Al depurar mi aplicación web en Fiddler, descubrí que hay algunas solicitudes sospechosas en algunos sitios de hoteles, búsquedas de búsqueda en google.pl. Ver las imágenes de abajo. Extrañamente no hay proceso mostrado en Fiddler.
Definitivamente es un virus. No sé cómo averiguar qué software o proceso lo está causando. Cualquier ayuda para seguir analizando y asegurar mi sistema es muy apreciada.
No verá un proceso si la solicitud no es de la máquina local, I.E., si está permitiendo que otras máquinas se apoderen de Fiddler. Verifique el menú Tools | Telerik Fiddler Options y, en la pestaña Connections , vea si la opción "Permitir que las computadoras remotas se conecten" está marcada. Si es así, es probable que este sea el origen de estas solicitudes y por qué no puede identificar el proceso con el que están asociadas.
Puedes probar:
netstat -abn
Que mostrará el proceso, si está disponible.
También puedes probar:
netstat -aon
Que mostrará el PID que luego puede buscar en el administrador de tareas.
Sin embargo, puede que no se muestre en ninguno de esos lugares, dependiendo de lo sigiloso que sea. Si no aparece, hay técnicas para usar cosas como el registro de la actividad Winsock de Logman, pero a partir de ahí se complica un poco.
Sugeriría Sysinternals: enlace .
Estas herramientas son buenas de tener en su kit de herramientas cuando se investiga un comportamiento extraño:
TCPView le mostrará las conexiones abiertas y le permitirá forzar conexiones cercanas.
Este programa te muestra los programas que están configurados para iniciarse en el inicio y te permitirán eliminarlos del inicio automático. Windows tiene una serie de lugares donde los programas pueden inyectarse para iniciarse automáticamente.
Estos programas le permiten ver los procesos en ejecución, la información de propiedad, abrir archivos y puertos abiertos, descargar la memoria que posee el proceso y permitirle eliminar estos programas.
Lea otras preguntas en las etiquetas virus http-proxy fiddler