Перейти к содержанию

[РЕШЕНО] Попытка открытия вредоносной ссылки 185.38.111.1/wpad.dat


Рекомендуемые сообщения

Используемое антивирусное ПО: Kaspersky Internet Security

Проблема: Веб-Антивирус обнаружил и начал блокировать самопроизвольные попытки открытия вредоносной ссылки http:// 185.38.111.1/ wpad.dat.

Вредоносная ссылка активно пытается открыться после запуска ярлыка Steam. И значительно реже сама по себе, и при запуске системы.

Что успел проверить: Быстрая проверка, как и проверка C:\Windows ничего не нашла. 

Примечание: Сбор логов осуществлял без интернет соединения с целью невозможности открытия вредоносной ссылки.

 

ere.PNG

ere2.PNG

 

Изменено пользователем kmscom
удален отчет
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

DriverToolkit version 8.5.1.0 деинсталлируйте как нежелательное ПО.

Java 8 Update 251 - если пользуетесь, обновите. Если нет, тоже деинсталлируйте.

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: E - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: {558a3c51-9a19-11e7-b8fc-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: {df242b42-0262-11e8-bb6f-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: {df242b4c-0262-11e8-bb6f-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: {df242b5b-0262-11e8-bb6f-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: {e3663132-f994-11e6-ba01-c860006824cb} - E:\SISetup.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1003\...\MountPoints2: E - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1003\...\MountPoints2: {b5867975-5e0b-11eb-b0fc-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1003\...\MountPoints2: {df242b4c-0262-11e8-bb6f-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1004\...\MountPoints2: {df242b4c-0262-11e8-bb6f-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1004\...\MountPoints2: {e3663132-f994-11e6-ba01-c860006824cb} - E:\SISetup.exe
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {0E988FB0-894C-413A-9705-C59FF324EB66} - System32\Tasks\{72B28920-DD1A-4114-A2B0-05BF5854E662} => C:\Windows\system32\pcalua.exe -a C:\Users\134E~1\AppData\Local\Temp\jre-8u144-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 <==== ВНИМАНИЕ
    AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [94]
    AlternateDataStreams: C:\Users\Dmitriy\Application Data:c7637b1ddf4ebe3cea300c7598738ba3 [394]
    AlternateDataStreams: C:\Users\Dmitriy\AppData\Roaming:c7637b1ddf4ebe3cea300c7598738ba3 [394]
    Toolbar: HKU\S-1-5-21-2356935755-1339875266-2647651370-1000 -> Нет имени - {093F479D-712E-46CD-9E06-62E734A05F68} -  Нет файла
    Toolbar: HKU\S-1-5-21-2356935755-1339875266-2647651370-1003 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
    Toolbar: HKU\S-1-5-21-2356935755-1339875266-2647651370-1004 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

Теперь ещё раз проанализируйте: когда это появляется - когда открыт браузер? Если да, какой? Запущен ли в это время Steam? Если его не запускать, тоже появляется?

 

К сети подключаетесь через роутер? Если да, одно устройство?

И покажите что будет при нажатии на ссылку "Подробнее".

Ссылка на сообщение
Поделиться на другие сайты

Полностью проверил систему, Kaspersky Removal Tool - ничего не нашел(((

 

При срабатывании блокировки в диспетчере задач появляется и исчезает процесс rundll.32.exe

 

er5.PNG

Изменено пользователем Sokol_OFF
Ссылка на сообщение
Поделиться на другие сайты
16 часов назад, Sandor сказал:

когда это появляется - когда открыт браузер? Если да, какой? Запущен ли в это время Steam? Если его не запускать, тоже появляется?

 

К сети подключаетесь через роутер? Если да, одно устройство?

На вопросы не ответили.

Ссылка на сообщение
Поделиться на другие сайты

Я все это писал в первом сообщении, но продублирую. Попытка подключения происходит самопроизвольно, НО значительно реже при запуске системы, использовании браузера.

При запуске других программ по типу дискорд, телеграм, spotify - вирус вообще не появляется.

НО стоит запустить Steam, то каждые 5 секунд вылазит попытка подключения, потом он перестает минут на 15 и снова каждые 5 секунд пытается подключится.

 

Все что выводит при нажатии Подробнее прикреплено к первому сообщению.

