taskmgr.exe запрашивает разрешение на подключение к 66.152.109.110

Question 1

Посещение http://66.152.109.110дает нам Road Runnerсайт.

При выполнении поиска в GoogleRoad Runner 66.152.109.110 дает нам доменное имя, который я посмотрел:

nslookup dnssearch.rr.com

Name:    twc.cfg.srchdeliv.com
Addresses:  184.106.15.239
          66.152.109.110
          204.232.137.207
Aliases:  dnssearch.rr.com

Теперь давайте проверим Whois, чтобы узнать, кто эти ребята:

whois rr.com

Domain Name: rr.com

    Registrar Name: Markmonitor.com
    Registrar Whois: whois.markmonitor.com
    Registrar Homepage: http://www.markmonitor.com

Administrative Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    60 Columbus Circle
     New York NY 10023
    US
    [email protected] +1.2123648539 Fax: +1.7049736228
Technical Contact, Zone Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    7910 Crescent Executive Drive
     Charlotte NC 28217
    US
    [email protected] +1.8777772263 Fax: +1.7047311180

Кажется, Markmonitor защищаетбренд, что с меньшей вероятностью указывает на странный вредоносный IP.

Но есть еще srchdeliv.com, давайте посмотрим, что там написано:

whois srchdeliv.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: SRCHDELIV.COM
   Created on: 19-Mar-08
   Expires on: 19-Mar-14
   Last Updated on: 25-Jul-10

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Опять же, бренд находится под защитой.

Создание обратного IP-адреса 66-152-109-110.tvc-ip.comдействительно дает результат, давайте сделаем еще один:

whois tvc-ip.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: TVC-IP.COM
   Created on: 17-Dec-03
   Expires on: 17-Dec-13
   Last Updated on: 05-Oct-11

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Ничего не заметили? Точно, зарегистрирован один и тот же человек, что может связывать все три вместе.

Что мы упускаем? Правильно, посещение доменных имен, чтобы посмотреть, что они размещают.

http://www.rr.com(Road Runner) кажется совершенно безопасным сайтом, который ассоциируется сТайм Уорнер Кейблкак указано внизу (возможно, связано с TVC?), который также кажется совершенно безопасным сайтом.

Небольшое обновление:

Я обнаружил, что он rr.comтакже служит обработчиком почты для tt.домена.

Идти кэтот онлайн- digинструменти введите tt.и выберите MXзапрос, затем нажмите Look it up.

tt.    86400    IN    MX    0    66-27-54-138.san.rr.com.
tt.    86400    IN    MX    10   66-27-54-142.san.rr.com.

Это делает его rr.comнастолько законным, насколько это возможно.

Но почему taskmgr.exe пытается подключиться к нему?

Помните ли вы, как вы посещали Road Runner или Time Warner Cable, или являетесь пользователем их услуг?

Я не вижу другой возможности, кроме этой, учитывая, что эти последние веб-сайтывыглядят безопасными. И очевидно, что IP — это DNS для их функции поиска DNS. Хотя вполне возможно, что у них есть инфекция, и она распространилась на вас; но я бы не был так уверен сразу...

Можете ли вы опубликовать нам вывод ipconfig /all, возможно, он у вас установлен в качестве DNS?

Если вы вообще не используете ни одну из этих служб, вредоносное ПО, скорее всего, использует этот веб-сайт для решения проблем, то есть для обхода вашего файла hosts/собственных настроек DNS.

Answer

Посещение http://66.152.109.110дает нам Road Runnerсайт.

При выполнении поиска в GoogleRoad Runner 66.152.109.110 дает нам доменное имя, который я посмотрел:

nslookup dnssearch.rr.com

Name:    twc.cfg.srchdeliv.com
Addresses:  184.106.15.239
          66.152.109.110
          204.232.137.207
Aliases:  dnssearch.rr.com

Теперь давайте проверим Whois, чтобы узнать, кто эти ребята:

whois rr.com

Domain Name: rr.com

    Registrar Name: Markmonitor.com
    Registrar Whois: whois.markmonitor.com
    Registrar Homepage: http://www.markmonitor.com

Administrative Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    60 Columbus Circle
     New York NY 10023
    US
    [email protected] +1.2123648539 Fax: +1.7049736228
Technical Contact, Zone Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    7910 Crescent Executive Drive
     Charlotte NC 28217
    US
    [email protected] +1.8777772263 Fax: +1.7047311180

Кажется, Markmonitor защищаетбренд, что с меньшей вероятностью указывает на странный вредоносный IP.

