Windows: programma / servizio sconosciuto ecc. invia una richiesta HTTP per scaricare un file; come posso trovare l'origine di tale richiesta?

Naviga le tue risposte
14

Il firewall della mia azienda ha rilevato e bloccato una richiesta HTTP ripetitiva (ogni 15 minuti) da un PC, che tenta di avviare il download di un file chiamato ..._ chrome_installer.exe (o così) dall'host: 

http://r9---sn-4g57kner.gvt1.com

Chrome non è installato su quel PC. Né è stato avviato alcun processo sospetto, servizio o attività. Ho controllato le attività pianificate, il registro (Esegui, RunOnce ecc.), Msconfig e gli script di avvio: niente di sospetto. Con Microsoft Message Analyzer ho scoperto il PID e il processname, che sono gli stessi. Il PID porta a svchost.exe (netsvcs). Quindi la mia domanda è, come proseguire dietro a svchost o come posso trovare l'origine di tale richiesta? (Se è possibile). Io uso Windows 7.

    
posta JohannSchwarz 15.07.2015 - 08:58
fonte

3 risposte

8

Ho trovato l'origine. Entrambe le risposte mi hanno dato le indicazioni giuste per andare avanti. Con ProcessExplorer ho scelto il giusto processo svchost (lo stesso PID) e aperto la scheda TCP / IP, con wireshark ho aspettato la richiesta, come è stato inviato, la scheda TCP / IP di ProcessExplorer mi ha mostrato il servizio che stavo cercando di stabilire una connessione: Servizio BITS (servizio trasferimento intelligente in background). Ho aperto cmd e con 

BITSAdmin /List [/allusers] [/verbose]

ho elencato tutti i lavori. E lì abbiamo il nocciolo della questione. Tutto pieno di lavori da google-update. I file elencati per ciascun processo indicavano un google-update.exe inesistente. Quindi penso che le prime risposte potrebbero essere corrette, che questo non sia un virus. Non so perché c'erano 9 lavori di aggiornamento di google e nient'altro. Ho cancellato tutto. Da allora le richieste sono sparite.

    
risposta data 21.07.2015 - 09:08
fonte
8

Sembra che "gvt1.com" sia di proprietà di Google (whois mostra:) 

Registrant Name: DNS Admin
Registrant Organization: Google Inc.
Registrant Street: 1600 Amphitheatre Parkway
Registrant City: Mountain View
Registrant State/Province: CA
Registrant Postal Code: 94043
Registrant Country: US
Registrant Phone: +1.6506234000
Registrant Phone Ext: 
Registrant Fax: +1.6506188571
Registrant Fax Ext: 
Registrant Email: [email protected]

E controllando la posizione di quel dominio specifico (r9---sn-4g57kner.gvt1.com) punta vicino a San Francisco (che corrisponde).

Controllando ulteriormente, mostra una relazione tra "gvt1.com" e "googlevideo.com" (esempio: link ) e chromium, ad esempio: link

Controllo del sito di Google: link

Sono quasi sicuro che non sia un virus ma qualcosa relativo a un servizio di Google. (cerca "gvt1.com" in google, troverai molti più link)

    
risposta data 17.07.2015 - 03:25
fonte
2

Vai a sysinternals e installa uno strumento di traccia . Registra 20 m di attività e trova quella richiesta. Quindi torna al nome di quella richiesta.

    
risposta data 17.07.2015 - 07:29
fonte

Leggi altre domande sui tag

Ho davvero bisogno di tutte queste autorità di certificazione nel mio browser o nel mio portachiavi? Esiste una suite di crittografia "traduttore"