c:\Windows\explorer.exeはウイルスのように機能しています
主なエクスプローラプロセスは、子C:\Windows\explorer.exeを起動しています.次に、この子プロセスは、移動するターゲットのように見える他の2つのサーバーに接続しようとします.最初のものは主に185.48.57.7のdlibaacc.sinarohost.com:httpですが、表示されます
/flushdnsを実行した後でも、外部ファイアウォールでのURLのブロックによって速度が低下しなかったため、DNSの代わりにIPアドレスを使用します.2番目のサーバーは、今朝、a23-64-31-194.deploy.staticです.akamaitechnologies.com:http.
これらのサーバーに接続すると、プロセッサーの1つを使い果たし、インターネット全体で数十の接続を開始します.それは私の一時的なインターネットファイルを通過し、至る所のWebページにアクセスしているようです.奇妙なことの1つは
IEの履歴に表示されるxmlファイルへの関心.IEの履歴も非常に大量の奇妙なサイトで埋め尽くされています.
手動でブロックしていますが、フォーマット/再インストールに非常に近いです.起動時にそれを強制終了する小さなプログラムを書いたが、非常に速く再起動した.プロセスエクスプローラーからの強制終了はより適切に機能しますが、約30秒程度で再起動します.
私の小さなアプリからほぼ即座に再起動するのと同じように、そこでそれを殺します.
Sysinternalsプロセスモニターからのすべての出力と、興味がある場合はexplorer.exeプロセスの完全なメモリダンプを提供できます.
Explorer.exeには検証済みの署名があり、PCで異常な動作が見られません.ある種のコードインジェクションや、割り込みが発生する悪意のあるコードが疑われるのでしょうか?
コードの記述に30年の経験があるので(C ++が私の選択した言語です)、気軽に技術を習得してください.
返信リスト(回答:10)
それは同じコンピュータです Win7 Ultimate OEMからWin7 Ultimate Retailにアップグレードすることが可能ですか? ?
ISです マイクロソフト・セキュリティ・エッセンシャルズ コンピュータまたは...?
応答1# ->にスキップ2 #Sam.Penはい、それは同じコンピューターであり、はい、MSEを実行しています.Win 7 Ultimate 64ビットの実行.その本物と言いますが、それはまだneweggからのOEMライセンスversionです.Intel 286以降、すべてのコンピューターを構築しています:)
s13.sinarohost.com:httpとamazonaws.comにあるコンピュータは、使用していた他の2つのオリジナルサーバーでした.
これが厄介な小さなボットである場合は、MSEに入れたいと思います.
応答2# ->にスキップ3 #PABear-Internet Explorer 11(IE11)がインストールされているWin7 64ビットを想定して...
次の返信の対応する番号のリストに、次の[確定的に面倒な]診断の質問のそれぞれに答えてください. のないを引用する:
1a.いつ(日付)あなたはコンピュータを購入/構築しましたか?
1b.いつ(およそ.日付)Newegg.comから購入した「OEM」ディスクを使用してWin7のクリーンインストールを行いましたか?
1c.あなたは「Win7究極の小売にアップグレードする」としたら、(正確な日付、好ましくは)あなたはそうしましたか?
2a.亡くなる マイクロソフト・セキュリティ・エッセンシャルズ (MSE)もともとWindowsの更新を介して提供されインストールされたか、または意図的に を選択してインストールしますか?
2b.WindowsExplorer [WinKey + E]、
を右クリックして右クリックします.•
c:¥Program Files¥Microsoftセキュリティクライアント<=このフォルダプロパティ:結果に表示されているcreated日付は何ですか 一般タブ?
2c.現在インストールされているAntimenter Clientのversionは何ですか?見つけるには、MSEを開くには、[Security Essentials]を選択します.
2D.どのようなエンジンと定義がありますか?
3.MSEをインストールする前に、Inti-VirusApplicationがインストールされているのは、MSEをインストールする前に、あなたの購読がまだ最新のものであり、あなたがインストールされる前にそれをアンインストールしましたか?
4.コンピュータには、Norton ApplicationまたはMcAfee Applicationがあります. あなたはそれを買ったので?
5.iskb3003057、KB3006226、KB300588、KB2993958、KB2993958、KB3005607、KB300378120、KB3003743、および/またはKB3002885 インストールされたアップデート(not更新履歴)? [1]
6.Javaがインストールされていると仮定して=>はJavaversion8アップデート25(またはそれ以上)またはJavaversion7 update71(またはそれ以上)インストールされていますか? Internet Explorerを使用してここでテストします のみ!=> https://java.com/en/download/uninstallapplet.jsp..jsp. [2]
7.Adobe Flash PlayerV15.0.0.223(またはそれ以上)がインストールされていますか? Internet Explorerを使用してここでテストします のみ!=> https://www.adobe.com/software/flash/about/
8a.(正確な日付)がWindows Internet Explorer1111がインストールされたとき インストールされたアップデート?
8b.Internet Explorerのヘルプのテキストの2行目に表示されている版に表示されるもの[alt + h + a]タブについて例えば.、 アップデートversion:11.0.54(KB1231231)?
8c.Firefox、Chrome、または代替ブラウザがインストールされていますか?
9.あなたは「レジストリクリーナー」(例えばレジストリメカニック; RegCure; RegCrean Pro; Regclean Pro; Registry Booster; McAfee QuickCare; AVG PC Tuneup; Norton Registry Clean; Pctools Optimiser; SpeedUp Mypc; PC医師;
Tuneupユーティリティ.WinMaximizer.winsweeper;コモドシステムクリーナー.高度なシステムオプティマイザ.ccleaner's レジストリクリーナーコンポーネント)?~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~<]/P>
関連参照には以下が含まれます.
