taskmgr.exe está pedindo permissão para se conectar a 66.152.109.110

3

O taskmgr.exe está pedindo permissão para se conectar ao 66.152.109.110.

Estou usando o windows 7. Isso é normal? Minha máquina está infectada por malware? Obrigada!

    
por smallbee 18.04.2012 / 22:39

5 respostas

3

Visitando http://66.152.109.110 nos dá um site Road Runner .

Ao fazer um google para Road Runner 66.152.109.110 nos fornece um nome de domínio , que eu pesquisei:

nslookup dnssearch.rr.com

Name:    twc.cfg.srchdeliv.com
Addresses:  184.106.15.239
          66.152.109.110
          204.232.137.207
Aliases:  dnssearch.rr.com

Agora vamos fazer alguns whois para ver quem são esses caras:

whois rr.com

Domain Name: rr.com

    Registrar Name: Markmonitor.com
    Registrar Whois: whois.markmonitor.com
    Registrar Homepage: http://www.markmonitor.com

Administrative Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    60 Columbus Circle
     New York NY 10023
    US
    [email protected] +1.2123648539 Fax: +1.7049736228
Technical Contact, Zone Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    7910 Crescent Executive Drive
     Charlotte NC 28217
    US
    [email protected] +1.8777772263 Fax: +1.7047311180

Parece que o Markmonitor protege uma marca , o que indica menos provável um IP malicioso e malicioso.

Mas também há srchdeliv.com , vamos ver o que isso diz:

whois srchdeliv.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: SRCHDELIV.COM
   Created on: 19-Mar-08
   Expires on: 19-Mar-14
   Last Updated on: 25-Jul-10

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Novamente uma marca sendo protegida.

Fazer um IP reverso dá 66-152-109-110.tvc-ip.com de fato, vamos fazer outro:

whois tvc-ip.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: TVC-IP.COM
   Created on: 17-Dec-03
   Expires on: 17-Dec-13
   Last Updated on: 05-Oct-11

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Observe alguma coisa? Exatamente, coberto pelo mesmo registrante que pode vincular todos os três.

O que estamos perdendo? Certo, visitando os nomes de domínio para ver o que eles hospedam.

O

link (Road Runner) parece ser um site completamente seguro, que está associado a Time Warner Cable como indicado na parte inferior (Talvez relacionado a TVC?), que também parece ser um site completamente seguro.

Atualização pequena:

Descobri que rr.com também serve como o manipulador de e-mail para o domínio tt. .

Vá para esta ferramenta online dig e digite tt. e selecione MX para o consulta e clique em Look it up .

tt.    86400    IN    MX    0    66-27-54-138.san.rr.com.
tt.    86400    IN    MX    10   66-27-54-142.san.rr.com.

Isso torna o rr.com tão legítimo quanto possível.

Mas por que o taskmgr.exe tenta se conectar a ele?

Você se lembra de visitar o Road Runner ou a Time Warner Cable, ou você é um usuário de seus serviços?

Não vejo outra possibilidade além disso, dado que esses últimos sites parecem seguros . E, claramente, o IP é um DNS para sua funcionalidade de pesquisa de DNS. Pode ser possível, porém, que eles tenham uma infecção e se espalhem para você; mas eu não estaria tão certo no começo ...

Você pode nos enviar a saída de ipconfig /all , talvez você tenha definido como seu DNS?

Se você não estiver usando nenhum desses serviços, é provável que o malware esteja usando esse site para resolver problemas; ou seja, ignorar o seu arquivo de hosts / configurações de DNS próprias.

    
por 18.04.2012 / 23:50
2

O host nomeado está envolvido em abuso massivo e está presente na maioria das listas negras globais. Então você tem um backdoor.

Use um computador limpo para gravar um CD com:

  • Avira Antivirus
  • Antivírus Comodo
  • AVG Antivirus
  • Spybot s & d
  • Todas as atualizações.
  • Alguns produtos de limpeza que sua empresa possui. Como o Sophos ou o Dr.Web.

Então:

  • Desconectar computador de qualquer tipo de rede
  • Inicializar no modo de segurança
  • Desinstale qualquer antivírus / antispyware que você tenha - eles são inúteis (mas seu firewall ainda está bom)
  • Instale o spybot, atualize com * _includes.exe, imunize o sistema, reinicie o computador novamente no modo de segurança, digitalize & limpe com o spybot.
  • Uma vez bom, reinicie e digitalize novamente até ficar limpo.
  • Agora, instale qualquer AV de sua escolha e faça uma limpeza completa, reinicialize, faça uma nova varredura até a limpeza, desinstalação, reinicialização, depois outra, e assim por diante, até que pareça correto.

Se você estiver conectado diretamente à Internet com um computador Windows, talvez queira um roteador doméstico NAT.

    
por 18.04.2012 / 23:50
1

Eu tenho certeza que você está lidando com um worm ou um cavalo de tróia.

  • Não consigo pensar em nenhuma razão plausível para o Gerenciador de Tarefas abrir as conexões com a Internet.

  • A entrada reversa do DNS do IP é 66-152-109-110.tvc-ip.com , portanto, é um IP residencial do usuário final (o Gerenciador de Tarefas que abre uma conexão com something.microsoft.com seria diferente).

  • O mesmo IP apareceu em esta postagem sobre uma possível variante do Conficker.

Tente baixar o Malwarebytes Anti-Malware Free , instale-o, inicialize no modo de segurança e faça uma varredura em seu sistema.

    
por 18.04.2012 / 23:14
1

Na verdade, não é malware, apenas um serviço fornecido pelo RoadRunner / Bright House / TWC chamado "RoadRunner Search Guide".

Basta acessar o link e você verá um link para "Incluir ou recusar este serviço".

Em "Serviço de redirecionamento de erro de endereço da Web", selecione "Desativar"

Isso irá desativá-lo e devolver suas funções normais de DNS.

Também no link , você verá um link para "Por que estou aqui?"

Eu passei uma noite tentando descobrir por que um amigo continuava recebendo nslookups para sites www para 66.162.109.110 e 69.16.143.110, mas não para pesquisas de domínio. Parecia bastante com o "Escudo Dourado" da China, que comecei a suspeitar do ISP.

Pessoalmente, sinto que eles deveriam ter sido um pouco mais óbvios sobre o que estavam fazendo. Mas essa é apenas a minha opinião.

    
por 31.07.2012 / 15:08
-2

link Site do mercado negro. Isso roubará suas informações.

    
por 19.12.2013 / 03:49