システムwiki

トロイの木馬をリソースモニタしていますか?

bithead 受付中 最終更新日:2021-05-21 01:08

私はこれに最適な場所がわからない.パフォーマンス監視ユーティリティであるリソースモニタについてのパフォーマンスとシステム障害を選択しました.フォーラムがより適切なフォーラムがある場合は、自由に移動してください.

=

私は最近、私のファイアウォールのログに報告されている非常に珍しいトラフィックが多くの非常に珍しいトラフィックを見つけました-私は突然、UDPポート137で何百のパブリックIPアドレスに達することを試みるかどうかを突然取得しました.
* 00><00><00><00><00><00><00><00><00><00><00><00><00><00>00>トラフィック.これがどこから来たのか疑問には、私はApplicationを閉じ始め、トラフィックが停止したかどうかを確認しました.最終的に私は私が開いたリソースモニタに来ました
数日前、システム上の他のアプリの後ろに実行されたままになっていました.リソースモニタを閉じたときに、パブリックIPアドレス宛てのポート137トラフィックが停止しました.

Windowsに更新をインストールできるように、コンピュータを再起動する必要がありました.これに備えてアプリを閉じたとき、私はリソースモニタを数回開き、トラフィックが開始され、プログラムで停止したことを確認しました.後に
更新プログラムがインストールされ、ログインしてリソースモニタを使用したこの動作は続行されました.

リソースモニタ実行可能ファイルはversion情報なしです.これはc:\windows\system32:の実行可能ファイルに関する情報です.

12/07/2019 02:09 AM. 110,592 resmon.exe

MalwarebytesとNorton 360きれいになるファイルを見つけます.過去3日間に500以上の公開IPアドレスに連絡しようとしました.なぜこれをするのですか?他に何もない場合、それが正常にトラフィックをブロックしたときに私のファイアウォールにかなりの負荷をかけるならば、
家の中で.要求が許可されていればどうなるでしょうか.それはマルウェアの電話を送っていますか(たくさんの家に)?それが連絡したら私のシステムに悪いことを招待しますか?

うまくいけば、それは「ただのバグ」であり、悪意のある意図は何も起こっていません.説明は確かに高く評価されるでしょう.

MyWindows 10設定は次のことを示します.

版-Windows 10Pro

version-2004

OSBuild-19041.508

返信リスト(回答:9)

4 #
GregCar
トラフィック自体を生成するのではなく、実際にトラフィックを読み取っていると思います.リソースモニターはアクティビティを生成する必要はありませんが、主要な機能の1つとしてインターネットの使用状況を監視します.
応答4# ->にスキップ
1 #
bithead

グレッグ-あなたの沈黙から、あなたは「同意しないことに同意した」と思います.私はほとんどその点に到達するでしょう.しかし、今朝、ファイアウォールログをスプレッドシートにエクスポートすると(毎日のルーチン)、最後のトラフィックにバルーンがあったことに気付きました.
24時間.よく見ると、余分なトラフィック(~27000パケット)がポート137のインターネットホスト宛てであることがわかりました.昨日、リソースモニターを起動して何かを調べてから、他のことに移り、閉じるのを忘れていました.
それ.

そこで、Wiresharkを起動し、表示フィルターを「upd.port == 137」に設定しました.案の定、インターネットアドレス宛てのトラフィックが大量に発生しました.そして、Resource Monitorを閉じると、WireSharkで表示されるインターネット宛てのトラフィックが停止しました.

実行中、Wiresharkに表示されるアドレスの多くは、ResMonのTCP接続リストのアドレスと同じでした(ResMonリストが飛び回る傾向があるため、追跡するのは少し難しいです).それでも、ResMonが代わりに名前を表示したいように見えます
IPアドレスであり、アドレスを解決しようとしているため、名前クエリが生成されます.

あなたが私の解釈を信じていないことは理解していますが、同じ行動を何度も見続けており、それは本物です.私が見ている証拠を誤解していると思われる場合は、私が別の方法で何をすべきかを教えてください.またはこれが何かでない場合
あなたはここで追求することに興味があります、この種の議論により適切などこか他の場所を私に指摘してください.ありがとう.

応答4# ->にスキップ
2 #
bithead

私はいくつかのマシンでいくつかのテストを行い、それが間違っていることを証明しました.簡単に言うと、リソースモニターの実行中は、NB名のクエリがインターネットベースのアドレスに送信されます.実行されていない場合、NBクエリはインターネットベースのアドレスに送信されません.場合
自分でテストすることを望まない場合は、同意しないことに同意する必要があります.

5 #
GregCar

リソースモニタを懸念している場合は、インターネットアクティビティの登録を登録すると、Windows 10のインターネット使用量のプライマリモニタであるためです.もっと見る
Windows 10上のネットワークを使用してApplicationを表示する方法
私はそれがいくつかの光を当てることを願っています.

