題 Windows 7中的每個應用程序(甚至這些都不使用互聯網,如notepad.exe)試圖訪問互聯網


在最近的AV / FW軟件更新(Comodo)並重新啟動計算機之後,我驚訝於大量警告應用程序“x”(其中“x”幾乎是我嘗試運行的所有內容)嘗試建立傳出連接地址224.0.0.252(或者有時來自同一範圍的類似地址)。即使它是我剛剛創建的虛擬應用程序,或任何與互聯網無關的應用程序。除此之外,“系統”進程本身也嘗試發送這些IGMP請求以及請求。平均每分鐘5個連接。端口137和138 UDP上的流量也有增加(或FW更新觸發過敏),我通過禁用NetBIOS來修復。

我的問題是: 這可能是什麼原因?這是正常的嗎?我的防火牆是否因為最新的更新而過度敏感,讓我驚訝於一直在發生的內部Windows內容?或者也許我已經捕獲了惡意的東西(Comodo / Spybot Search and Destroy似乎沒有引發任何危險信號)。還有什麼我可以用來檢查/清理我的系統是否存在可以應用於當前AV.FW(Comodo)的威脅?

- - -編輯 - - -

到目前為止,所有更新的新安裝系統似乎行為相同但強度較低。使用Windows Defender離線掃描並未發現任何問題。

我基本上沒有想法,仍然想知道它是由最近的一些系統更新或可能是有缺陷的防火牆軟件造成的。如果它由一些rootkit引起如何揭示它並擺脫它。


4
2017-11-17 06:29


起源




答案:


這聽起來像你抓到了惡意的東西。如果您發現了使用過的病毒/木馬/間諜軟件 DLL注入 在那個注入的DLL中,它調用了你所看到的IP地址的主頁,你會看到你正在經歷的那種行為。

這也可能是一個合法程序出錯的更新,這可以解釋為什麼防病毒沒有捕獲它,但它不太可能。

我建議去另一台你知道沒有感染的計算機並下載 Windows Defender脫機。這將使您可以製作可引導的CD / USB(如果您製作可引導的USB,您可以通過在插入驅動器的情況下再次運行安裝程序來更新病毒定義)並且它將掃描您的計算機以獲取感染而無需啟動操作系統,這樣如果感染阻止病毒掃描程序看到受感染的文件,在Windows之前啟動(在病毒可以掛鉤之前),脫機掃描可以看到隱藏文件。


2
2017-11-17 06:42



所描述的症狀並不向我暗示任何惡意事件正在發生。 - Dale


224.0.0.252用於在同一本地鏈接上進行名稱解析 LLMNR

根據 互聯網號碼分配機構

多播路由器不應轉發   目的地址在此範圍內的任何多播數據報,   不管它的TTL。

這意味著發送到224.0.0.252(多播地址)的數據包的作用域是為了防止啟用多播的路由器將查詢消息轉發到最初發送它的子網之外。

這些傳輸的目的是解析名稱(如DNS確實)。當DNS傳遞無法解析名稱時,它會解析本地子網上的單個標籤名稱(如:MYCOMPUTR)。如果您處於Ad-Hoc網絡方案中,或者在DNS條目不包括本地子網上的主機的情況下,這將非常有用。

所以,如果你是一個不可路由的人 私人網絡,這些數據包只能由正在偵聽它們的本地計算機看到(配置為 Network Discovery)。聽眾將從聆聽中學到的是計算機的名稱。

您可以在註冊表中搜索 EnableMulticast,(通常)應在HKLM Windows軟件分支下。如果將其設置為零,則應停止這些數據包。

如果您使用的是IPv4,則本地計算機可能可以使用TCP / IP上的NetBIOS進行名稱解析,但由於這不適用於IPv6,因此LLMNR將接管。


1
2018-02-17 23:06