- Microsoft Security Essentialsをインストールするためのチェックリスト
- Microsoft Security Essentials [またはアンチウイルス/アンチスパイウェアApplication]をインストールして、すでに感染したコンピュータ?
私はすでに感染したコンピュータをクリーンアップするようにMSEをインストールできますか?
[1]スタート|コントロールパネル| Proグラムや機能インストールされたアップデート(左側のメニューで)[2]既に
インストールされていない場合は、Javaをインストールする必要はありません.
応答3# ->にスキップ4 #Sam.Pen1a)2008年7月15日
1b)2008年7月15日
1c)いいえ、まだOEMです
2a)MSEを選択しました.すべてのウイルス対策はかなり厄介ですが、MSEはほとんどの方法で邪魔をしません.
2b)金曜日、6月03、2011、5:37:54 PM
2d-e)Antimalwareクライアントversion:4.6.305.0
エンジンversion:1.1.11104.0
アンチウイルス定義:1.187.2279.0
アンチスパイウェア定義:1.187.2279.0
ネットワーク検査システムエンジンversion: 2.1.11005.0
ネットワーク検査システム定義version:113.25.0.03)なし
4)いいえ
5)リストにあるものがすべてインストールされている
6)Java 8 Update 25(Build1.8.0_25-b18)ですが、調査の早い段階でJava(hate java/oracle)をアンインストールして再インストールしました.いかなる状況でもブラウザで許可しません.
7)最新のFlash Playerがインストールされました.しかし、私の初期の調査で、一度に50個ほどのWebサイトに接続し、それを停止しようとしてアンインストールした状態で、フラッシュプレーヤーDLLを介して多くのスレッドが実行されているのを見ました.それがしなかった後、私は後で再インストールしました
役立つようです.Flashはversion15.0.0.223です8a)2013年11月14日
8b)アップデートversion:11.0.14(KB3003057)
9)いいえ、レジストリクリーナーや「PCの速度を上げる」などを使用することは決してありません.それらはぼったくりである傾向があります.私はregeditを頻繁に使用しています.私はソフトウェア開発者です.Iamは私がアクセスするWebサイトについて非常に慎重で、クリックする前に常にURLを確認します.限定書きました
以前はDNSサーバー.注:私はactiveMSDNプロフェッショナルサブスクリプションを持っています.
応答4# ->にスキップ5 #PABear-<悪魔の擁護>#2bに対するあなたの答えは私に1つ以上の次のことを示唆しています:
- 2008年7月15日にWin7をインストールしている間、あなたは2011年6月3日までMSEをインストールしなかった(すなわち、コンピュータはMSEをインストールする前に3年近く2年近くインターネットに接続されているかもしれない)./または...
- あなたは2011年6月3日に新しいMSE版にアップグレードしました.2011年6月の何らかの理由でMSEをアンインストール/再インストールしている;
- そして/または...
- あなたは、2011年6月にWin7の修理インストールまたはクリーンインストールを行い、何らかの理由でMSEを再度インストールしました.
1.コメント?
2.偶然に設置されたことはありますか?
3.これらの「子プロセス」のタイミングをあなたと比較するとが考えています. windowsupdate.log?自動更新がアップデートサーバーと同期している場合は、「子プロセス」が発生する可能性がありますか?
注:Windows Updateの「トンネル」を介したMSE自動更新が技術的にではありません 自動更新を介して
応答5# ->にスキップ6 #Sam.Penこれは新しい動作です.私を信じて、私は私のコンピューターに非常に目を引くようにしてください.の隣に
時計.私は時計でアイコンを隠すことは決してないので、他に何が起こっているのか見ています.新しいコンピュータを使用したもう1つのステップは自動実行を使用しており、後で比較のために出力をファイルに保存します.2011年までのAnit-Virusまでインストールしなかった理由は、これまでにアンチウイルスを実行したことがないからです.アンチウイルスソフトウェアは、私のコンピュータのいずれかに何も見つけていないことがありません.
それはここにどのように得られたのか問題がありますか?ここにあります.私は助けるかもしれないと思いました、そしてMSEデータベースで定義を得ようとします.私は何年にもわたって私の感染した友達のコンピュータを掃除し、それは通常私にとってはかなり簡単です.私はコンピュータ上で何が起こるべきかを知っています
&30分以内に掃除することができます.この1つのExplorer.exeだから私はMSEの誰かが知りたいと思った理由です.私は間違えましたか?だから...
より疑わしいスレッドの1つを見て、私はこのスタックトレースを見ます疑わしい:
ntoskrnl.exe!kewaitformultipleObjects + 0xc0a
ntoskrnl.exe!keacquirespinlockatdpclevel + 0x732
ntoskrnl.exe!kewaitforsingleObject + 0x19f
ntoskrnl.exe!_misaligned_access + 0xba4ntosalnl.exe!_misaligned_access + 0x1821
ntoskrnl.exe!kewaitformultipleObjects + 0x26A
NjpaitForSingleObject + 0x40f
ntwaitforsingleObject + 0x77E
ntoskrnl.exe!KesynchronizeExecution + 0x3A23
NTDLL.DLL!NjpAITFOMULTIPLEOBJECTS + 0xA私はまた疑わしいフォルダ拡張機能を見つけました.これは、それがExplorer.exeにどのようにロードされるかを説明します:
C:¥ProgramData¥{9a88e103-A20A-4EA5-8636-C73B709A5BF8}ディレクトリには、ISXRWCTMG2.DLLの中にある暗号化されたファイルのみがあります.このプロパティは、元のファイル名がd3d9.dllですが、ファイルはシステムフォルダ内のD3D9.dllに近いものがありません.サイズはオフになっていて、それを見ているときそれは本当のDLLではありません
DLLビューア.だから何かを隠そうとしているかもしれません.私はそれが行ったのかを見ない、そしてナッツのときそれをブロックすることにしました.
