Windows上的后台进程向恶意IP发送请求[已关闭]

ryevplcw  于 2022-11-26  发布在  Windows
关注(0)|答案(1)|浏览(219)

**已关闭。**此问题为not about programming or software development。目前不接受答案。

此问题似乎与a specific programming problem, a software algorithm, or software tools primarily used by programmers无关。如果您认为此问题与another Stack Exchange site相关,您可以留下评论,说明在何处可以找到此问题的答案。
9小时前关门了。
Improve this question
每当在我的电脑上建立互联网连接时,我都会反复收到QuickHeal的警告,如下所示:QuckhealWarning我在不同的IP地址下反复收到这样的警告。在上图中显示了其中一个警告。这些警告甚至在启动后出现,除了在启动时启动的应用程序外,没有其他应用程序打开。
我决定进行调查,以下是我的一些观察结果:
1.对IP地址的反向DNS查找显示,大多数IP地址的域名格式为“torNN.quintex.com“,其中NN是一个类似于48或90的数字(对于收到警告的不同IP地址,NN是不同的)
1.我尝试使用“netstat -ano”命令跟踪建立连接的进程,并找到了它们的PID。然后我尝试杀死具有PID的进程,但它显示该进程不存在。在进一步观察后,我注意到建立连接的进程正在立即终止。我猜测是其他进程正在产生这些正在发送请求并终止的进程。因此,我尝试使用“netstat -ano && wmic process get ProcessID,ParentProcessID”来查找ParentPID,但即使这样,第一个命令找到的PID也没有在第二个命令中显示出来,这可能是因为进程在第二个命令捕获它们的PID之前就终止了。
这些进程的行为以及域名和url路径中“tor”的存在使我得出结论,这可能是因为一些恶意软件,我对此非常担心。我还看到了一个高欺诈风险分数here。但我不知道如何摆脱它,仍然无法找到正在产生其他即时终止进程的进程。
有没有人能指导我如何找到原因并摆脱它?
操作系统:Windows 11

g52tjvyc

g52tjvyc1#

这就是我会做的。使用一个应用程序,捕捉所有的IP流量和东西,可以看到哪些端口正在使用,并使用您的防火墙关闭它们。我会关闭它们,并打开他们一个接一个,例如从端口80开始。如果它通过端口80来,那么你监控所有的流量通过该端口。坏的一个肯定会被困在这样的方式。最后你会找到流量的来源端口,可能还有一些IP地址。你的防火墙应该能够阻止这个IP地址范围。你也可以尝试netstat -a -n 2〉mylog.txt或其他netstat选项来记录日志。运行netstat -a -n 2〉mylog.txt一段时间,然后按ctrl-c,然后:键入mylog.txt,您将获得每秒的所有流量。

相关问题