応答5# ->にスキップ
3 #
bithead

リソースモニタがインターネット活動を登録しているのはそれほど多くはありませんが、生成それを生成しています.起動した後、UDPポート137への多くの発信トラフィックが発生し、リソースモニタを閉じると、ポート137のトラフィックが停止します.まで
私が知ることができるように、リソースモニターはさまざまなインターネットの場所にNB名のクエリを送信します.おそらくこれらは他のアプリがすでに話している場所であり、リソースモニタは自分が誰であるかを確認しようとしています.その場合はなぜですか?i
ネットワークアクティビティアドレス列にURLを報告していることを確認できますが、大部分はIPアドレスのみを表示しています.

あらゆるイベントでは、私の問題を締めくくると思います.私は特に忙しいマシンでリソースモニタを実行していたことがわかり、バックグラウンドに座ると、私のファイアウォールから見たネットワークトラフィックが大きな増加しましたが、それはかなり驚きでした.
だから私は正しい場所で見てくれてありがとう.そして今、スレッドタイトルに答えるために...

はトロイの木馬を監視する?

...おそらくそうではありませんが、短期間で多くのトラフィックを生成することができます!

7 #
GregCar
リソースモニターには、これに関する履歴はありません.あなたが説明したことから、それは私にはノートンの問題のように聞こえました.私はフォーラムで毎日10年以上の経験があり、ノートンが言及されたときに常に最初の容疑者であり、したがって
あなたの説明全体に基づいて私がここで行った最初の提案.
ショットガンアプローチは、何かがうまくいくことを期待してたくさんのことを試みます.これは、常に第一容疑者であり、ショットガンではないノートンを対象としています.それが役に立たない場合は、他の手順がありますが、1つの手順ではショットガンは作成されません.
応答7# ->にスキップ
6 #
bithead

「ショットガン」は最良の例えではなかったかもしれません.おそらく「1つのサイズですべてに対応」の方がわかりやすいのでしょうか.もしそうなら、これは「奇妙なサイズ」の事件です.

これを複製できる2台目のPCには、ノートンがインストールされたことがありません.sfcとDISMヘルスチェックレポートは両方ともOKです.MWBytesは、両方のマシンがクリーンであると報告しています.

つまり、ノートンではありませんが、これら2台のPCには共通点があるようです.そして、私はこれが起こらないように見える他のPCにアクセスできます.リソースモニターと組み合わせた何かがこの動作をトリガーしています.私はネットワークを見ます

9 #
GregCar

フォーラムのエキスパートはありません-私たちがほとんどの場合、千歳までに-Avast、Avgをお勧めします.NortonまたはMcAfeeですが、それらをアンインストールすることによって長年にわたり多くの問題を解決しました.
私は設定>Apps>Apps&Featuresのサードパーティのアンチウイルスをアンインストールし、適切な保護、最高のWindowsのパフォーマンス、最小の問題、および自分のOSを最も保護する方法を知っているマイクロソフトからの組み込みの防御側のみを実行します.
アンインストール後、AVのクリーンアップツールを実行した後:
https://www.bitdefender.com/consumer/support/an...
PCを再起動してから、Start Searchでセキュリティを入力し、Windows Defenderおよびファイアウォールの設定を開く、そことWindows Defender Security Centerでは、フラグが立てられているものは何でも修正します.
次に、最良のオンデマンドスキャナーMalwarebytesを使用してフルScanをダウンロードして実行します. MWBのダウンロード
設定>保護>Scanオプションを使用すると、RotkitsのScanを有効にします.
その後、[Scan]タブで[脅威Scanと実行Scan]を選択します.
見つかったものをクリーンアップし、PCを再起動してから、きれいになるまで再度実行します.
Malwarebytesをオンデマンドスキャナとして保存したい場合は、そのリアルタイム試用版の設定>アカウントタブで無効にすることができます.
次に、このチェックリストのステップ10からシステムファイルチェッカーを実行して、損傷したシステムファイルを確認します.
これが十分でない場合は、Windowsの再インストール中にファイル、アプリ、設定を保存する修復インストールを実行するには、ステップ11に進み、ほとんどの問題を解決します.
_

応答9# ->にスキップ
8 #
bithead

攻撃的なグレッグはありませんが、それは私の問題と直接的な相関関係がないショットガンアプローチのように感じます.あなたや他の誰かが簡単なテストをして、問題があなたには存在しないと私に言うなら、多分私はショットガンを壊すでしょう.その間、
別のネットワーク上の別のW10Proシステムで次のことを試したところ、同じ結果が得られました:

1)Wiresharkを起動します

2)インターネットにアクセスできるインターフェースを選択します(ゲートウェイが構成されています)

3)表示フィルターを「udp.port == 137」に設定します.

4)リソースモニターを起動します

上記を試してみると、数秒以内に、パブリックIPアドレス宛てのポート137トラフィックが表示されると思います.

~bh

関連質問