taskmgr.exe está pedindo permissão para se conectar a 66.152.109.110

Question

taskmgr.exe está pedindo permissão para se conectar a 66.152.109.110

#1 resposta do (3 votos)
#2 resposta do (2 votos)
#3 resposta do (1 votos)
#4 resposta do (1 votos)
#5 resposta do (-2 votos)

3

O taskmgr.exe está pedindo permissão para se conectar ao 66.152.109.110.

Estou usando o windows 7. Isso é normal? Minha máquina está infectada por malware? Obrigada!

security windows-7 malware

por smallbee 18.04.2012 / 22:39

5 respostas

Tags security windows-7 malware

Como você salva um arquivo do LibreOffice Writer como texto simples? Como recordo os conjuntos de comandos bash comuns (por exemplo, “find”, “xargs” e “grep” para encontrar texto no arquivo)?

score 3 · Answer 1

Visitando http://66.152.109.110 nos dá um site Road Runner .

Ao fazer um google para Road Runner 66.152.109.110 nos fornece um nome de domínio , que eu pesquisei:

nslookup dnssearch.rr.com

Name:    twc.cfg.srchdeliv.com
Addresses:  184.106.15.239
          66.152.109.110
          204.232.137.207
Aliases:  dnssearch.rr.com

Agora vamos fazer alguns whois para ver quem são esses caras:

whois rr.com

Domain Name: rr.com

    Registrar Name: Markmonitor.com
    Registrar Whois: whois.markmonitor.com
    Registrar Homepage: http://www.markmonitor.com

Administrative Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    60 Columbus Circle
     New York NY 10023
    US
    [email protected] +1.2123648539 Fax: +1.7049736228
Technical Contact, Zone Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    7910 Crescent Executive Drive
     Charlotte NC 28217
    US
    [email protected] +1.8777772263 Fax: +1.7047311180

Parece que o Markmonitor protege uma marca , o que indica menos provável um IP malicioso e malicioso.

Mas também há srchdeliv.com , vamos ver o que isso diz:

whois srchdeliv.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: SRCHDELIV.COM
   Created on: 19-Mar-08
   Expires on: 19-Mar-14
   Last Updated on: 25-Jul-10

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Novamente uma marca sendo protegida.

Fazer um IP reverso dá 66-152-109-110.tvc-ip.com de fato, vamos fazer outro:

whois tvc-ip.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: TVC-IP.COM
   Created on: 17-Dec-03
   Expires on: 17-Dec-13
   Last Updated on: 05-Oct-11

Administrative Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  [email protected]
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Observe alguma coisa? Exatamente, coberto pelo mesmo registrante que pode vincular todos os três.

O que estamos perdendo? Certo, visitando os nomes de domínio para ver o que eles hospedam.

O

link (Road Runner) parece ser um site completamente seguro, que está associado a Time Warner Cable como indicado na parte inferior (Talvez relacionado a TVC?), que também parece ser um site completamente seguro.

Atualização pequena:

Descobri que rr.com também serve como o manipulador de e-mail para o domínio tt. .

Vá para esta ferramenta online dig e digite tt. e selecione MX para o consulta e clique em Look it up .

tt.    86400    IN    MX    0    66-27-54-138.san.rr.com.
tt.    86400    IN    MX    10   66-27-54-142.san.rr.com.

Isso torna o rr.com tão legítimo quanto possível.

Mas por que o taskmgr.exe tenta se conectar a ele?

Você se lembra de visitar o Road Runner ou a Time Warner Cable, ou você é um usuário de seus serviços?

Não vejo outra possibilidade além disso, dado que esses últimos sites parecem seguros . E, claramente, o IP é um DNS para sua funcionalidade de pesquisa de DNS. Pode ser possível, porém, que eles tenham uma infecção e se espalhem para você; mas eu não estaria tão certo no começo ...

Você pode nos enviar a saída de ipconfig /all , talvez você tenha definido como seu DNS?

Se você não estiver usando nenhum desses serviços, é provável que o malware esteja usando esse site para resolver problemas; ou seja, ignorar o seu arquivo de hosts / configurações de DNS próprias.

score 2 · Answer 2

O host nomeado está envolvido em abuso massivo e está presente na maioria das listas negras globais. Então você tem um backdoor.

Use um computador limpo para gravar um CD com:

Avira Antivirus
Antivírus Comodo
AVG Antivirus
Spybot s & d
Todas as atualizações.
Alguns produtos de limpeza que sua empresa possui. Como o Sophos ou o Dr.Web.

Então:

Desconectar computador de qualquer tipo de rede
Inicializar no modo de segurança
Desinstale qualquer antivírus / antispyware que você tenha - eles são inúteis (mas seu firewall ainda está bom)
Instale o spybot, atualize com * _includes.exe, imunize o sistema, reinicie o computador novamente no modo de segurança, digitalize & limpe com o spybot.
Uma vez bom, reinicie e digitalize novamente até ficar limpo.
Agora, instale qualquer AV de sua escolha e faça uma limpeza completa, reinicialize, faça uma nova varredura até a limpeza, desinstalação, reinicialização, depois outra, e assim por diante, até que pareça correto.

Se você estiver conectado diretamente à Internet com um computador Windows, talvez queira um roteador doméstico NAT.

score 1 · Answer 3

Eu tenho certeza que você está lidando com um worm ou um cavalo de tróia.

Não consigo pensar em nenhuma razão plausível para o Gerenciador de Tarefas abrir as conexões com a Internet.
A entrada reversa do DNS do IP é 66-152-109-110.tvc-ip.com , portanto, é um IP residencial do usuário final (o Gerenciador de Tarefas que abre uma conexão com something.microsoft.com seria diferente).
O mesmo IP apareceu em esta postagem sobre uma possível variante do Conficker.

Tente baixar o Malwarebytes Anti-Malware Free , instale-o, inicialize no modo de segurança e faça uma varredura em seu sistema.

score 1 · Answer 4

Na verdade, não é malware, apenas um serviço fornecido pelo RoadRunner / Bright House / TWC chamado "RoadRunner Search Guide".

Basta acessar o link e você verá um link para "Incluir ou recusar este serviço".

Em "Serviço de redirecionamento de erro de endereço da Web", selecione "Desativar"

Isso irá desativá-lo e devolver suas funções normais de DNS.

Também no link , você verá um link para "Por que estou aqui?"

Eu passei uma noite tentando descobrir por que um amigo continuava recebendo nslookups para sites www para 66.162.109.110 e 69.16.143.110, mas não para pesquisas de domínio. Parecia bastante com o "Escudo Dourado" da China, que comecei a suspeitar do ISP.

Pessoalmente, sinto que eles deveriam ter sido um pouco mais óbvios sobre o que estavam fazendo. Mas essa é apenas a minha opinião.

score -2 · Answer 5

-2

link Site do mercado negro. Isso roubará suas informações.

por 19.12.2013 / 03:49