[РЕШЕНО] Попытка открытия вредоносной ссылки 185.38.111.1/wpad.dat

[Sokol_OFF]

Используемое антивирусное ПО: Kaspersky Internet Security

Проблема: Веб-Антивирус обнаружил и начал блокировать самопроизвольные попытки открытия вредоносной ссылки http:// 185.38.111.1/ wpad.dat.

Вредоносная ссылка активно пытается открыться после запуска ярлыка Steam. И значительно реже сама по себе, и при запуске системы.

Что успел проверить: Быстрая проверка, как и проверка C:\Windows ничего не нашла. 

Примечание: Сбор логов осуществлял без интернет соединения с целью невозможности открытия вредоносной ссылки.

 

 

Изменено 24 марта, 2021 пользователем kmscom
удален отчет

[Sandor]

Здравствуйте!

 

DriverToolkit version 8.5.1.0 деинсталлируйте как нежелательное ПО.

Java 8 Update 251 - если пользуетесь, обновите. Если нет, тоже деинсталлируйте.

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[Sokol_OFF]

 

Просканирвал, обнаруженные файлы DriverToolKit удалил

 

Изменено 24 марта, 2021 пользователем kmscom
удалены отчеты

[Sandor]

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Sokol_OFF]

 

Готово

Изменено 24 марта, 2021 пользователем kmscom
удалены отчеты

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: E - E:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: {558a3c51-9a19-11e7-b8fc-c860006824cb} - E:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: {df242b42-0262-11e8-bb6f-c860006824cb} - E:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: {df242b4c-0262-11e8-bb6f-c860006824cb} - E:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: {df242b5b-0262-11e8-bb6f-c860006824cb} - E:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: {e3663132-f994-11e6-ba01-c860006824cb} - E:\SISetup.exe
  HKU\S-1-5-21-2356935755-1339875266-2647651370-1003\...\MountPoints2: E - E:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2356935755-1339875266-2647651370-1003\...\MountPoints2: {b5867975-5e0b-11eb-b0fc-c860006824cb} - E:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2356935755-1339875266-2647651370-1003\...\MountPoints2: {df242b4c-0262-11e8-bb6f-c860006824cb} - E:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2356935755-1339875266-2647651370-1004\...\MountPoints2: {df242b4c-0262-11e8-bb6f-c860006824cb} - E:\HiSuiteDownLoader.exe
  HKU\S-1-5-21-2356935755-1339875266-2647651370-1004\...\MountPoints2: {e3663132-f994-11e6-ba01-c860006824cb} - E:\SISetup.exe
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Task: {0E988FB0-894C-413A-9705-C59FF324EB66} - System32\Tasks\{72B28920-DD1A-4114-A2B0-05BF5854E662} => C:\Windows\system32\pcalua.exe -a C:\Users\134E~1\AppData\Local\Temp\jre-8u144-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 <==== ВНИМАНИЕ
  AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [94]
  AlternateDataStreams: C:\Users\Dmitriy\Application Data:c7637b1ddf4ebe3cea300c7598738ba3 [394]
  AlternateDataStreams: C:\Users\Dmitriy\AppData\Roaming:c7637b1ddf4ebe3cea300c7598738ba3 [394]
  Toolbar: HKU\S-1-5-21-2356935755-1339875266-2647651370-1000 -> Нет имени - {093F479D-712E-46CD-9E06-62E734A05F68} -  Нет файла
  Toolbar: HKU\S-1-5-21-2356935755-1339875266-2647651370-1003 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
  Toolbar: HKU\S-1-5-21-2356935755-1339875266-2647651370-1004 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Sokol_OFF]

 

Все сделал. Проблема с переходом по вредоносной ссылке все ещё есть.

 

Изменено 24 марта, 2021 пользователем kmscom
удален отчет

[Sandor]

Теперь ещё раз проанализируйте: когда это появляется - когда открыт браузер? Если да, какой? Запущен ли в это время Steam? Если его не запускать, тоже появляется?

 

К сети подключаетесь через роутер? Если да, одно устройство?

И покажите что будет при нажатии на ссылку "Подробнее".

[Sokol_OFF]

Все что появляется при нажатии на подробнее есть в скриншотах в первом сообщении

 

Что это по итогу? Ваши предположения?

[Sokol_OFF]

Полностью проверил систему, Kaspersky Removal Tool - ничего не нашел(((

 

При срабатывании блокировки в диспетчере задач появляется и исчезает процесс rundll.32.exe

 

Изменено 23 марта, 2021 пользователем Sokol_OFF

[Sandor]

16 часов назад, Sandor сказал:

когда это появляется - когда открыт браузер? Если да, какой? Запущен ли в это время Steam? Если его не запускать, тоже появляется?

 

К сети подключаетесь через роутер? Если да, одно устройство?

На вопросы не ответили.

[Олег 2]

Здравствуйте. Похожая проблема, только svchost.exe пытается перейти на http://185.38.111.1/wpad.dat.

[Sandor]

@Олег 2, здравствуйте!

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

[Sokol_OFF]

Я все это писал в первом сообщении, но продублирую. Попытка подключения происходит самопроизвольно, НО значительно реже при запуске системы, использовании браузера.

При запуске других программ по типу дискорд, телеграм, spotify - вирус вообще не появляется.

НО стоит запустить Steam, то каждые 5 секунд вылазит попытка подключения, потом он перестает минут на 15 и снова каждые 5 секунд пытается подключится.

 

Все что выводит при нажатии Подробнее прикреплено к первому сообщению.

Изменено 24 марта, 2021 пользователем Sokol_OFF

[Sandor]

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.