svchost.exe с использованием протокола tcp https на локальном порту 50721?
Я замечаю, что в моей сети работает множество системных процессов с определенного компьютера, и отправляются пакеты TCP https. Вот несколько IP-адресов, которые я заметил. Это нормально? Адреса Украины не дают результатов при их отслеживании ip-lookup
Мне сказали написать сюда, потому что это то, к чему относится этот вопрос? Мне сказали, что мой компьютер заражен вирусом, и я отключил его сейчас, хотя этот компьютер уже давно находится в сети. Пользователь сообщил о притеснениях из-за конфликта в игре и с тех пор испытывал проблемы и получал угрозы.
Увидев зараженный компьютер, я отключил его от сети, очистил его с помощью новой копии Windows 10 с использованием Rufus и копии ISO со страницы загрузки Microsoft, установил Kaspersky и начал обновлять компьютер. Эти опубликованные скриншоты показывают время безотказной работы примерно 1 час. Очевидно, что мои меры безопасности недостаточно сильны. Я думаю, что, возможно, заражен маршрутизатор или другой компьютер в сети, поэтому он автоматически заражает этот целевой компьютер, когда он снова в сети?
Порт 50721 совершенно не имеет значения: каждое HTTPS-соединение с удаленным HTTPS-портом 443 создается из случайного локального порта между 49152 и 65535; в динамичный, частный или эфемерный порты.
Номера портов назначаются различными способами в зависимости от трех диапазонов: Системные порты (
0-1023), Пользовательские порты (1024-49151), а также динамические и / или частные порты (49152-65535); различия в использовании этих диапазонов описаны в [RFC 6335].
Тогда это не соединения из «множества запущенных системных процессов», а соединения в TIME_WAIT состояние, т.е. сокет ожидает после закрытия для обработки пакетов, все еще находящихся в сети. Совершенно нормально, что они принадлежат [System Process], PID 0.
Скоро вы получите их еще больше с новой установкой Windows 10 с антивирусной защитой от «Лаборатории Касперского». Большинство этих IP-адресов находятся в 62.128.100.0/23, сетевое имя LINX-MOW-DIA-KASPERSKY-LAB, принадлежащий Лаборатория Касперского. Эти подключения были к серверам обновлений Касперского или подобным.