Но есть еще srchdeliv.com, давайте посмотрим, что там написано:

whois srchdeliv.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: SRCHDELIV.COM
   Created on: 19-Mar-08
   Expires on: 19-Mar-14
   Last Updated on: 25-Jul-10

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Опять же, бренд находится под защитой.

Создание обратного IP-адреса 66-152-109-110.tvc-ip.comдействительно дает результат, давайте сделаем еще один:

whois tvc-ip.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: TVC-IP.COM
   Created on: 17-Dec-03
   Expires on: 17-Dec-13
   Last Updated on: 05-Oct-11

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Ничего не заметили? Точно, зарегистрирован один и тот же человек, что может связывать все три вместе.

Что мы упускаем? Правильно, посещение доменных имен, чтобы посмотреть, что они размещают.

http://www.rr.com(Road Runner) кажется совершенно безопасным сайтом, который ассоциируется сТайм Уорнер Кейблкак указано внизу (возможно, связано с TVC?), который также кажется совершенно безопасным сайтом.

Небольшое обновление:

Я обнаружил, что он rr.comтакже служит обработчиком почты для tt.домена.

Идти кэтот онлайн- digинструменти введите tt.и выберите MXзапрос, затем нажмите Look it up.

tt.    86400    IN    MX    0    66-27-54-138.san.rr.com.
tt.    86400    IN    MX    10   66-27-54-142.san.rr.com.

Это делает его rr.comнастолько законным, насколько это возможно.

Но почему taskmgr.exe пытается подключиться к нему?

Помните ли вы, как вы посещали Road Runner или Time Warner Cable, или являетесь пользователем их услуг?

Я не вижу другой возможности, кроме этой, учитывая, что эти последние веб-сайтывыглядят безопасными. И очевидно, что IP — это DNS для их функции поиска DNS. Хотя вполне возможно, что у них есть инфекция, и она распространилась на вас; но я бы не был так уверен сразу...

Можете ли вы опубликовать нам вывод ipconfig /all, возможно, он у вас установлен в качестве DNS?

Если вы вообще не используете ни одну из этих служб, вредоносное ПО, скорее всего, использует этот веб-сайт для решения проблем, то есть для обхода вашего файла hosts/собственных настроек DNS.

Question 2

Named host участвует в массовом злоупотреблении и присутствует в большинстве глобальных черных списков. Так что у вас есть бэкдор.

Используйте чистый компьютер для записи компакт-диска с:

Avira Антивирус
Comodo Антивирус
AVG Антивирус
Spybot s&d
Все обновления.
Какой-нибудь очиститель, который есть у вашей компании. Например, Sophos или Dr.Web.

Затем:

Отключите компьютер от любого типа сети.
Загрузитесь в безопасном режиме
Удалитьлюбые антивирусные/антишпионские программы, которые у вас есть, бесполезны (но ваш брандмауэр все еще хорош)
Установите Spybot, обновите с помощью *_includes.exe, иммунизируйте систему, перезагрузите ее обратно в безопасном режиме, выполните сканирование и очистку с помощью Spybot.
После успешного завершения перезагрузите систему и снова просканируйте ее до полного устранения неполадок.
Теперь установите любой антивирус по вашему выбору и выполните полную очистку, перезагрузите компьютер, повторно просканируйте его до полного устранения неполадок, удалите его, перезагрузите компьютер, затем снова перезагрузите компьютер и так далее, пока не почувствуете, что все в порядке.

Если вы напрямую подключены к Интернету с помощью компьютера под управлением Windows, вам может понадобиться домашний маршрутизатор NAT.

Answer

Named host участвует в массовом злоупотреблении и присутствует в большинстве глобальных черных списков. Так что у вас есть бэкдор.

Используйте чистый компьютер для записи компакт-диска с:

Avira Антивирус
Comodo Антивирус
AVG Антивирус
Spybot s&d
Все обновления.
Какой-нибудь очиститель, который есть у вашей компании. Например, Sophos или Dr.Web.