応答6# ->にスキップ7 #Sam.Penもう1つの注意点は、子ctfmon.exeを生成しますが、ctfmon.exeはCPUがなく、ネットワーク接続がない場合、あまり使用しません.
そのため、ほぼ1分間無料で実行しました.Sam64が私のコンピュータです.
これは接続リストです:
sam64:49390->3.224.221.162.serverel.net:http
sam64:49392->216.172.63.56:http
sam64:49391->5.149.250.194:http
sam64:49394->199.115.116.87:http
sam64:49396->us75.ua-hosting.com.ua:http
sam64:49397->173.239.42.220:http
sam64:49398->us43.ua-hosting.com.ua:http
sam64:49399->83.61.serverel.net:http
sam64:49400->li374-207.members.linode.com:http
sam64:49401->184.164.143.90:http
sam64:49402->69.39.239.161:http
sam64:49404->69.39.239.161:http
sam64:49406->static.11.47.40.188.clients.your-server.de:http
sam64:49408->72.172.91.236:http
sam64:49409->72.172.91.236:http
sam64:49410->54.243.127.33:http
sam64:49411->72.251.229.242:http
sam64:49412->72.21.91.113:http
sam64:49413->mia07s24-in-f3.1e100.net:http
sam64:49414->209.208.126.234:http
sam64:49415->209.208.126.234:http
sam64:49416->us40.ua-hosting.com.ua:http
sam64:49417->209.208.126.234:http
sam64: 49418->209.208.126.234:httpsam64:49419->72.21.91.203:http
sam64:49420->us40.ua-hosting.com.ua:http
sam64:49421->float.1640.bm-impbus.prod.lax1.adnexus.net:http
sam64:49422->69.39.239.161:http
sam64:49423->float.2400.bm-impbus.prod.lax1.adnexus.net:http
sam64:49424->69.39.239.161:http
sam64:49425->209.208.126.234:http
sam64:49426->float.2100.bm-impbus.prod.lax1.adnexus.net:http
sam64: 49427->209.208.126.234:http
sam64:49428->69.39.239.161:http
sam64:49429->a184-29-187-243.deploy.static.akamaitechnologies.com:https
sam64 :49430->204.27.56.91:http
sam64:49433->204.27.56.91:http
sam64:49432->64.224.221.162.serverel.net:http
sam64:49434->69.39.239.161 :http
sam64:49435->209.208.126.234:http
sam64:49436->204.27.56.91:http
sam64:49437->ec2-107-20-202-32.compute-1.amazonaws.com:http
sam64:49439->209.208.126.234:http
sam64:49438->72.251.229.242:http
sam64:49440->209.208.126.234:http
sam64:49441->216.23.166.110:httpsam64:49442->hosted-by.leaseweb.com:http
sam64:49443->209.208.126.234:http
sam64:49445->209.208.126.234:http
sam64:49444->float.1640.bm-impbus.prod.lax1.adnexus.net:http
sam64:49446->66.45.56.124:http
sam64:49447->float.2400.bm-impbus.prod.lax1.adnexus.net:http
sam64:49448->209.208.126.234:http
sam64:49449->209.208.126.234:http
sam64:49450->69.172.216.161:https
sam64:49451->209.208.126.234:http
sam64:49452->209.208.126.234:http
sam64:49453->184.29.168.112:http
sam64:49454->209.208.126.234:http
sam64 :49455->209.208.126.234:http
sam64:49456->leonardo.datablocks.net:http
sam64:49457->209.208.126.234:http
sam64:49458->173.192.202.133-static.reverse.softlayer.com:http
sam64:49459->173.192.202.133-static.reverse.softlayer.com:http
sam64:49460->209.208.126.234:http
sam64:49462->209.208.126.234:http
sam64:49461->float.2100.bm-impbus.prod.lax1.adnexus.net:http
sam64:49463->46.229.172.155 :http
sam64:49464->209.208.126.234:http
sam64:49465->173.192.202.133-static.reverse.softlayer.com:http
sam64:49466->72.251.229.242:http
sam64:49467->216.23.166.110:http
sam64:49468->173.192.220.64-static.reverse.softlayer.com:http
sam64:49471->74.117.199.102:http
sam64 :49469->ec2-54-243-193-153.compute-1.amazonaws.com:http
sam64:49470->ec2-54-243-193-153.compute-1.amazonaws.com:http
sam64:49472->173.192.202.133-static.reverse.softlayer.com:http
sam64:49473->173.192.220.64-static.reverse.softlayer.com:http
sam64:49474->ec2-107-20-202-32.compute-1.amazonaws.com:http
sam64:49475->72.251.229.242:http
sam64:49477->a184-29-175-22.deploy.static.akamaitechnologies.com:http
sam64:49476->208.43.234.241-static.reverse.softlayer.com:http
sam64:49482->72.21.91.109:http
sam64:49483->72.21.91.42:http
sam64:49484->72.21.91.42:http
sam64:49479->198.51.152.83:http
sam64:49478->198.51.152.83:http
sam64:49481->38.65.9.35:http
sam64:49480->38.65.9.35:http
sam64:49486->69.172.216.56:https
sam64:49485->54.243.127.33:http
sam64 :49487->74.121.142.217:http
sam64:49488->ec2-50-16-207-204.compute-1.amazonaws.com:http
sam64:49490->mia07s27-in-f26.1e100.net:http
sam64:49491->oasn04a.247realmedia.com:http
