กระบวนการของ Windows พยายามเชื่อมต่อกับคอมพิวเตอร์ที่ไม่รู้จัก

ฉันใช้ Windows 7 คอมพิวเตอร์ของฉันพยายามเชื่อมต่อกับเซิร์ฟเวอร์ที่ฉันไม่เคยได้ยิน ฉันบล็อกแต่ละครั้ง ไฟร์วอลล์จะแสดง "ระบบ" เป็นแอปพลิเคชันที่ละเมิด

สิ่งนี้เริ่มต้นในไม่ช้าหลังจากเชื่อมต่อคอมพิวเตอร์ของฉันเข้ากับโมเด็มโดยตรง (ก่อนหน้านี้เราเตอร์มีทาง) ฉันเคยทำมาก่อน แต่นี่เป็นครั้งแรกที่ฉันเห็นสิ่งนี้เกิดขึ้น

นี่คือคอมพิวเตอร์บางเครื่องที่พยายามเชื่อมต่อกับ:

51.243-broadband.acttv.in
78-58-196-217.static.zebra.lt
pc-93-123.akademiki.uni.torun.pl
lan-213-159-45-247.vln.skynet.lt
lan26-968.elektra.lt
ctv-213-164-96-120.vinita.lt
148-25.plus.kerch.net
host-88-132-160-169.prtelecom.hu

พวกเขาดูเหมือน บริษัท โทรคมนาคมสำหรับฉัน สิ่งที่ฉันอยากรู้คือบริการอะไรกำลังทำสิ่งนี้อยู่และเพราะอะไร

โปรดแจ้งให้เราทราบหากมีสิ่งใดที่ฉันลืมพูดถึง

ขอขอบคุณ.

UPDATE: ฉันได้ปิดการใช้งานบริการทั้งหมดที่ฉันสามารถทำได้ (ยกเว้นบริการที่จำเป็นสำหรับการเข้าถึงอินเทอร์เน็ตที่ใช้งานได้) และพฤติกรรมแปลก ๆ หยุดลง หลังจากรีบูตเครื่อง (บริการทั้งหมดที่เคยใช้มาก่อนกำลังทำงานอีกครั้ง) พฤติกรรมที่เป็นปัญหาไม่ดำเนินการต่อ ฉันไม่สามารถทำมันได้อีกดังนั้นฉันอาจไม่เคยรู้ว่าเกิดอะไรขึ้น

windows-7 internet

— user2623008
แหล่งที่มา

ขั้นตอนแรกปิดใช้งานการแชร์เครือข่าย

— Ramhound

@ แรมฮาวด์ฉันมี

— 2623008

ระบบของคุณอาจถูกบุกรุก เพื่อเป็นการป้องกันไว้ล่วงหน้าผมขอแนะนำให้ตัดการเชื่อมต่อจากเครือข่ายทั้งหมดทันทีและเปลี่ยนรหัสผ่านทั้งหมดที่คุณใช้ในระบบนั้น

ดูเหมือนว่าคุณมีไวรัส / ทรอยan / หนอนซึ่งพยายามที่จะคัดลอกตัวเองไปยังเว็บไซต์อื่น ๆ หรือเพียงแค่โจมตีพวกเขา การเชื่อมต่อพีซีของคุณโดยไม่มีไฟร์วอลล์อาจเป็นวิธีที่คุณต้องทำการสแกนไวรัส คุณสามารถลองค้นหากระบวนการที่รันอยู่ในบรรทัดคำสั่งของคุณ:

C:>netstat -nab

Active Connections

  Proto  Local Address          Foreign Address        State
  TCP    0.0.0.0:22             0.0.0.0:0              LISTENING
 [sshd.exe]
  TCP    0.0.0.0:25             0.0.0.0:0              LISTENING
 [PUTTY.EXE]
  TCP    0.0.0.0:80             0.0.0.0:0              LISTENING
 [PUTTY.EXE]
  TCP    0.0.0.0:135            0.0.0.0:0              LISTENING
 [PUTTY.EXE]
  TCP    0.0.0.0:443            0.0.0.0:0              LISTENING
 [chrome.exe]
  TCP    192.168.1.100:27831    173.194.42.54:443      ESTABLISHED
 [chrome.exe]
  TCP    192.168.1.100:28031    198.252.206.25:443     ESTABLISHED
 [chrome.exe]
  TCP    192.168.1.100:28033    173.194.42.35:443      TIME_WAIT
  TCP    192.168.1.100:28035    190.93.246.58:80       ESTABLISHED  
 [chrome.exe]

คุณต้องค้นหา IP เป้าหมายในคอลัมน์ที่อยู่ต่างประเทศ รัฐส่วนใหญ่อาจแสดง TIME_WAIT แน่นอนมันจะไม่แสดงการฟังหรือตั้งขึ้น กระบวนการที่เป็นเจ้าของการเชื่อมต่อถูกพิมพ์ในบรรทัดด้านล่าง

— drk.com.ar
แหล่งที่มา

ขอบคุณสำหรับคำตอบ. กระบวนการนี้อยู่ในรายการเป็น "[ระบบ]" ฉันสแกนหน่วยความจำด้วย ESET Smart Security แล้ว แต่ไม่พบสิ่งใด

— 2623008

Windows ไม่มีกระบวนการจริงชื่อ System เท่าที่ฉันจำได้ (ตอนนี้ฉันอยู่บน Linux) ค้นหากระบวนการที่ชื่อว่า System ใน Task Manager และตรวจสอบพา ธ ไปยังไฟล์ที่เรียกใช้งานได้ หากตัวจัดการงานเริ่มต้นของ windows ไม่ช่วยคุณลองติดตั้งDaphneเพื่อค้นหาไฟล์เรียกทำงาน

— drk.com.ar

Windows มีกระบวนการของระบบ PID ของมันคือ 4 Process Explorer ไม่แสดงไฟล์เรียกทำงานใด ๆ สำหรับไฟล์นี้ แต่มีไฟล์บางส่วน (.exe และ. sys นามสกุล) แสดงอยู่ในแถบเธรด ฉันเปรียบเทียบ checksums ของไฟล์กับคอมพิวเตอร์ที่ไม่ได้พูดคุยกับคนแปลกหน้าและพวกเขาส่วนใหญ่เหมือนกันยกเว้นไฟล์ไดรเวอร์ nvidia บางไฟล์ซึ่งมีเหตุผลเพราะมีกราฟิกการ์ดที่แตกต่างกัน

— 2623008

ใช่คุณพูดถูก. เส้นทางของมันคือ"(WIN) \ system32 \ ntoskrnl.exe" แต่การตรวจสอบครั้งแรกไม่มีกระบวนการที่ซ้ำกันในตัวจัดการงานที่มีชื่อเดียวกัน แต่ PID ที่แตกต่าง หากมีอย่างใดอย่างหนึ่งนั่นจะต้องเป็นไวรัส / ทรอย แต่แน่นอนไวรัสอาจติดไวรัสเคอร์เนล Windows ของคุณ ซึ่งสามารถอธิบายได้ว่าทำไมคุณเห็นระบบในเน็ตสแตท หรือบางทีไวรัสกำลังยุ่งกับ netstat output เพื่อซ่อนตัวเอง

— drk.com.ar

มีกระบวนการระบบเดียวเท่านั้น เนื่องจากไฟล์ (รวมถึง ntoskrnl.exe) ไม่มีการเปลี่ยนแปลงมัลแวร์จะต้องฉีดตัวเองเข้าสู่กระบวนการระหว่างหรือหลังจากบูตใช่ไหม? msconfig.exe ใน Startup ไม่มีอะไรน่าสงสัย แต่ฉันไม่รู้วิธีการที่ซับซ้อนกว่านี้

— 2623008