Затем:

Отключите компьютер от любого типа сети.
Загрузитесь в безопасном режиме
Удалитьлюбые антивирусные/антишпионские программы, которые у вас есть, бесполезны (но ваш брандмауэр все еще хорош)
Установите Spybot, обновите с помощью *_includes.exe, иммунизируйте систему, перезагрузите ее обратно в безопасном режиме, выполните сканирование и очистку с помощью Spybot.
После успешного завершения перезагрузите систему и снова просканируйте ее до полного устранения неполадок.
Теперь установите любой антивирус по вашему выбору и выполните полную очистку, перезагрузите компьютер, повторно просканируйте его до полного устранения неполадок, удалите его, перезагрузите компьютер, затем снова перезагрузите компьютер и так далее, пока не почувствуете, что все в порядке.

Если вы напрямую подключены к Интернету с помощью компьютера под управлением Windows, вам может понадобиться домашний маршрутизатор NAT.

Question 3

Я совершенно уверен, что вы имеете дело с червем или троянским конем.

Я не могу придумать ни одной правдоподобной причины, по которой диспетчер задач должен открывать интернет-соединения.
Запись обратного DNS для IP-адреса — 66-152-109-110.tvc-ip.com, поэтому это IP-адрес домашнего конечного пользователя (открытие соединения с диспетчером задач something.microsoft.comбудет отличаться).
Тот же IP появился вэта почтао потенциальном варианте Conficker.

Попробуйте скачатьБесплатное антивирусное ПО Malwarebytes, установите его, загрузитесь в безопасном режиме и просканируйте свою систему.

Answer

Я совершенно уверен, что вы имеете дело с червем или троянским конем.

Я не могу придумать ни одной правдоподобной причины, по которой диспетчер задач должен открывать интернет-соединения.
Запись обратного DNS для IP-адреса — 66-152-109-110.tvc-ip.com, поэтому это IP-адрес домашнего конечного пользователя (открытие соединения с диспетчером задач something.microsoft.comбудет отличаться).
Тот же IP появился вэта почтао потенциальном варианте Conficker.

Попробуйте скачатьБесплатное антивирусное ПО Malwarebytes, установите его, загрузитесь в безопасном режиме и просканируйте свою систему.

Question 4

На самом деле это не вредоносное ПО, а просто услуга, предоставляемая RoadRunner/Bright House/TWC, которая называется «RoadRunner Search Guide».

Просто зайдите вhttp://dnssearch.rr.com, и вы увидите ссылку «Подписаться или отказаться от этой услуги».

В разделе «Служба перенаправления ошибок веб-адреса» выберите «Отключить».

Это позволит вам отключить эту функцию и вернуть себе обычные функции DNS.

Также вhttp://dnssearch.rr.com, вы увидите ссылку «Почему я здесь?»

Я провел вечер, пытаясь понять, почему мой друг продолжал получать nslookups для www-сайтов для 66.162.109.110 и 69.16.143.110, но не для доменных поисков. Это было настолько похоже на китайский «Золотой щит», что я начал подозревать интернет-провайдера.

Лично я считаю, что им следовало бы быть немного более очевидными в том, что они делают. Но это только мое мнение.

Answer

На самом деле это не вредоносное ПО, а просто услуга, предоставляемая RoadRunner/Bright House/TWC, которая называется «RoadRunner Search Guide».

Просто зайдите вhttp://dnssearch.rr.com, и вы увидите ссылку «Подписаться или отказаться от этой услуги».

В разделе «Служба перенаправления ошибок веб-адреса» выберите «Отключить».

Это позволит вам отключить эту функцию и вернуть себе обычные функции DNS.

Также вhttp://dnssearch.rr.com, вы увидите ссылку «Почему я здесь?»

Я провел вечер, пытаясь понять, почему мой друг продолжал получать nslookups для www-сайтов для 66.162.109.110 и 69.16.143.110, но не для доменных поисков. Это было настолько похоже на китайский «Золотой щит», что я начал подозревать интернет-провайдера.

Лично я считаю, что им следовало бы быть немного более очевидными в том, что они делают. Но это только мое мнение.

taskmgr.exe запрашивает разрешение на подключение к 66.152.109.110

решение1

решение2

решение3

решение4

Связанный контент