sam64:49492->t.mookie1.com:http
sam64:49489->107.21.208.129:http
sam64:49494->map-e.pipelane.net:http
sam64:49497->d-atl1.turn.com:http
sam64:49498->d-atl1.turn.com:http
sam64:49493->spcms.pbp.vip.gq1.yahoo.com:http
sam64:49495->ec2-54-165-183-240.compute-1.amazonaws.com:http
sam64:49496->216.38.163.155:http
sam64:49499->173.1.213.243:http
sam64:49502->ec2-54-208-255-63.compute-1.amazonaws.com:http
sam64:49501->199.233.57.13:http
sam64:49500->199.233.57.13:http
sam64:49503->208.43.230.80-static.reverse.softlayer.com:http
sam64:49506->mia07s27-in-f26.1e100.net:http
sam64:49508->t.mookie1.co m:http
sam64:49507->oasn04a.247realmedia.com:http
sam64:49505->74.121.142.217:http
sam64:49513->173.1.213.243:http
sam64:49510->map-e.pipelane.net:http
sam64:49511->ec2-54-165-183-240.compute-1.amazonaws.com:http
sam64:49512->216.38.163.155: http
sam64:49518->184.29.168.112:http
sam64:49517->174.37.217.200-static.reverse.softlayer.com:http
sam64:49519->ec2-54-208-255-63.compute-1.amazonaws.com:http
sam64:49516->174.37.217.200-static.reverse.softlayer.com:http
sam64:49520->208.43.230.80-static.reverse.softlayer.com:http
sam64:49514->54.86.190.170:http
sam64:49509->spcms.pbp.vip.gq1.yahoo.com:http
sam64:49521->54.86.190.170: http
sam64:49522->74.201.141.140:http
sam64:49526->72.21.91.109:http
sam64:49524->198.51.152.83:http
sam64:49515->a184-29-169-25.deploy.static.akamaitechnologies.com:http
sam64:49525->38.65.9.35:http
sam64:49523->216.39.55.12:http
sam64:49527->74.201.141.140:http
sam64:49529->72.251.229.242:http
sam64:49528->216.39.55.12:http
sam64:49530->float.2358.bm-impbus.prod.lax1.adnexus.net:https
sam64:49532->t.mookie1.com:http
sam64:49531->107.21.208.129:http
sam64:49536->24.143.205.105:http
sam64:49533->t.mookie1.com:https
sam64:49537->66.150.48.56:http
sam64:49534->hosted-by.leaseweb.com:http
sam64:49535->float.2358.bm-impbus.prod.lax1.adnexus.net:https
sam64:49539->146.148.43.107:http
sam64:49542->173.1.213.243:http
sam64:49541->map-e.pipelane.net:http
sam64:49545->24.143.205.105:http
sam64:49543->server-54-192-7-226.dfw3.r.cloudfront.net:http
sam64:49544->66.150.48.56:http
sam64:49546->72.251.229.242:http
sam64:49553->199.27.76.166:http
sam64:49550->69.172.216.111:https
sam64: 49549->69.172.216.58:https
sam64:49540->209.15.224.6:http
sam64:49551->69.172.216.111:https
sam64:49552->ec2-107-20-202-32.compute-1.amazonaws.com:https
sam64:495 47->146.148.43.107:http
sam64:49554->Edge-star-shv-04-atl1.facebook.com:http
sam64:49555->Edge-star-shv-04-atl1.facebook.com:http
sam64:49558->68.67.176.23:http
sam64:49557->162.248.19.136:http
sam64:49556->162.248.19.136:http
sam64:49548->209.15.224.6:http
sam64:49559->t.mookie1.com:https
sam64:49562->66.150.48.56:http
sam64:49560->70.38.112.102:http
sam64:49563->72.251.229.242:http
sam64:49561->70.38.112.102:http
sam64:49566->74.117.199.102:http
sam64:49565->69.172.216.111:https
sam64:49564->216.39.55.12:http
sam64:49567->162.248.19.136:http
sam64:49568->float.2358.bm-impbus.prod.lax1.adnexus.net:https
sam64:49572->72.251.229.242:http
sam64:49571->float.1633.bm-impbus.prod.lax1.adnexus.net:http
sam64:49569->float.1633.bm-impbus.prod.lax1.adnexus.net:http
sam64:49573->float.1633.bm-impbus.prod.lax1.adnexus.net:http
sam64:49570->float.1633.bm-impbus.prod.lax1.adnexus.net:http
s am64:49574->beacon-3.newrelic.com:http
sam64:49575->t.mookie1.com:https
sam64:49576->a23-64-165-163.deploy.static.akamaitechnologies.com:http
sam64:49578->a184-29-187-243.deploy.static.akamaitechnologies.com:http
sam64:49577->72.251.229.242:http
sam64:49579->24.143.205.72:http
sam64:49580->24.143.205.72:http
sam64:49581->24.143.205.72:http
sam64:49583->72.251.229.242:http
sam64:49582->ec2-107-20-202-32.compute-1.amazonaws.com:http
sam64:49585->198.51.152.83:http
sam64:49584->a23-64-165-163.deploy.static.akamaitechnologies.com:http
sam64:49586->a184-29-187-243.deploy.static.akamaitechnologies.com:http
sam64:49591->24.143.205.9:http
sam64:49587->ec2-107-20-202-32.compute-1.amazonaws.com:https
sam64:49590->198.51.152.83:http