Изменено пользователем Sokol_OFF
Ссылка на сообщение
Поделиться на другие сайты

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • От Artikov
      Браузер Chrome постоянно пытается загрузить вредоносную ссылку:
       
      Событие: Загрузка остановлена
      Пользователь: DESKTOP\uzzar
      Тип пользователя: Активный пользователь
      Имя программы: chrome.exe
      Путь к программе: C:\Program Files\Google\Chrome\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Возможна неправомерная загрузка ПО
      Название: 
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: 
      Путь к объекту: 
      Причина: Облачная защита
       
      Нужен совет специалистов по устранению данной проблемы. Заранее спасибо.
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные ссылки.
    • От Простой пользователь
      Здравствуйте. Недавно в отчетах Касперского обнаружил такое сообщение.
      Событие: Обнаружена ранее открытая вредоносная ссылка
      Пользователь: WIN-N19C12GE7F8\1
      Тип пользователя: Активный пользователь
      Имя программы: firefox.exe
      Путь к программе: C:\Program Files\Mozilla Firefox
      Компонент: Веб-Антивирус
      Описание результата: Не обработано
      Тип: Возможна неправомерная загрузка ПО
      Название: 
      Степень угрозы: Высокая
      Подскажите, что это может быть и насколько это опасно.
       
      Через несколько дней после сообщения о вредоносной ссылке мой компьютер подвергся сетевой атаке
      Компонент: Защита от сетевых атак
      Описание результата: Запрещено
      Название: Scan.Generic.PortScan.TCP
       
      Проверил утилитой Kaspersky Virus Removal Tool, она ничего не обнаружила.
      Подскажите, что это может быть и насколько это опасно.
      CollectionLog-2021.04.06-19.29.zip
    • От malek
      Пользуюсь антивирусом Касперского, базы самые свежие.
      Пару дней назад Веб-Антивирус начал блокировать переход по вредоносной ссылке http://185.38.111.1/wpad.dat. Сообщение о блокировке появляется с периодичностью 5-20 минут, сообщение о блокировке всплывает даже на рабочем столе, т.е. когда все браузеры закрыты.
      Выполнял полную проверку на вирусы самим антивирусом, а также Kaspersky Virus Removal Tool и Dr.Web CureIt!, в итоге ни один из них вирусов не нашел.
      Интернет подключен через роутер.
       
      Сообщение о блокировке:
      Событие :    Переход остановлен
      Пользователь :    user-ПК\user
      Тип пользователя :    Активный пользователь
      Имя программы :    svchost.exe
      Путь к программе :    C:\Windows\System32
      Компонент :    Веб-Антивирус
      Описание результата :    Запрещено
      Тип :    Вредоносная ссылка
      Название :    http://185.38.111.1/wpad.dat
      Точность :    Точно
      Степень угрозы :    Высокая
      Тип объекта :    Веб-страница
      Имя объекта :    wpad.dat
      Путь к объекту :    http://185.38.111.1
      Причина :    Базы
      Дата выпуска баз :    Сегодня, 24.03.2021 4:32:00
       
      Пробовал подключить интернет напрямую, переход по той вредоносной ссылке пропадал, но антивирус стал детектить и блокировать сетевую атаку.
       
      Пользователь :    user-ПК\user
      Тип пользователя :    Активный пользователь
      Компонент :    Защита от сетевых атак
      Описание результата :    Запрещено
      Название :    Intrusion.Win.MS17-010.o
      Объект :    TCP от 100.80.240.164 на 100.80.ххх.ххх:445
      Дополнительно :    100.80.ххх.ххх
      Дата выпуска баз :    Вчера, 23.03.2021 4:19:00
       
      Через 25 минут сетевая атака повторилась, но уже с другого IP.
      После этого я заблокировал входящие соединения TCP через 445 порт в брандмауэре, сообщения о сетевых атаках прекратились.
      Попробовав разные варианты, остановился пока на данном подключении интернета, но т.к. это не решение проблемы, а костыль, то прошу помощи в поиске и устранении уязвимости.
       
      Также пробовал подключать интернет с телефона, сетевые атаки возобновились, каждая атака на разные порты, при чем эти атаки касперский почему-то не заблокировал.
       
      CollectionLog-2021.03.24-15.43.zip
    • От ItzAMEGA
      Здравствуйте!
       
      Недавно после установки крякнутых программ замечены действия, говорящие, что завёлся вирус. Суть заключается в том, что раз в час появляется мелкая консоль (вроде как от pythonw.exe), через полсекунды исчезает. Текста нет. В отчетах Касперского имеются отчеты от Веб-Антивируса, где с периодичностью раз в час программа по адресу C:\Users\user\AppData\Local\config\python (pythonw.exe) пытается запустить вредоносную ссылку. Полная проверка компьютера (и локальная) несколькими антивирусами не дала ничего. Список отчетов прикрепляю. Также пример отчета.
      P.s. Если не отключать антивирус, консоль не появляется. Если отключить - появляется, но никакие ссылки не открываются, только консоль.
       
      Заранее спасибо.

      отчет.txt
    • От basili
      Привет.
      Около недели при открытии браузера GoogleChroom KTS блокирует переходы по вред ссылкам.
      Сам браузер с расширениями но как то раньше все было мирно.
      Помогите разобраться стоит ли бояться или не обращать внимание на блокировки.
      За ранее спасибо за вашу неоценимую помощь.
       

      CollectionLog-2021.03.02-22.31.zip
×
×
  • Создать...