Windows: programme / service inconnu, etc. envoie une requête HTTP pour télécharger un fichier; comment puis-je trouver l'origine de cette demande?
Le pare-feu de mon entreprise a détecté et bloqué une requête HTTP répétitive (toutes les 15 minutes) à partir d'un PC, qui tente de démarrer le téléchargement d'un fichier appelé ..._ chrome_installer.exe (ou ainsi) à partir de l'hôte:
http://r9---sn-4g57kner.gvt1.com
Chrome n'est pas installé sur ce PC. Aucun processus, service ou tâche suspecte n'est lancé non plus. J'ai vérifié les tâches planifiées, le registre (Run, RunOnce etc.), msconfig et les scripts de démarrage: rien de suspect. Avec Microsoft Message Analyzer, j'ai compris le PID et le nom du processus, qui sont les mêmes. Le PID mène à svchost.exe (netsvcs). Donc ma question est, comment continuer derrière svchost ou comment puis-je trouver l'origine de cette demande? (Si c'est possible). J'utilise Windows 7.
J'ai trouvé l'origine. Les deux réponses m'ont donné les bonnes indications pour continuer. Avec ProcessExplorer, j'ai choisi le bon processus svchost (le même PID) et ouvert l'onglet TCP/IP, avec Wireshark j'ai attendu la demande, car elle a été envoyée, l'onglet TCP/IP de ProcessExplorer m'a montré le service qui essayait d'établir une connexion: BITS Service (Background Intelligent Transfer Service). J'ai ouvert cmd et avec
BITSAdmin /List [/allusers] [/verbose]
j'ai énuméré tous les travaux. Et là, nous avons le nœud de la question. Tous remplis d'emplois de google-update. Les fichiers répertoriés pour chaque travail pointaient vers un fichier google-update.exe inexistant. Je pense donc que les premières réponses pourraient être correctes, que ce n'est pas un virus. Je ne sais pas pourquoi il y a eu 9 travaux de mise à jour Google et rien d'autre. J'ai tout supprimé. Depuis lors, les demandes ont disparu.
Il semble que "gvt1.com" soit la propriété de Google (qui apparaît :)
Registrant Name: DNS Admin
Registrant Organization: Google Inc.
Registrant Street: 1600 Amphitheatre Parkway
Registrant City: Mountain View
Registrant State/Province: CA
Registrant Postal Code: 94043
Registrant Country: US
Registrant Phone: +1.6506234000
Registrant Phone Ext:
Registrant Fax: +1.6506188571
Registrant Fax Ext:
Registrant Email: [email protected]
Et la vérification de l'emplacement de ce domaine spécifique (r9---sn-4g57kner.gvt1.com) pointe vers près de San Francisco (qui correspond).
En vérifiant plus loin, il montre une relation entre "gvt1.com" et "googlevideo.com" (exemple: https://github.com/lennylxx/ipv6-hosts/wiki/YouTube ) et le chrome, par exemple: https://code.google.com/p/chromium/issues/detail?id=42359
Vérification du site Google: http://google.com/safebrowsing/diagnostic?site=gvt1.com/
Je suis presque sûr que ce n'est pas un virus mais quelque chose lié à un service Google. (recherchez "gvt1.com" dans google, vous trouverez de nombreux autres liens)
Allez dans sysinternals et installez un outil de trace . Enregistrez 20m d'activité et localisez cette demande. Revenez ensuite à l'origine de cette demande.