taskmgr.exe demande l'autorisation de se connecter à 66.152.109.110

Visites http://66.152.109.110 nous donne une Road Runner site.

En cherchant sur Google Road Runner 66.152.109.110 nous donne un nom de domaine que j'ai recherchée :

nslookup dnssearch.rr.com

Name:    twc.cfg.srchdeliv.com
Addresses:  184.106.15.239
          66.152.109.110
          204.232.137.207
Aliases:  dnssearch.rr.com

Faisons maintenant un peu de whois pour voir qui sont ces gens :

whois rr.com

Domain Name: rr.com

    Registrar Name: Markmonitor.com
    Registrar Whois: whois.markmonitor.com
    Registrar Homepage: http://www.markmonitor.com

Administrative Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    60 Columbus Circle
     New York NY 10023
    US
    dnsadmin@rr.com +1.2123648539 Fax: +1.7049736228
Technical Contact, Zone Contact:
    Domain Name Administrator
    Time Warner Cable Inc.
    7910 Crescent Executive Drive
     Charlotte NC 28217
    US
    dnsadmin@rr.com +1.8777772263 Fax: +1.7047311180

Il semble que Markmonitor protège une marque ce qui est moins susceptible d'indiquer une IP malveillante étrange.

Mais il y a aussi srchdeliv.com Voyons ce qu'il en est :

whois srchdeliv.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: SRCHDELIV.COM
   Created on: 19-Mar-08
   Expires on: 19-Mar-14
   Last Updated on: 25-Jul-10

Administrative Contact:
   Private, Registration  SRCHDELIV.COM@domainsbyproxy.com
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  SRCHDELIV.COM@domainsbyproxy.com
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Encore une fois, une marque est protégée.

En effectuant une IP inversée, on obtient 66-152-109-110.tvc-ip.com En effet, faisons-en une autre :

whois tvc-ip.com

Domains By Proxy, LLC
DomainsByProxy.com
15111 N. Hayden Rd., Ste 160, PMB 353
Scottsdale, Arizona 85260
United States

Registered through: GoDaddy.com, LLC (http://www.godaddy.com)
Domain Name: TVC-IP.COM
   Created on: 17-Dec-03
   Expires on: 17-Dec-13
   Last Updated on: 05-Oct-11

Administrative Contact:
   Private, Registration  TVC-IP.COM@domainsbyproxy.com
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Technical Contact:
   Private, Registration  TVC-IP.COM@domainsbyproxy.com
   Domains By Proxy, LLC
   DomainsByProxy.com
   15111 N. Hayden Rd., Ste 160, PMB 353
   Scottsdale, Arizona 85260
   United States
   (480) 624-2599      Fax -- (480) 624-2598

Vous avez remarqué quelque chose ? Exactement, ils sont couverts par le même titulaire, ce qui pourrait les relier tous les trois.

Que manquons-nous ? Bien sûr, visiter les noms de domaine pour voir ce qu'ils hébergent.

http://www.rr.com (Road Runner) semble être un site tout à fait sûr, qui est associé à Time Warner Cable comme indiqué au bas de la page (peut-être lié à TVC ?) qui semble également être un site tout à fait sûr.

Petite mise à jour :

J'ai constaté que rr.com sert également de gestionnaire de courrier pour le tt. domaine.

Aller à en ligne dig outil et tapez tt. et sélectionnez MX pour la requête, puis cliquez sur Look it up .

tt.    86400    IN    MX    0    66-27-54-138.san.rr.com.
tt.    86400    IN    MX    10   66-27-54-142.san.rr.com.

Ce qui fait que le rr.com est aussi légitime qu'il peut l'être.

Mais pourquoi taskmgr.exe essaierait-il de s'y connecter ?

Vous souvenez-vous d'avoir visité Road Runner ou Time Warner Cable, ou êtes-vous un utilisateur de leurs services ?

Je ne vois pas d'autre possibilité que celle-là, étant donné que ces derniers sites web semblent sûres . Et il est clair que l'IP est un DNS pour leur fonctionnalité de recherche DNS. Il est possible qu'ils aient une infection et qu'elle se soit propagée jusqu'à vous, mais je n'en serais pas si sûr à première vue...

Pouvez-vous nous envoyer la sortie de ipconfig /all Peut-être l'avez-vous configuré comme DNS ?

Si vous n'utilisez aucun de ces services, il est fort probable que des logiciels malveillants utilisent ce site web pour résoudre des problèmes, c'est-à-dire pour contourner votre fichier hosts / vos propres paramètres DNS.

L'hébergeur désigné est impliqué dans des abus massifs et figure sur la plupart des listes noires mondiales. Vous disposez donc d'une porte dérobée.

Utilisez un ordinateur propre pour enregistrer un CD :

• Avira Antivirus
• Comodo Antivirus
• AVG Antivirus
• Spybot s&d
• Toutes les mises à jour.
• Un peu plus de propreté de la part de votre entreprise. Comme Sophos ou Dr.Web.

Ensuite :

• Déconnecter l'ordinateur de tout type de réseau
• Démarrer en mode sans échec
• Désinstaller tout antivirus/antispyware que vous avez - ils sont inutiles (mais votre pare-feu est toujours bon)
• Installer spybot, mettre à jour avec *_includes.exe, immuniser le système, redémarrer en mode sans échec, scanner et nettoyer avec spybot.
• Une fois que c'est bon, redémarrez et scannez à nouveau jusqu'à ce que ce soit propre.
• Maintenant, installez l'AV de votre choix et faites un nettoyage complet, redémarrez, rescannez jusqu'à ce que ce soit propre, désinstallez, redémarrez, puis un autre, et ainsi de suite jusqu'à ce que vous vous sentiez à l'aise.

Si vous êtes directement connecté à l'internet avec un ordinateur Windows, vous aurez peut-être besoin d'un routeur domestique NAT.

Je suis persuadé que vous avez affaire à un ver ou à un cheval de Troie.

• Je ne vois aucune raison plausible pour laquelle le gestionnaire des tâches devrait ouvrir les connexions internet.

• L'entrée DNS inversée de l'IP est la suivante 66-152-109-110.tvc-ip.com Il s'agit donc d'une IP d'utilisateur final résidentiel (le gestionnaire de tâches ouvre une connexion à something.microsoft.com serait différent).

• Le même IP est apparu dans ce poste sur une variante potentielle de Conficker.

Essayez de télécharger Malwarebytes Anti-Malware Gratuit Installez-le, démarrez en mode sans échec et analysez votre système.

En fait, il ne s'agit pas d'un logiciel malveillant, mais d'un service fourni par RoadRunner/Bright House/TWC appelé "RoadRunner Search Guide".

Il suffit de se rendre sur http://dnssearch.rr.com et vous verrez un lien vers "Opt in ou Opt Out of this Service".

Sous "Service de redirection des erreurs d'adresse Web", sélectionnez "Désactiver"

Cela vous permettra de vous désengager et de retrouver vos fonctions DNS habituelles.

Également à l'adresse http://dnssearch.rr.com vous verrez un lien pour "Pourquoi suis-je ici ?".

J'ai passé une soirée à essayer de comprendre pourquoi un ami continuait à obtenir des recherches de sites www pour 66.162.109.110 et 69.16.143.110, mais pas pour des recherches de domaines. Cela ressemblait suffisamment au "bouclier d'or" de la Chine pour que je commence à soupçonner le fournisseur d'accès.

Personnellement, je pense qu'ils auraient dû être un peu plus clairs sur ce qu'ils faisaient. Mais ce n'est que mon avis.

Il est http://silkroad6ownowfk.onion Site web du marché noir. Il volera vos informations.