sam64:49594->presentation-atl1.turn.com:http
sam64:49596->Edge-star-shv-04-atl1.facebook.com:https
sam64:49597->Edge-star-shv-04-atl1.facebook.com:https
sam64:49595->198.5 1.152.83:http
sam64:49593->54.215.227.17:http
sam64:49592->54.215.227.17:http
sam64:49589->static.88-198-35-226.clients.your-server.de:http
sam64:49598->a184-29-168-237.deploy.static.akamaitechnologies.com:http
sam64:49599->ec2-107-20-202-32.compute-1.amazonaws.com:http
sam64:49600->74.117.199.102:http
sam64:49601->pr-east.pbp.vip.bf1.yahoo.com:http
sam64 :49602->66.151.69.138:http
sam64:49603->184.29.163.92:http
sam64:49604->204.154.110.79:http
sam64:49605->a23-64-165-163.deploy.static.akamaitechnologies.com:http
sam64:49606->184.29.168.129:http
sam64:49538->server-54-192-7-226.dfw3.r.cloudfront.net:http
sam64:49607->ec2-107-20-202-32.compute-1.amazonaws.com:https
sam64:49608->69.172.216.161:http
sam64:49609->hosted-by.leaseweb.com:http
sam64:49610->ec2-107-20-202-32.compute-1.amazonaws.com:http
sam64:49611->float.2085.bm-impbus.prod.lax1.adnexus.net:http
sam64:49613->24.143.205.105:https
sam64:49616->vip067.ssl.hwcdn.net:http
sam64:49615->ec2-54-225-132-8.compute-1.amazonaws.com:http
sam64:49614->ch1aqu.atdmt.com:http
sam64:49619->ec2-107-20-202-32.compute-1.amazonaws.com:https
sam64:49618->72.172.91.235:http
sam64 :49612->static.88-198-35-226.clients.your-server.de:http
sam64:49617->72.172.91.235:http
sam64:49620->ec2-107-20-202-32.compute-1.amazonaws.com:https
sam64:49621->69.172.216.56:http
sam64:49622->69.172.216.111:http
sam64:49626->24.143.206.57 :http
sam64:49628->74.117.199.102:http
sam64:49625->vc-in-f95.1e100.net:http
sam64:49624->vc-in-f95.1e100.net:http
sam64:49627->pr-east.pbp.vip.bf1.yahoo.com:http
sam64:49629->a184-29-168-237.deploy.static.akamaitechnologies.com: http
sam64:49623->66.45.56.124:http
sam64:49630->69.172.216.111:http
sam64:49631->66.150.48.56:http
sam64:49632->cdn-68-142-118-254.atl1.llnw.net:http
sam64:49633->cdn-68-142-118-254.atl1.llnw.net: http
sam64:49634->69.172.216.111:http
sam64:49635->104.219.49.71:http
sam64:49636->66.150.48.56:http
sam64:49638->mia07s25-in-f31.1e100.net:http
sam64:49637->mia07s25-in-f31.1e100.net:http
sam64:49639->65.52.108.11:http
sam64:49640->65.52.108.11:http
sam64:49641->69.172.216.111:http
sam64:49642->a-0001.a-msEdge.net:http
sam64:49643->a-0001.a-msEdge.net:http
sam64:49644->74.217.253.60:http
sam64:49645->74.217.253.60:http
sam64:49646->104.28.31.47:http
sam64:49647->a184-29-187-243.deploy.static.akamaitechnologies.com:http
sam64:49648->104.28.31.47:http
sam64:49649->216.38.162.155:http
sam64: 49650->104.28.24.51:http
sam64:49652->a184-29-168-237.deploy.static.akamaitechnologies.com:http
sam64:49653->72.21.91.187:http
sam64 :49651->193.169.245.163:http
sam64:49654->104.28.24.51:http
sam64:49655->104.28.30.47:http
sam64:49656->104.28.30.47:http
sam64:49657->104.28.30.47:http
sam64:49658->104.28.30.47:http
sam64:49659->199.96.57.7:http
sam64:49660->64.12.239.201:http
sam64:49661->162.248.19.142 :http
sam64:49664->presentation-atl1.turn.com:http
sam64:49662->162.248.19.136:http
sam64:49663->162.248.19.136:http
sam64: 49665->69.172.216.111:http
sam64:49666->162.248.19.136:http
sam64:49667->162.248.19.136:http
sam64:49668->162.248.19.136:http
sam64:49669->162.248.19.136:http
sam64:49670->173.194.125.27:http
sam64:49671->mia07s27-in-f27.1e100.net:http
sam64:49672->173.194.125.58:http
sam64:49673->24.143.205.64:http
sam64:49675->mia07s24-in-f1.1e100.net:http
sam64:49674->a23-64-36-174.deploy.static.akamaitechnologies.com:http
sam64:49676->media.dc6.vcmedia.com:http
sam64:49677->media.dc6.vcmedia.com:http
sam64 :49679->mia07s24-in-f1.1e100.net:https
sam64:49678->ec2-54-236-149-233.compute-1.amazonaws.com:http
sam64:49680->ec2-107-23-220-206.compute-1.a mazonaws.com:http
sam64:49681->162.248.19.136:http
sam64:49682->74.117.199.102:http
sam64:49683->69.25.24.24:http
sam64:49684->199.27.76.166:http
sam64:49685->67-217-177-158.ash01.latisys.net:http
sam64:49687->Edge-star-shv-04-atl1.facebook.com:http
sam64:49688->d-atl1.turn.com:http
