Перейти к содержанию

[РЕШЕНО] Попытка открытия вредоносной ссылки 185.38.111.1/wpad.dat


Рекомендуемые сообщения

Используемое антивирусное ПО: Kaspersky Internet Security

Проблема: Веб-Антивирус обнаружил и начал блокировать самопроизвольные попытки открытия вредоносной ссылки http:// 185.38.111.1/ wpad.dat.

Вредоносная ссылка активно пытается открыться после запуска ярлыка Steam. И значительно реже сама по себе, и при запуске системы.

Что успел проверить: Быстрая проверка, как и проверка C:\Windows ничего не нашла. 

Примечание: Сбор логов осуществлял без интернет соединения с целью невозможности открытия вредоносной ссылки.

 

ere.PNG

ere2.PNG

 

Изменено пользователем kmscom
удален отчет
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

DriverToolkit version 8.5.1.0 деинсталлируйте как нежелательное ПО.

Java 8 Update 251 - если пользуетесь, обновите. Если нет, тоже деинсталлируйте.

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

 

Просканирвал, обнаруженные файлы DriverToolKit удалил

 

Изменено пользователем kmscom
удалены отчеты
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: E - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: {558a3c51-9a19-11e7-b8fc-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: {df242b42-0262-11e8-bb6f-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: {df242b4c-0262-11e8-bb6f-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: {df242b5b-0262-11e8-bb6f-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: {e3663132-f994-11e6-ba01-c860006824cb} - E:\SISetup.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1003\...\MountPoints2: E - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1003\...\MountPoints2: {b5867975-5e0b-11eb-b0fc-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1003\...\MountPoints2: {df242b4c-0262-11e8-bb6f-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1004\...\MountPoints2: {df242b4c-0262-11e8-bb6f-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1004\...\MountPoints2: {e3663132-f994-11e6-ba01-c860006824cb} - E:\SISetup.exe
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {0E988FB0-894C-413A-9705-C59FF324EB66} - System32\Tasks\{72B28920-DD1A-4114-A2B0-05BF5854E662} => C:\Windows\system32\pcalua.exe -a C:\Users\134E~1\AppData\Local\Temp\jre-8u144-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 <==== ВНИМАНИЕ
    AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [94]
    AlternateDataStreams: C:\Users\Dmitriy\Application Data:c7637b1ddf4ebe3cea300c7598738ba3 [394]
    AlternateDataStreams: C:\Users\Dmitriy\AppData\Roaming:c7637b1ddf4ebe3cea300c7598738ba3 [394]
    Toolbar: HKU\S-1-5-21-2356935755-1339875266-2647651370-1000 -> Нет имени - {093F479D-712E-46CD-9E06-62E734A05F68} -  Нет файла
    Toolbar: HKU\S-1-5-21-2356935755-1339875266-2647651370-1003 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
    Toolbar: HKU\S-1-5-21-2356935755-1339875266-2647651370-1004 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

 

Все сделал. Проблема с переходом по вредоносной ссылке все ещё есть.

 

ere3.PNG.195674a265c9d3fd9d6fc0fd9c35d6ed.PNG

Изменено пользователем kmscom
удален отчет
Ссылка на сообщение
Поделиться на другие сайты

Теперь ещё раз проанализируйте: когда это появляется - когда открыт браузер? Если да, какой? Запущен ли в это время Steam? Если его не запускать, тоже появляется?

 

К сети подключаетесь через роутер? Если да, одно устройство?

И покажите что будет при нажатии на ссылку "Подробнее".

Ссылка на сообщение
Поделиться на другие сайты

Все что появляется при нажатии на подробнее есть в скриншотах в первом сообщении

 

Что это по итогу? Ваши предположения?

Ссылка на сообщение
Поделиться на другие сайты

Полностью проверил систему, Kaspersky Removal Tool - ничего не нашел(((

 

При срабатывании блокировки в диспетчере задач появляется и исчезает процесс rundll.32.exe

 

er5.PNG

Изменено пользователем Sokol_OFF
Ссылка на сообщение
Поделиться на другие сайты
16 часов назад, Sandor сказал:

когда это появляется - когда открыт браузер? Если да, какой? Запущен ли в это время Steam? Если его не запускать, тоже появляется?

 

К сети подключаетесь через роутер? Если да, одно устройство?

На вопросы не ответили.

Ссылка на сообщение
Поделиться на другие сайты

@Олег 2, здравствуйте!

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты

Я все это писал в первом сообщении, но продублирую. Попытка подключения происходит самопроизвольно, НО значительно реже при запуске системы, использовании браузера.

При запуске других программ по типу дискорд, телеграм, spotify - вирус вообще не появляется.

НО стоит запустить Steam, то каждые 5 секунд вылазит попытка подключения, потом он перестает минут на 15 и снова каждые 5 секунд пытается подключится.

 

Все что выводит при нажатии Подробнее прикреплено к первому сообщению.

Изменено пользователем Sokol_OFF
Ссылка на сообщение
Поделиться на другие сайты

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • ALGORITMTEHGROUP
      От ALGORITMTEHGROUP
      Добрый день!

      Начали разработку собственного сайта, приобрели домен ранее на нем не находилось никаких сайтов.
      Соответственно касперский указывает, что наш сайт является угрозой, что быть никак не может.
      Просим Вас удалить наш сайт с Базы угроз.

       
    • Maikl94
      От Maikl94
      Здравствуйте! Нужно установить Kaspersky free (он же cloud) на windows 7x32 с процессором pentium 4 (поддерживает SSE2 (SSE3 не поддерживает). Мне просто с сайта можно скачать последнюю версию и все будет работать, или если нет, подскажите последнюю версию которая будет работать
    • mixedust
      От mixedust
      Вообщем,касперский мне постоянно присылает уведомления, что загрузка остановлена и название файла или отменён переход по вредоностной ссылке. Я и пытался в расширениях что то найти и вредоностное приложение найти в панели задач и делал проверку пк, но ничего не нашёл. Не понимаю, почему касперский сам не утранит причину этого всего (у меня лицензия)
       
      Сообщение от модератора Mark D. Pearlstone Внимательно читайте правил разделов! Евгений Касперский не помогает вылечиться от вирусов и не оказывает компьютерную помощь.
    • webiis
      От webiis
      Здравствуйте, уважаемые форумчане!
      Две недели назад столкнулся с атакой на свой пк, украли (если я правильно понял) все куки браузера. После чего, начали приходить уведомления о входе в аккаунты с неизвестных устройств.
      Я сменил все пароли, почистил куки и кэш браузера, просканировали компьютер утилитой dr.web cureit, а после установил пробную версию Касперского, и так же удалил все найденные вирусы.
       
      Сейчас, постоянно всплывает уведомление, что "Переход остановлен - Название: https://www.ippfinfo.top/jsapi.php". Также, не устанавливаются обновления windows и не скачиваются приложения из microsoft store.
      Помогите решить проблему.
      CollectionLog-2023.03.27-10.44.zip 27.03.2023.txt
    • Viktor77
      От Viktor77
      Здраствуйте недавно появилась данная проблема:

      Пользователь: LAPTOP-V8IT4LR6\1661322
      Тип пользователя: Активный пользователь
      Имя программы: chrome.exe
      Путь к программе: C:\Program Files\Google\Chrome\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Возможна неправомерная загрузка ПО
      Название: 
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: 
      Путь к объекту: 
      Причина: Облачная защита

      Появляется данное сообщение каждый раз после ввода чего-либо в google.
      Вопрос как решить данную проблему?
×
×
  • Создать...