Cada aplicativo único no Windows 7 (mesmo que estes não usem a Internet, como o notepad.exe) tentando acessar a Internet

4

Depois de algumas atualizações recentes de software AV / FW (Comodo) e de reiniciar meu computador, fiquei alarmado com uma grande quantidade de avisos que o aplicativo "x" (onde "x" é praticamente tudo que tento executar) tenta estabelecer conexão de saída para endereço 224.0.0.252 (ou às vezes endereço similar do mesmo intervalo). Mesmo que seja algum aplicativo fictício que acabei de criar, ou qualquer aplicativo que não tenha nada a ver com internet. Além disso, o próprio processo "System" tenta enviar esses pedidos IGMP como pedidos. 5 conexões por minuto em média. Também houve aumento (ou oversensitivity acionado pela atualização do FW) com o tráfego nas portas 137 e 138 do UDP, que eu consertei desabilitando o NetBIOS.

A minha pergunta é: Qual pode ser a causa disso? Isso é normal? O meu firewall ficou sensível demais com a atualização mais recente, me alarmando de algumas coisas internas do Windows que acontecem o tempo todo? Ou talvez eu tenha pegado algo malicioso (Comodo / Spybot Search e Destroy parecem não levantar bandeiras vermelhas). O que mais posso usar para verificar / limpar meu sistema quanto a ameaças que podem ser aplicadas ao meu AV.FW (Comodo) atual?

----- Editar -----

O sistema recém-instalado com todas as atualizações parece ter o mesmo comportamento com menos intensidade até o momento. Digitalizar com o Windows Defender offline não revelou nenhum problema.

Im basicamente fora de idéias e ainda me pergunto se é causado por alguma atualização do sistema recente ou talvez com software de firewall com defeito. E se for causado por algum rootkit, como revelá-lo e se livrar dele.

    
por timroy 17.11.2012 / 07:29

2 respostas

2

Parece que você pegou algo malicioso. Se você detectou um vírus / trojan / spyware que usou DLL Injection e na DLL injetada ele chama esse endereço IP viu que você veria exatamente o tipo de comportamento que está experimentando.

Esta também poderia ser uma atualização que saiu de um programa legítimo, e isso explicaria porque o antivírus não a detectou, mas é improvável.

Eu recomendaria ir a outro computador que você não tem infecções e baixar Windows Defender Offline . Isso permitirá que você crie um CD / USB inicializável (se você fizer um USB inicializável, poderá atualizar as definições de vírus executando novamente o programa de instalação com a unidade conectada) e verificará o computador quanto a infecções sem inicializar o SO, dessa forma se a infecção estiver bloqueando o verificador de vírus de ver os arquivos infectados, iniciando antes do Windows (e antes que o vírus possa obter seus ganchos), a verificação offline poderá ver os arquivos ocultos.

    
por 17.11.2012 / 07:42
1

224.0.0.252 é para resolução de nomes no mesmo link local LLMNR

De acordo com a Autoridade para Atribuição de Números da Internet :

Multicast routers should not forward any multicast datagram with destination addresses in this range, regardless of its TTL.

Isso significa que os pacotes enviados para 224.0.0.252 (o endereço multicast) têm o escopo definido para impedir que um roteador habilitado para multicast encaminhe a mensagem de consulta além da sub-rede na qual ela foi inicialmente enviada.

O propósito dessas transmissões é resolver nomes (como o DNS). Ele resolve nomes de rótulo único (como: MYCOMPUTR), na sub-rede local, quando a devolução de DNS não consegue resolver o nome. Isso é útil se você estiver em um cenário de rede Ad-Hoc ou em um cenário em que as entradas de DNS não incluam hosts na sub-rede local.

Portanto, se você estiver em uma rede privada não-roteável, esses pacotes só serão vistos pelos computadores locais que estão ouvindo por eles (configurado para Network Discovery ). O que os ouvintes aprenderão ouvindo é o nome do computador.

Você pode pesquisar no seu registro por EnableMulticast , que deve estar (geralmente) em uma ramificação do HKLM Windows Software. Se isso for definido como zero, esses pacotes devem parar.

Se você estiver no IPv4, os computadores locais provavelmente poderão usar o NetBIOS sobre TCP / IP para resolução de nomes, mas como isso não funciona no IPv6, o LLMNR assumirá o controle.

    
por 18.02.2016 / 00:06