sam64:49689->d-atl1.turn.com:http
sam64:49690->presentation-atl1.turn.com:http
sam64:49691->24.143.205.34:http
sam64:49686->ec2-23-23-131-159.compute-1.amazonaws.com:http
sam64:49697->50.116.194.24:http
sam64:49692->216.52.92.110:http
sam64:49696->70.42.33.241:http
sam64:49699->d-audienceiq-atl1.turn.com :http
sam64:49698->d-audienceiq-atl1.turn.com:http
sam64:49695->adtechus-ssp-ums-mtc-a.evip.aol.com:http
sam64 :49694->ec2-54-210-200-142.compute-1.amazonaws.com:http
sam64:49700->107.21.250.221:http
sam64:49693->91.103.140.6:http
sam64:49702->198.51.152.83:http
sam64:49701->tacoda-atwola-prod-adcom-m tc.evip.aol.com:http
sam64:49703->54.197.237.96:http
sam64:49704->8.15.229.36:http
sam64:49705->54.210.12.157:http
sam64:49706->54.210.12.157:http
sam64:49707->24.143.205.67:http
sam64:49708->iad05-login.dotomi.com:http
sam64:49709->64.156.167.98:http
sam64:49710->162.248.19.142:http
sam64:49711->24.143.206.49:http
sam64:49712->iad02-login.dotomi.com:http
sam64:49715->mia07s24-in-f9.1e100.net:https
sam64:49713->162.159.248.128:http
sam64:49716->mia07s24-in-f9.1e100.net:https
sam64:49714->8.15.229.36:https
sam64:49721->104.28.31.47:http
sam64:49718->104.28.31.47:http
sam64:49720->104.28.31.47:http
sam64:49719->104.28.31.47:http
sam64:49717->162.248.19.136:http
sam64:49724->104.28.30.47:http
sam64:49723->104.28.30.47 :http
sam64:49725->104.28.30.47:http
sam64:49726->104.28.30.47:http
sam64:49727->a184-29-187-243.deploy.static.akamaitechnologies.com:http
sam64:49728->173.241.242.220:http
sam64:49722->216.39.55.12:http
sam64:49729->iad05-login.dotomi.com:http
sam64:49730->199.16.156.232:https
sam64:49731->199.16.156.232:https
sam64:49732->a184-29-187-243.deploy.static.akamaitechnologies.com:http
sam64:49733->iad02-login.dotomi.com:http
sam64:49734->24.143.205.59:http
sam64:49735->mia07s25-in-f15.1e100.net:http
sam64:49736->8.15.229.36:http
sam64:49737->69.172.216.55:https
sam64:49738->ec2-54-243-180-222.compute-1.amazonaws.com:http
sam64:49739->ec2-54-243-180-222.compute-1.amazonaws.com:http
sam64:49741->69.172.216.111:https
sam64:49740->ec2-204-236-239-42.compute-1.amazonaws.com:https
sam64:49742->iad01-usadmm.dotomi.com:http
sam64:49743->8.21.198.139:https
sam64:49744->162.248.19.142:http
sam64:49745->46.105.18.84:http
sam64:49746->iad05-login.dotomi.com:http
sam64:49747->24.143.205.104:http
sam64:49748->24.143.205.104:http
sam64:49749->i ad02-login.dotomi.com:http
sam64:49750->iad05-login.dotomi.com:http
sam64:49751->iad02-login.dotomi.com:http
sam64:49753->ec2-204-236-239-42.compute-1.amazonaws.com:http
sam64:49752->ec2-204-236-239-42.compute-1.amazonaws.com:http
sam64:49755->72.21.91.74:http
sam64:49754->a184-29-174-197.deploy.static.akamaitechnologies.com:http
sam64:49756->8.15.229.36:http
sam64:49757->173.192.220.64-static.reverse.softlayer.com:http
sam64:49758->66.45.56.124:http
sam64:49759->ec2-204-236-239-42.compute-1.amazonaws.com:https
sam64:49760->ec2-204-236-239-42.compute-1.amazonaws.com:https
sam64:49761->server-54-230-5-56.dfw3.r.cloudfront.net:http
sam64:49762->haproxy9.ca.servers.visadd.com:http
sam64:49764->a184-29-187-243.deploy.static.akamaitechnologies.com:http
sam64:49765->a184-29-187-243.deploy.static.akamaitechnologies.com:http
sam64:49763->li727-209.members.linode.com: 8007
sam64:49766->162.248.19.142:http
sam 64:49769->104.28.31.47:http
sam64:49767->104.28.31.47:http
sam64:49768->104.28.31.47:http
sam64:49770->104.28.31.47:http
sam64:49771->23.235.40.185:http
sam64:49773->63.135.90.171:http
sam64:49774->iad05-login.dotomi.com:http
sam64:49772->ec2-54-186-42-96.us-west-2.compute.amazonaws.com:http
sam64:49775->162.248.19.142:http
sam64:49776->iad02-login.dotomi.com:http
sam64:49777->presentation-atl1.turn.com:http
sam64:49779->173.194.125.27:https
sam64:49778->50.19.255.201:http
sam64 :49780->68.67.128.113:http
sam64:49782->mia07s26-in-f27.1e100.net:https
sam64:49781->mia07s26-in-f27.1e100.net:https
sam64:49783->cas.criteo.com:http
sam64:49784->24.143.206.169:http
sam64:49786->66.150.48.41:http
