Quando eu faço um netstat (no Windows XP), eu sempre consigo uma grande quantidade de conexões com o www.partypoker.com e não consigo descobrir de onde elas vêm.
Um netstat -o me mostra que alguns estão vindo do PID xxx, que é o Firefox, mas se eu matá-lo, as conexões ainda permanecem.
Alguns estão vindo do PID 0, o que não faz sentido para mim.
SEGUNDO PROBLEMA: Alguém poderia pensar que você poderia editar o arquivo C:\WINDOWS\system32\drivers\etc\hosts para bloquear isso, mas parece que minha máquina está ignorando o arquivo hosts! (Eu tentei com o serviço de cliente DNS ativado e desativado, mesmo resultado).
Acabei de reiniciar, matei todos os meus programas normais e não consigo reproduzir o problema. Se eu fosse uma pessoa paranóica, eu pensaria que havia algum tipo de trojan inteligente funcionando.
Estou executando o Windows XP Professional, o Kaspersky Antivirus, o CCleaner e estou totalmente atualizado no Windows Update. O que dá?
Minhas perguntas são:
Eu sou o único com esse problema? Se houver alguma coisa adicional que você precise que eu corra, me avise.
2) Why isn't my hosts filter working?
Uma explicação é que o adware / malware conectado ao servidor usando um < strong> nome DNS diferente ou o endereço IP . Quando o netstat resolveu o endereço IP, você obteve o registro PTR, que pode ser um nome DNS diferente. Isso significa que a consulta HOSTS provavelmente não era para o nome do (www.) Partypoker.com.
Duas notas que podem esclarecer alguma confusão:
O netstat não tem possibilidade de descobrir qual nome foi usado para iniciar a conexão; ele só rastreia o endereço IP (verifique isso com netstat -n -o). Ao exibir informações para você, ele tenta resolver os endereços IP de volta ao nome. Assim, o malware que você tem pode se conectar diretamente ao endereço IP ou a um nome completamente diferente.
O PID 0 pode ser mostrado para conexões TCP no estado TIME_WAIT, após o término do processo. Isso é normal.
Essas conexões podem ser por causa de banners nos sites que você visitou.
A conexão não desaparece imediatamente do netstat depois que a conexão real foi finalizada. Isso levanta uma questão - em que estado as conexões para partypoker são? ESTABLISHED ou CLOSE_WAIT ou algo mais?
Bem, o Party Poker é uma conhecida sala de poker online (eu também jogo lá :)). Eu não sei como para o FireFox, mas instala algo para o IE, pelo menos o ícone de inicialização rápida e outra coisa (acho que algum plugin para jogos no navegador) - eu bloqueei quando instalar o cliente. Pelo menos não parece ser malware. Tente localizar e desinstalar o cliente do PartyPoker se você tiver um. Também reinicie e verifique se existem conexões antes de executar o FF - porque eu realmente acho que é algum tipo de plugin do PartyPoker, que definitivamente não é um site arriscado.