Pregunta Proceso del sistema de Windows tratando de conectarse a computadoras desconocidas


Estoy ejecutando Windows 7. Mi computadora intenta conectarse a servidores de los que nunca he oído hablar. Bloqueo cada intento El firewall muestra "Sistema" como la aplicación ofensiva.

Esto comenzó poco después de conectar mi computadora directamente al módem (anteriormente había un enrutador en el camino). He hecho esto antes, pero esta es la primera vez que veo que esto sucede.

Estas son algunas de las computadoras a las que ha intentado conectarse:

  • 51.243-broadband.acttv.in
  • 78-58-196-217.static.zebra.lt
  • pc-93-123.akademiki.uni.torun.pl
  • lan-213-159-45-247.vln.skynet.lt
  • lan26-968.elektra.lt
  • ctv-213-164-96-120.vinita.lt
  • 148-25.plus.kerch.net
  • host-88-132-160-169.prtelecom.hu

Me parecen compañías de telecomunicaciones. Lo que quiero saber es qué servicio está haciendo esto y por qué.

Por favor, avíseme si hay algo que olvidé mencionar.

Gracias.

ACTUALIZAR: He desactivado todos los servicios que pude (excepto aquellos que son necesarios para trabajar en el acceso a Internet) y el extraño comportamiento se detuvo. Después de reiniciar (todos los servicios que se estaban ejecutando anteriormente, se están ejecutando nuevamente), el comportamiento en cuestión no continuó. No puedo hacer que vuelva a hacer eso, así que probablemente nunca sabré lo que estaba sucediendo.


1


origen


El primer paso deshabilita el uso compartido de red. - Ramhound
@Ramhound tengo. - user2623008
Su sistema probablemente se vea comprometido. Como medida de precaución, sugiero desconectarlo inmediatamente de todas las redes y cambiar todas las contraseñas que usó en ese sistema.


Respuestas:


Parece que tienes un virus / troyan / worm que intenta copiarse en otros sitios o simplemente atacarlos. Habiendo conectado tu PC sin un firewall podría haber sido la entrada. Tienes que hacer un escaneo de virus. Puede intentar encontrar el proceso ejecutando esto en su línea de comando:

C:>netstat -nab

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    0.0.0.0:22             0.0.0.0:0              LISTENING
 [sshd.exe]
  TCP    0.0.0.0:25             0.0.0.0:0              LISTENING
 [PUTTY.EXE]
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING
 [PUTTY.EXE]
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
 [PUTTY.EXE]
  TCP    0.0.0.0:443            0.0.0.0:0              LISTENING
 [chrome.exe]
  TCP    192.168.1.100:27831    173.194.42.54:443      ESTABLISHED
 [chrome.exe]
  TCP    192.168.1.100:28031    198.252.206.25:443     ESTABLISHED
 [chrome.exe]
  TCP    192.168.1.100:28033    173.194.42.35:443      TIME_WAIT
  TCP    192.168.1.100:28035    190.93.246.58:80       ESTABLISHED  
 [chrome.exe]

Debe encontrar la IP objetivo en Dirección en el extranjero columna. Lo más probable es que el Estado muestre TIME_WAIT. Ciertamente no se mostrará ESCUCHANDO ni ESTABLECIDO. El proceso que posee la conexión se imprime en la línea siguiente.


0



Gracias por la respuesta. El proceso solo aparece como "[Sistema]". He escaneado la memoria con ESET Smart Security, pero no encontró nada. - user2623008
Windows no tiene un proceso real llamado System por lo que recuerdo (estoy en Linux ahora mismo). Busque un proceso llamado Sistema en el Administrador de tareas y verifique la ruta a ese archivo ejecutable. Si el administrador de tareas predeterminado de Windows no lo ayuda, intente instalar Dafne para encontrar el ejecutable. - drk.com.ar
Windows tiene un proceso de Sistema. Su PID es 4. Process Explorer no muestra ningún archivo ejecutable para ello, pero hay algunos archivos (extensiones .exe y .sys) enumerados en la barra de Subprocesos. Comparé las sumas de comprobación de los archivos con los de una computadora que no habla con extraños y son prácticamente iguales, a excepción de algunos archivos de controladores nvidia, lo cual tiene sentido, porque tienen diferentes tarjetas gráficas. - user2623008
Sí tienes razón. Su camino es "(WIN) \ system32 \ ntoskrnl.exe". Pero primero verifique que no haya un proceso duplicado en el administrador de tareas con el mismo nombre pero diferente PID. Si hay uno, ese debe ser el virus / troyan. Pero, por supuesto, el virus podría haber infectado su kernel de Windows. Lo cual podría explicar por qué ves System en el netstat. O tal vez el virus está jugando con la salida de Netstat para ocultarse. - drk.com.ar
Solo hay un proceso del sistema. Dado que los archivos (incluido ntoskrnl.exe) no se modifican, el malware debe insertarse en el proceso durante o después del arranque, ¿no? No hay nada sospechoso en msconfig.exe en Inicio, pero no sé cómo funcionarían los métodos más sofisticados. - user2623008