sam64:49787->a184-29-160-169.deploy.static.akamaitechnologies.com:http
sam64:49788->pixel.quantserve.com:http
sam64:49785->ec2-54-235-91-75.compute-1.amazonaws.com:http
sam64:49789->24.143.20 6.210:http
sam64:49790->104.28.30.47:http
sam64:49791->64.12.239.201:http
sam64:49792->162.248.19.142:http
sam64:49793->ec2-23-21-132-152.compute-1.amazonaws.com:http
sam64:49794->map2.hwcdn.net:http
sam64:49796->map2.hwcdn.net:http
sam64:49795->74.121.139.103:http
sam64:49797->map2.hwcdn.net:http
sam64:49798->beacon.walmart.com:http
sam64:49799->a23-64-37-109.deploy.static.akamaitechnologies.com:http
sam64:49800->d-audienceiq-atl1.turn.com:http
sam64:49805->ec2-50-19-112-125.compute-1.amazonaws.com:http
sam64:49804->173.193.244.36-static.reverse.softlayer.com:http
sam64:49810->mia07s25-in-f26.1e100.net:http
sam64:49801->50.17.212.86:http
sam64:49802->23.23.159.193:http
sam64:49803->ec2-54-197-250-224.compute-1.amazonaws.com:http
sam64:49806->ec2-54-197-225-160.compute-1.amazonaws.com:http
sam64:49809->74.121.142.231:9170
sam64 :49807->209.235.4.199:http
sam64:49808->209.15.224.6:htt p
sam64:49812->23.23.159.193:http
sam64:49813->74.121.142.231:9170
sam64:49816->a23-64-36-101.deploy.static.akamaitechnologies.com :https
sam64:49815->162.248.19.142:http
sam64:49817->74.121.136.102:http
sam64:49818->68.67.176.23:http
sam64:49819->ec2-54-208-111-46.compute-1.amazonaws.com:http
sam64:49820->video.dc6.vcmedia.com:http
sam64:49821->video.dc6.vcmedia.com :http
sam64:49826->a184-29-163-125.deploy.static.akamaitechnologies.com:http
sam64:49823->162.248.19.142:http
sam64:49824->184.173.160.153:http
sam64:49825->184.173.160.153:http
sam64:49822->216.38.172.131:http
sam64:49827->184.173.160.153:http
sam64:49828->map2.hwcdn.net:http
sam64:49830->184.29.188.42:http
sam64:49829->63.135.90.150:http
sam64:49831->server-54-230-7-235.dfw3.r.cloudfront.net:http
sam64:49832->a184-29-166-102.deploy.static.akamaitechnologies.com:http
sam64:49833->205.234.175.175:https
sam64:49834->m ia07s27-in-f27.1e100.net:https
sam64:49835->184.173.160.153:http
sam64:49836->184.173.160.153:http
sam64:49837->162.248.19.142:http
sam64:49838->184.173.160.153:http
sam64:49839->a184-29-163-125.deploy.static.akamaitechnologies.com:http
sam64:49840->72.21.81.48: http
sam64:49841->199.27.76.166:http
sam64:49842->ec2-23-21-223-154.compute-1.amazonaws.com:http
sam64:49843->bs.serving-sys.com:https
sam64:49845->24.143.206.187:http
sam64:49844->208.71.122.14:https
sam64:49846->rtas-21.btrll.com: http
sam64:49847->t.mookie1.com:https
sam64:49848->66.150.48.56:http
sam64:49849->a23-64-42-235.deploy.static.akamaitechnologies.com:http
sam64:49850->192.35.249.124:http
sam64:49851->iad05-login.dotomi.com:http
sam64:49852->162.248.19.142:http
sam64:49853->rtas-21.btrll.com:http
sam64:49854->184.173.160.153:http
sam64:49856->66.150.48.56:http
sam64:49855->162.248.19.142:http
sam64:49858->24.143.205.33:http
sam64:49857->162.248.19.142:http
sam64:49859->24.143.205.170:http
sam64:49860->184.173.160.153:http
sam64:49861->173.194.125.58:http
sam64:49862->66.150.48.56:http
sam64:49863->162.248.19.142:http
sam64:49864->24.143.205.58:http
sam64 :49865->iad05-login.dotomi.com:http
sam64:49866->24.143.206.49:http
sam64:49867->74.121.139.103:http
sam64:49868->d-audienceiq-atl1.turn.com:http
sam64:49869->66.150.48.56:http
sam64:49870->173.192.220.64-static.reverse.softlayer.com:http
sam64:49871->72.251.229.242:http
sam64:49872->72.21.91.203:http
sam64:49873->72.251.229.242:http
sam64:49874->38.65.9.35:http
sam64:49875->63.135.90.160:http
sam64:49876->72.21.91.12:http
sam64:49877->24.143.205.67:http
sam64:49878->ec2-54-148-84-202.us-west-2.compute.amazonaws.com:http
sam64:49879->63.135.90.167:http
sam64:49880->63.135.90.167:http
sam64:49883->66.150.48.34:http
s am64:49882->66.150.48.34:http
sam64:49884->54.209.167.103:http
sam64:49885->138.108.7.20:http
sam64:49881->50.17.240.247:http
sam64:49886->209.235.4.216:http
sam64:49887->54.210.129.227:http
sam64:49888->50.17.240.247:http
sam64:49889->209.235.4.216: http
