O que essa entrada no arquivo hosts significa: 192.168.3.2 NPI2A54EA

13

Eu assumi o controle de um PC com Windows 7 de um desenvolvedor e no arquivo hosts havia esta entrada:

192.168.3.2 NPI2A54EB

Alguém sabe por que isso seria inserido lá e se isso poderia ser um vírus ou isso estaria relacionado ao trabalho do desenvolvedor (só posso verificar com ele na próxima semana)? (Estou um pouco preocupado que possa ser um vírus, mas verifiquei com vários programas antivírus e parece limpo.)

windows-7 virus hosts hosts-file ManOnAMission
fonte
3
Não é um vírus. NPI2A54EBé um nome de host para uma máquina que existe apenas na rede local.
Ramhound
2
bem, o endereço IP está em um intervalo privado e o nome não é um FQDN e, mais do que qualquer outra coisa, geralmente você não usa o arquivo host para qualquer outro propósito. sua resolução está localizada no host que possui o arquivo.
Frank Thomas
4
@ManOnAMission - "192.168.3.2" não pode existir fora da sua rede local. Portanto, NPI2A54EBdeve pertencer a uma máquina na referida rede. Do ponto de vista técnico, não há absolutamente nenhuma diferença entre NPI2A54EBe localhostque existe no arquivo host de cada máquina Windows com uma conexão de rede. Não há nenhuma chance de que seja um vírus, como posso ter certeza de que você pergunta? a rede.
Ramhound
1
@ Ramhound Gostaria apenas de declarar que, se 192.168.3.2fosse uma máquina infectada, um vírus poderia usá-la como algum tipo de retransmissão. Eu já vi e limpei algumas coisas loucas para você nunca saber.
precisa saber é o seguinte
3
@JakeGould, é verdade, mas um malware também pode esvaziar a lixeira. isso não implica que, quando uma lixeira é esvaziada, é razoável supor que o malware seja um vetor provável, provável ou mesmo remotamente provável. Como o Op está perguntando especificamente sobre um vírus, devemos salientar que isso não está entre as 10 causas mais razoáveis.
Frank Thomas

Respostas:

25

O mais provável é que "NPI2A54EB" seja (era?) Uma impressora HP conectada à rede, pois parece seguir sua convenção de nomenclatura padrão do JetDirect.

Aqui estão alguns exemplos, por exemplo / comparação: NPI191832, NPI4B6E05, NPI907B3F, NPI95393C, NPIB80D5E, NPIB81360, etc.

Dos servidores de impressão HP Jetdirect da HP - Opções de configuração do Jetdirect a usando servidores DHCP, WINS e DDNS :

Normalmente, um HP Jetdirect que recebe um endereço DHCP registra o nome do host padrão NPIxxxxxx do HP Jetdirect no servidor WINS. (xxxxxx = os últimos 6 dígitos do endereço MAC do Jetdirect.)

Provavelmente, coloque o arquivo Hosts pelo instalador de driver / utilitário da HP.

Ƭᴇcʜιᴇ007
fonte
2
NPI = Interface da impressora de rede. Acabei de adicionar essas informações à minha resposta enquanto você estava postando esta resposta.
precisa saber é o seguinte
8

Resposta mais curta.

Meu palpite é que essa hostsentrada é apenas um atalho para o desenvolvedor que configurou a máquina anteriormente para sua conveniência e não é nada para se preocupar. Se, de alguma forma, você estiver preocupado com essa entrada específica, basta comentar essa linha no hostsarquivo, reiniciar a máquina e seguir em frente. Talvez verifique o hostsarquivo novamente na reinicialização para ver se, de alguma forma, uma ação de vírus / malware recriou essa entrada novamente. Mas eu não estaria muito preocupado com isso.

FWIW, o NPIin NPI2A54EBpoderia simplesmente significar “Interface da impressora de rede” e essa entrada poderia ter sido criada por uma instalação de driver de impressora ou por qualquer outra coisa conectada à necessidade do laptop de se conectar a um sistema de gerenciamento de impressoras em uma rede local.

Resposta mais longa.

Alguém sabe por que isso seria inserido lá e se isso poderia ser um vírus ou isso estaria relacionado ao trabalho do desenvolvedor (só posso verificar com ele na próxima semana)? (Estou um pouco preocupado que possa ser um vírus, mas verifiquei com vários programas antivírus e parece limpo.)

Se você pediu emprestado o sistema a um desenvolvedor e está preocupado com isso, meu instinto me diz para não me preocupar. Não tenho certeza de que tipo de "desenvolvimento" esse desenvolvedor que você mencionou está realmente fazendo, mas no mundo do desenvolvimento da Web é bastante comum ver hostsarquivos editados para permitir o desenvolvimento da Web local enquanto usa um nome de host para facilitar as coisas e fazer com que sites / aplicativos se comportem mais como sites do mundo real.

Por exemplo, se eu estivesse trabalhando no desenvolvimento do site example.comna área de trabalho local, poderia criar uma entrada como esta no meu hostsarquivo para permitir o que acabei de descrever:

127.0.0.1   example_dev

Ou talvez algo como example.local:

127.0.0.1   example.local

Dito isto, NPI2A54EBparece um nome de host estranho que não facilitaria a vida de muitas pessoas. Para mim, ele analisa como um nome de máquina atribuído que um departamento de TI atribuiria ao hardware. Ou talvez direcione o tráfego para algum servidor ou dispositivo de rede interno?

Se tudo isso o deixa nervoso, é isso que você pode fazer. Apenas edite o hostsarquivo assim. Mude essa linha para isso:

#192.168.3.2 NPI2A54EB

Em seguida, reinicie sua máquina e verifique o hostsarquivo novamente. Isso #irá comentar essa hostsentrada estranha e efetivamente neutralizar. A lógica é que, se a máquina estiver infectada com algo como vírus ou malware, essa linha será descomentada rapidamente na reinicialização.

E se algo quebrar por causa dessa alteração, agora você sabe que havia algo de que o sistema precisava nessa entrada e você deve descomentá-lo.

Mas, honestamente, duvido comentar que a entrada quebrará qualquer coisa. Como eu disse, se este é um vírus / malware e esse é um fator chave, você descobrirá rapidamente na reinicialização… Mas duvido que seja sobre isso que é essa entrada. É mais provável que algum atalho de DNS do servidor interno seja o desenvolvedor que originalmente usava a configuração da máquina para sua conveniência e não lhe interessa.

JakeGould
fonte
1
IIRC, com o Windows 7 (e Vista?), Você não precisa mais reiniciar para que as alterações entrem em vigor; Você só precisa reiniciar o aplicativo. Ou talvez fosse apenas o Chrome?
Cole Johnson
@ColeJohnson Talvez seja esse o caso, mas eu não uso o Windows regularmente, então não posso dizer. Diria que, por experiência em TI, uma reinicialização não custa nada, leva menos de um minuto e pode confirmar que a alteração ocorreu. Dependendo dos usuários finais com quem trato, às vezes incentivo uma reinicialização, pois faz com que algumas pessoas sintam que fizeram algo "pesado" para resolver com certeza um problema.
JakeGould