taskmgr.exe 正在要求連接到 66.152.109.110 的權限。
我使用的是Windows 7。我的機器是否感染了惡意軟體?謝謝你!
答案1
訪問http://66.152.109.110為我們提供了一個Road Runner網站。
當做谷歌時Road Runner 66.152.109.110 給我們一個域名,我查了一下:
nslookup dnssearch.rr.com
Name: twc.cfg.srchdeliv.com
Addresses: 184.106.15.239
66.152.109.110
204.232.137.207
Aliases: dnssearch.rr.com
現在讓我們來做一些 whois 來看看這些人是誰:
whois rr.com
Domain Name: rr.com
Registrar Name: Markmonitor.com
Registrar Whois: whois.markmonitor.com
Registrar Homepage: http://www.markmonitor.com
Administrative Contact:
Domain Name Administrator
Time Warner Cable Inc.
60 Columbus Circle
New York NY 10023
US
[email protected] +1.2123648539 Fax: +1.7049736228
Technical Contact, Zone Contact:
Domain Name Administrator
Time Warner Cable Inc.
7910 Crescent Executive Drive
Charlotte NC 28217
US
[email protected] +1.8777772263 Fax: +1.7047311180
看來 Markmonitor 可以保護一個品牌,這不太可能表明奇怪的惡意 IP。
但還有srchdeliv.com,讓我們看看那個人怎麼說:
whois srchdeliv.com
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: SRCHDELIV.COM
Created on: 19-Mar-08
Expires on: 19-Mar-14
Last Updated on: 25-Jul-10
Administrative Contact:
Private, Registration [email protected]
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2598
Technical Contact:
Private, Registration [email protected]
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2598
品牌再次受到保護。
做一個反向IP66-152-109-110.tvc-ip.com確實可以,讓我們再做一個:
whois tvc-ip.com
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: TVC-IP.COM
Created on: 17-Dec-03
Expires on: 17-Dec-13
Last Updated on: 05-Oct-11
Administrative Contact:
Private, Registration [email protected]
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2598
Technical Contact:
Private, Registration [email protected]
Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States
(480) 624-2599 Fax -- (480) 624-2598
注意到什麼了嗎?確切地說,由同一註冊人覆蓋,可能將這三者聯繫在一起。
我們缺什麼?是的,訪問網域以查看它們託管的內容。
http://www.rr.com(Road Runner)似乎是一個完全安全的網站,它與時代華納有線如底部所述(可能與 TVC 有關?),這似乎也是一個完全安全的網站。
小更新:
我發現它rr.com也充當tt.網域的郵件處理程序。
去這個線上dig工具輸入tt.並選擇MX查詢,然後按一下Look it up。
tt. 86400 IN MX 0 66-27-54-138.san.rr.com.
tt. 86400 IN MX 10 66-27-54-142.san.rr.com.
這使得rr.com真正的合法性成為可能。
但為什麼taskmgr.exe 會嘗試連接到它?
您還記得曾經造訪過 Road Runner 或時代華納有線嗎?
鑑於最後這些網站,我認為除此之外沒有其他可能性看起來很安全。顯然,該 IP 是其 DNS 搜尋功能的 DNS。但也有可能他們受到了感染,並且傳染給了你;但一開始我並不太確定...
您能否將 的輸出發佈給我們ipconfig /all,也許您已將其設定為您的 DNS?
如果您完全不使用任何這些服務,則惡意軟體很可能會使用該網站來解決問題;意思是繞過你的主機檔案/自己的 DNS 設定。
答案2
指定主機涉及大規模濫用行為,並出現在大多數全球黑名單中。所以你有一個後門。
使用乾淨的電腦燒錄 CD:
- 阿維拉防毒軟體
- 科摩多防毒軟體
- AVG防毒軟體
- 間諜機器人
- 所有更新。
- 你們公司有一些清潔工。像是 Sophos 或 Dr.Web。
然後:
- 中斷電腦與任何類型網路的連接
- 以安全模式啟動
- 解除安裝你擁有的任何防毒/反間諜軟體 - 它們都是無用的(但你的防火牆仍然很好)
- 安裝間諜機器人,使用 *_includes.exe 進行更新,免疫系統,重新啟動回到安全模式,使用間諜機器人進行掃描和清理。
- 一旦好,重新啟動並再次掃描,直到乾淨。
- 現在安裝您選擇的任何 AV,並進行全面清理、重新啟動、重新掃描直到清理、卸載、重新啟動,然後另一個,依此類推,直到感覺合適為止。
如果您使用 Windows 電腦直接連接到互聯網,您可能需要 NAT 家庭路由器。
答案3
我非常肯定您正在處理蠕蟲或特洛伊木馬。
我想不出任務管理器應該打開互聯網連接的任何合理原因。
IP 的反向 DNS 條目為
66-152-109-110.tvc-ip.com,因此它是住宅最終用戶 IP(打開連接的任務管理器something.microsoft.com會有所不同)。相同的IP出現在這個帖子關於潛在的 Conficker 變體。
嘗試下載Malwarebytes 免費反惡意軟體,安裝它,以安全模式啟動並掃描您的系統。
答案4
實際上,它不是惡意軟體,只是 RoadRunner/Bright House/TWC 提供的一項名為「RoadRunner 搜尋指南」的服務。
只要去http://dnssearch.rr.com,您將看到「選擇加入或選擇退出此服務」的連結。
在“網址錯誤重新導向服務”下選擇“停用”
這將使您退出,並恢復您常用的 DNS 功能。
也在http://dnssearch.rr.com,您將看到“為什麼我在這裡?”的連結。
我花了一個晚上試圖弄清楚為什麼一個朋友不斷獲得 66.162.109.110 和 69.16.143.110 的 www 站點的 nslookups,但沒有域名查找。它看起來很像中國的“金盾”,我開始懷疑這家 ISP。
就我個人而言,我覺得他們應該更清楚地了解自己在做什麼。但這只是我的觀點。