sam64:49890->24.143.205.153:http
sam64:49891->204.154.111.224:http
sam64:49892->204.154.111.224:http
sam64:49893->204.154.111.224:http
sam64:49894->204.154.111.224:http
sam64:49895->204.154.111.224:http
sam64:49896->209.235.4.216:http
sam64:49897->24.143.206.49:http
sam64:49898->162.220.9.70:http
sam64:49899->23.235.40.129:http
sam64:49900->209.235.4.216:http
sam64:49901->d-audienceiq-atl1.turn.com:http
sam64:49902->8.15.229.36:http
sam64:49903->162.248.19.142:http
sam64:49904->74.121.139.103 :http
sam64:49905->8.15.229.36:http
sam64:49906->138.108.7.20:http
sam64:49907->12.130.81.218:https
sam64:49908->162.248.19.142:http
sam64:49909->crl.comodoca.com:http
sam64:49910->207.211.43.253:http
sam64:49911->209.235.4.216:http
sam64:49912->ec2-204-236-239-42.compute-1.amazonaws.com:http
sam64:49913->162.248.19.142:http
sam64:49914->server-54-230-4-244.dfw3.r.cloudfront.net:http
sam64:49915->a184-29-168-237.deploy.static.akamaitechnologies.com:https
sam64:49916->204.154.110.79 :http
sam64:49917->mia07s25-in-f26.1e100.net:http
sam64:49918->mia07s26-in-f13.1e100.net:http
sam64:49919->cdn-68-142-118-254.atl1.llnw.net:http
sam64:49920->198.41.215.183:http
sam64:49921->66.150.48.56:http
sam64:49922->69.172.216.55:http
sam64:49923->vip067.ssl.hwcdn.net:http
sam64:49924->162.248.19.142:http
sam64:49925->69.172.216.55:http
sam64:49926->69.172.216.55:http
sam64:49927->ec2-54-225-132-8.compute-1.amazonaws.com:http
sam64:49928->207.211.43.253:http
sam64:49929->ec2-23-23-144-254.compute-1.amazonaws.com:h ttp
sam64:49931->69.172.216.111:http
sam64:49930->69.172.216.111:http
sam64:49932->ec2-23-23-144-254.compute-1.amazonaws.com:http
sam64:49933->69.172.216.55:http
sam64:49934->162.248.19.142:http
sam64:49935->vip067.ssl.hwcdn.net:http
sam64:49936->69.172.216.55:http
sam64:49937->74.121.139.103:http
sam64:49938->8.15.229.36:http
sam64:49940->69.172.216.61:http
sam64:49939->69.172.216.61:http
sam64:49941->69.172.216.61:http
sam64:49942->d-audienceiq-atl1.turn.com:http
sam64:49943->69.172.216.111:http
sam64:49944->map2.hwcdn.net:http
sam64:49945->map2.hwcdn.net:http
sam64:49946->ec2-23-21-132-152.compute-1.amazonaws.com:http
応答7# ->にスキップ8 #Sam.Pen誰かがそれを見るのに十分な気にするならば、これらのファイルはこのことを非常に閉じるために必要なものの最善を含むべきです.
これは、Sysinternals Process Monitorの出力ファイルへのリンクです.エクスプローラPID= 3064
セーフモードを起動し、その機能を削除して、それが役立つかどうかを確認します.
私はサンタが今年私に新しいコンピュータを持ってくると思います.
Windows 10は、マイメインコンピュータになるのに十分安定しています.)
応答6# ->にスキップ9 #PABear- 2A1.MSEはこれをどちらか一方を検出(または削除)するつもりはありません.見る 私はすでに感染したコンピュータをクリーンアップするようにMSEをインストールできますか?
A2.私の研究はあなたが継続的な効果を見ていることを非常に強く示唆しています Backdoor:Win64/Rozena-またはTrojan.Win64/Rozena-Variant感染(少なくとも).
cf. マルウェアバイト (11月14日)
- それがどこから来たのもっと=> https://goo.gl/Fuspqt
- およびbleepingComputer.comフォーラム=> https://goo.gl/pyklov. (BleepingComputer.comフォーラム)
見る...
•助け:私はハッキングされました.今私は何をしますか? (侵入されたシステムの清掃)
https://technet.microsoft.com/ja-jp/library/cc700813.aspx.頑張って!
√
応答9# ->にスキップ10 #Sam.Penそれだけです.
フォルダ拡張子のレジストリをクリーンアップしたばかりで、投稿を読んだときに再起動していました.
これまでのところ、私のコンピュータは問題ありません:)
Process Monitorはその功績に値します.悪意のあるサーバーへの接続を開始する前に、最後に触れていたファイルを確認するために使用しました.これにより、C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}が表示されました.その結果、クラスID {F6BF8414-962C-40FE-90F1-B80A7E72DB9A}が表示されました
すべてのインスタンスを削除したレジストリ内(もちろん、最初に値をバックアップした後).これで、再起動後にProgramDataフォルダーを解放して、削除できるようになりました.
1つの注意点は、クラスIDがレジストリ "...\Shell Extensions\Cached"でC:\Windows\system32\actxprxy.dllとペアになっていることです.これは、MSのActiveXプロキシです.したがって、これはおそらく、Flash PlayerまたはPDFのエクスプロイトを通じて私のシステムに侵入しました.それはありません
ブラウザで許可する多くのActiveXオブジェクト.MSE定義データベースで「C:\ProgramData\{9A88E103-A20A-4EA5-8636-C73B709A5BF8}」を取得すると便利です.
関連質問
- アプリとブラウザコントロール
- フルScanが完了した後の高いCPUとメモリ使用量
- Microsoft Security Essential Windows 10 .
- 私は私のスクリーンセーバーの横にある私のアイコンを失いました、どうすればそれらを取り戻すことができますか
- 突然「CDPUSERSVC_604AA」と「CBDHSVC_604AA」を見始めました
- MSSE MPSIGStub.exeを「厳しい」脅威として検出します
- Scanを電子メールとして転送できません.
- あなたは自分自身をマイクロソフトサポートとして識別した発信者に関連付けられていますか?
- 私は日曜日に1AMのフルScanを予定しています.彼らは行われていません.これを起こすために何をする必要がありますか?
- ウイルススキャナはウイルスを検出し、Scanが行われたときに、Scanが行われたとき、検疫、許可または検出されたアイテムに表示されない場合、私はそれを見ることができると言います.