web-dev-qa-db-ja.com

Windows:不明なプログラム/サービスなどがHTTPリクエストを送信してファイルをダウンロードします。どうすればその要求の出所を見つけることができますか?

私の会社のファイアウォールがPCからの繰り返し(15分ごと)のHTTPリクエストを検出してブロックし、ホストから..._ chrome_installer.exeなどのファイルのダウンロードを開始しようとしました。

http://r9---sn-4g57kner.gvt1.com

そのPCにChromeがインストールされていません。また、疑わしいプロセス、サービス、タスクは起動されていません。スケジュールされたタスク、レジストリ(Run、RunOnceなど)、msconfig、およびブートスクリプトを確認しました。 Microsoft Message Analyzerを使用して、同じPIDとプロセス名を見つけました。 PIDはsvchost.exe(netsvcs)につながります。だから私の質問は、どのようにsvchostの後ろに進むか、またはどのようにしてその要求の発信元を見つけることができるかです。 (それが可能であれば)。私はWindows 7を使用しています。

15
JohannSchwarz

私は起源を見つけました。どちらの回答も、続行するための適切な指標を与えてくれました。 ProcessExplorerで適切なsvchostプロセス(同じPID)を選択し、TCP/IPタブを開き、wiresharkで要求が送信されるのを待って、ProcessExplorerのTCP/IPタブに、サービスを確立しようとしていることが示されました接続:BITSサービス(バックグラウンドインテリジェント転送サービス)。cmdを開き、

BITSAdmin /List [/allusers] [/verbose]

私はすべての仕事をリストしました。そして、問題の核心があります。すべてがgoogle-updateからの求人でいっぱいです。各ジョブにリストされているファイルは、存在しないgoogle-update.exeを指しています。だから私は最初の答えが正しいかもしれないと思う、これはウイルスではないということです。 9つのgoogle-updateジョブが他に何もない理由がわかりません。すべて削除しました。それ以来、要求はなくなりました。

9
JohannSchwarz

"gvt1.com"はGoogleが所有しているようです(whoisは以下を示しています)。

Registrant Name: DNS Admin
Registrant Organization: Google Inc.
Registrant Street: 1600 Amphitheatre Parkway
Registrant City: Mountain View
Registrant State/Province: CA
Registrant Postal Code: 94043
Registrant Country: US
Registrant Phone: +1.6506234000
Registrant Phone Ext: 
Registrant Fax: +1.6506188571
Registrant Fax Ext: 
Registrant Email: [email protected]

そして、その特定のドメイン(r9---sn-4g57kner.gvt1.com)の場所をチェックすると、サンフランシスコの近く(一致する)を指します。

さらに確認すると、「gvt1.com」と「googlevideo.com」(例: https://github.com/lennylxx/ipv6-hosts/wiki/YouTube )とchromiumの関係が示されています。例: https://code.google.com/p/chromium/issues/detail?id=42359

Googleサイトチェック: http://google.com/safebrowsing/diagnostic?site=gvt1.com/

ウイルスではなく、Googleサービスに関連するものだと確信しています。 (グーグルで「gvt1.com」を探してください。もっとたくさんのリンクがあります)

8
lepe

Sysinternalsに移動して トレースツール をインストールします。 20mのアクティビティを記録し、そのリクエストを見つけます。次に、その要求の元に戻ります。

2
Nils