Questão Processo do sistema do Windows tentando se conectar a computadores desconhecidos


Estou executando o Windows 7. Meu computador continua tentando se conectar a servidores dos quais nunca ouvi falar. Eu bloqueio cada tentativa. O firewall exibe "Sistema" como o aplicativo incorreto.

Isso começou logo depois de conectar meu computador diretamente ao modem (havia anteriormente um roteador no caminho). Já fiz isso antes, mas é a primeira vez que vejo isso acontecer.

Aqui estão alguns dos computadores que ele tentou se conectar:

  • 51.243-broadband.acttv.in
  • 78-58-196-217.static.zebra.lt
  • pc-93-123.akademiki.uni.torun.pl
  • lan-213-159-45-247.vln.skynet.lt
  • lan26-968.elektra.lt
  • ctv-213-164-96-120.vinita.lt
  • 148-25.plus.kerch.net
  • host-88-132-160-169.prtelecom.hu

Eles se parecem com empresas de telecomunicações para mim. O que eu quero saber é qual serviço está fazendo isso e por quê.

Por favor, deixe-me saber se há alguma coisa que eu esqueci de mencionar.

Obrigado.

ATUALIZAR: Eu desativei todos os serviços que eu poderia (exceto aqueles que são necessários para trabalhar o acesso à Internet) e o comportamento estranho parou. Após uma reinicialização (todos os serviços que estavam sendo executados antes, estão sendo executados novamente), o comportamento em questão não continuou. Eu não posso fazer isso de novo, então provavelmente nunca saberei o que estava acontecendo.


1


origem


A primeira etapa desativa o compartilhamento de rede. - Ramhound
@Ramound eu tenho. - user2623008
Seu sistema provavelmente está comprometido. Como precaução, sugiro imediatamente desconectá-lo de todas as redes e alterar todas as senhas usadas nesse sistema.


Respostas:


Parece que você tem um vírus / troyan / worm que está tentando se copiar para outros sites ou apenas atacá-los. Ter conectado o seu PC sem um firewall poderia ter sido o caminho. Você tem que fazer uma verificação de vírus. Você pode tentar encontrar o processo executando isso na sua linha de comando:

C:>netstat -nab

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    0.0.0.0:22             0.0.0.0:0              LISTENING
 [sshd.exe]
  TCP    0.0.0.0:25             0.0.0.0:0              LISTENING
 [PUTTY.EXE]
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING
 [PUTTY.EXE]
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
 [PUTTY.EXE]
  TCP    0.0.0.0:443            0.0.0.0:0              LISTENING
 [chrome.exe]
  TCP    192.168.1.100:27831    173.194.42.54:443      ESTABLISHED
 [chrome.exe]
  TCP    192.168.1.100:28031    198.252.206.25:443     ESTABLISHED
 [chrome.exe]
  TCP    192.168.1.100:28033    173.194.42.35:443      TIME_WAIT
  TCP    192.168.1.100:28035    190.93.246.58:80       ESTABLISHED  
 [chrome.exe]

Você tem que encontrar o IP alvo no Endereço Estrangeiro coluna. Muito provavelmente, o estado mostrará TIME_WAIT. Certamente não mostrará OUVINDO OU ESTABELECIDO. O processo que possui a conexão é impresso na linha abaixo.


0



Obrigado pela resposta. O processo é listado apenas como "[Sistema]". Eu fiz a varredura da memória com o ESET Smart Security, mas não encontrei nada. - user2623008
O Windows não tem um processo real chamado System, pelo que me lembro (estou no Linux agora). Procure por um processo chamado Sistema no Gerenciador de Tarefas e verifique o caminho para esse arquivo executável. Se o gerenciador de tarefas padrão do Windows não ajudá-lo, tente instalar Daphne para encontrar o executável. - drk.com.ar
O Windows tem um processo do sistema. Seu PID é 4. O Process Explorer não exibe nenhum arquivo executável para ele, mas existem alguns arquivos (extensões .exe e .sys) listados na barra Threads. Eu comparei os checksums dos arquivos com aqueles em um computador que não fala com estranhos e eles são basicamente os mesmos, com exceção de alguns arquivos do driver nvidia, o que faz sentido, porque eles têm placas gráficas diferentes. - user2623008
Sim, você está certo. Seu caminho é "(WIN) \ system32 \ ntoskrnl.exe". Mas primeiro verifique se não há um processo duplicado no gerenciador de tarefas com o mesmo nome, mas PID diferente. Se houver um, esse deve ser o vírus / troyan. Mas, claro, o vírus pode ter infectado o seu kernel do Windows. Qual poderia explicar porque você vê o sistema no netstat. Ou talvez o vírus esteja mexendo com a saída do netstat para se esconder. - drk.com.ar
Existe apenas um processo do sistema. Como os arquivos (incluindo ntoskrnl.exe) não são alterados, o malware deve se injetar no processo durante ou após a inicialização, certo? Não há nada suspeito em msconfig.exe em Inicialização, mas não sei como métodos mais sofisticados funcionariam. - user2623008