每当在我的pc上建立互联网连接时,我反复收到QuickHeal这样的警告:QuckhealWarning我用不同的IP地址反复收到这样的警告。在上面的图片中显示了其中一个。这些警告甚至在启动后出现,除了启动时启动的应用程序外,没有任何应用程序打开。
我决定调查一下,下面是我的一些观察结果:
-
对IP地址进行反向DNS查找,发现大多数IP地址的域名形式为"torNN.quintex.com"其中NN是像48或90这样的数字(不同的IP地址收到的警告不同)
-
我尝试使用"netstat - anoc"来跟踪建立连接的进程。命令并找到他们的pid。然后我试图用PID杀死进程,但它显示该进程不存在。在观察更多的时候,我注意到建立连接的过程是瞬间终止的。我的猜测是,其他进程正在生成这些发送请求并终止的进程。所以我尝试使用"netstat -ano &&wmic进程得到ProcessID,ParentProcessID",但即使这样,第一个命令发现的pid也没有显示在第二个命令中,可能是因为进程在第二个命令捕获它们的ppid之前终止了。
这些过程的行为和"tor"的存在在域名和url路径导致我的结论,这可能是因为一些恶意软件,我很担心它。我还看到这里的欺诈风险得分很高。但是我不知道如何摆脱它,我仍然无法找到正在产生其他即时终止进程的进程。
谁能告诉我如何找到原因并解决它?
平台:Windows 11
我就是这么做的。使用一个可以捕获所有IP流量的应用程序和一些可以看到正在使用的端口的东西,并使用防火墙关闭它们。我会把它们都关掉,然后一个一个地打开。从端口80开始。如果它通过80端口,那么你监视所有通过该端口的流量。坏的那个肯定会被困在那里。最终,您将找到流量来自的端口,并可能找到一些ip地址。您的防火墙应该能够阻止该ip范围。您也可以尝试netstat -a -n 2>txt或其他netstat选项,以使日志运行。运行netstat -a -n 2>输入Mylog.txt,然后按ctrl-c,然后:输入Mylog.txt,你将看到每秒的所有流量。