Malware Gratuito, instale-o, inicialize no modo de segurança e verifique seu sistema.

Question 4

Na verdade, não é malware, apenas um serviço fornecido pela RoadRunner/Bright House/TWC chamado "RoadRunner Search Guide".

Basta ir parahttp://dnssearch.rr.come você verá um link para "Aceitar ou cancelar este serviço".

Em "Serviço de redirecionamento de erro de endereço da Web", selecione "Desativar"

Isso cancelará sua exclusão e devolverá suas funções DNS habituais.

Também emhttp://dnssearch.rr.com, você verá um link para "Por que estou aqui?"

Passei uma noite tentando descobrir por que um amigo continuava recebendo nslookups para sites www para 66.162.109.110 e 69.16.143.110, mas não para pesquisas de domínio. Parecia-se tanto com o “Escudo Dourado” da China que comecei a suspeitar do ISP.

Pessoalmente, sinto que eles deveriam ter sido um pouco mais óbvios sobre o que estavam fazendo. Mas esta é apenas minha opinião.

Answer

Na verdade, não é malware, apenas um serviço fornecido pela RoadRunner/Bright House/TWC chamado "RoadRunner Search Guide".

Basta ir parahttp://dnssearch.rr.come você verá um link para "Aceitar ou cancelar este serviço".

Em "Serviço de redirecionamento de erro de endereço da Web", selecione "Desativar"

Isso cancelará sua exclusão e devolverá suas funções DNS habituais.

Também emhttp://dnssearch.rr.com, você verá um link para "Por que estou aqui?"

Passei uma noite tentando descobrir por que um amigo continuava recebendo nslookups para sites www para 66.162.109.110 e 69.16.143.110, mas não para pesquisas de domínio. Parecia-se tanto com o “Escudo Dourado” da China que comecei a suspeitar do ISP.

Pessoalmente, sinto que eles deveriam ter sido um pouco mais óbvios sobre o que estavam fazendo. Mas esta é apenas minha opinião.

taskmgr.exe está pedindo permissão para se conectar a 66.152.109.110

Responder1

Responder2

Responder3

Responder4

informação relacionada