Перейти к содержанию

[РЕШЕНО] Попытка открытия вредоносной ссылки 185.38.111.1/wpad.dat


Рекомендуемые сообщения

Используемое антивирусное ПО: Kaspersky Internet Security

Проблема: Веб-Антивирус обнаружил и начал блокировать самопроизвольные попытки открытия вредоносной ссылки http:// 185.38.111.1/ wpad.dat.

Вредоносная ссылка активно пытается открыться после запуска ярлыка Steam. И значительно реже сама по себе, и при запуске системы.

Что успел проверить: Быстрая проверка, как и проверка C:\Windows ничего не нашла. 

Примечание: Сбор логов осуществлял без интернет соединения с целью невозможности открытия вредоносной ссылки.

 

ere.PNG

ere2.PNG

 

Изменено пользователем kmscom
удален отчет
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

DriverToolkit version 8.5.1.0 деинсталлируйте как нежелательное ПО.

Java 8 Update 251 - если пользуетесь, обновите. Если нет, тоже деинсталлируйте.

 

Дополнительно:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

  • Like (+1) 1
Ссылка на сообщение
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: E - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: {558a3c51-9a19-11e7-b8fc-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: {df242b42-0262-11e8-bb6f-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: {df242b4c-0262-11e8-bb6f-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: {df242b5b-0262-11e8-bb6f-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1000\...\MountPoints2: {e3663132-f994-11e6-ba01-c860006824cb} - E:\SISetup.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1003\...\MountPoints2: E - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1003\...\MountPoints2: {b5867975-5e0b-11eb-b0fc-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1003\...\MountPoints2: {df242b4c-0262-11e8-bb6f-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1004\...\MountPoints2: {df242b4c-0262-11e8-bb6f-c860006824cb} - E:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-2356935755-1339875266-2647651370-1004\...\MountPoints2: {e3663132-f994-11e6-ba01-c860006824cb} - E:\SISetup.exe
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Task: {0E988FB0-894C-413A-9705-C59FF324EB66} - System32\Tasks\{72B28920-DD1A-4114-A2B0-05BF5854E662} => C:\Windows\system32\pcalua.exe -a C:\Users\134E~1\AppData\Local\Temp\jre-8u144-windows-au.exe -d C:\Windows\SysWOW64 -c /installmethod=jau FAMILYUPGRADE=1 <==== ВНИМАНИЕ
    AlternateDataStreams: C:\ProgramData\TEMP:1CE11B51 [94]
    AlternateDataStreams: C:\Users\Dmitriy\Application Data:c7637b1ddf4ebe3cea300c7598738ba3 [394]
    AlternateDataStreams: C:\Users\Dmitriy\AppData\Roaming:c7637b1ddf4ebe3cea300c7598738ba3 [394]
    Toolbar: HKU\S-1-5-21-2356935755-1339875266-2647651370-1000 -> Нет имени - {093F479D-712E-46CD-9E06-62E734A05F68} -  Нет файла
    Toolbar: HKU\S-1-5-21-2356935755-1339875266-2647651370-1003 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
    Toolbar: HKU\S-1-5-21-2356935755-1339875266-2647651370-1004 -> Нет имени - {EF293C5A-9F37-49FD-91C4-2B867063FC54} -  Нет файла
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты

 

Все сделал. Проблема с переходом по вредоносной ссылке все ещё есть.

 

ere3.PNG.195674a265c9d3fd9d6fc0fd9c35d6ed.PNG

Изменено пользователем kmscom
удален отчет
Ссылка на сообщение
Поделиться на другие сайты

Теперь ещё раз проанализируйте: когда это появляется - когда открыт браузер? Если да, какой? Запущен ли в это время Steam? Если его не запускать, тоже появляется?

 

К сети подключаетесь через роутер? Если да, одно устройство?

И покажите что будет при нажатии на ссылку "Подробнее".

Ссылка на сообщение
Поделиться на другие сайты

Все что появляется при нажатии на подробнее есть в скриншотах в первом сообщении

 

Что это по итогу? Ваши предположения?

Ссылка на сообщение
Поделиться на другие сайты

Полностью проверил систему, Kaspersky Removal Tool - ничего не нашел(((

 

При срабатывании блокировки в диспетчере задач появляется и исчезает процесс rundll.32.exe

 

er5.PNG

Изменено пользователем Sokol_OFF
Ссылка на сообщение
Поделиться на другие сайты
16 часов назад, Sandor сказал:

когда это появляется - когда открыт браузер? Если да, какой? Запущен ли в это время Steam? Если его не запускать, тоже появляется?

 

К сети подключаетесь через роутер? Если да, одно устройство?

На вопросы не ответили.

Ссылка на сообщение
Поделиться на другие сайты

@Олег 2, здравствуйте!

Не пишите в чужой теме. Создайте свою и выполните Порядок оформления запроса о помощи

Ссылка на сообщение
Поделиться на другие сайты

Я все это писал в первом сообщении, но продублирую. Попытка подключения происходит самопроизвольно, НО значительно реже при запуске системы, использовании браузера.

При запуске других программ по типу дискорд, телеграм, spotify - вирус вообще не появляется.

НО стоит запустить Steam, то каждые 5 секунд вылазит попытка подключения, потом он перестает минут на 15 и снова каждые 5 секунд пытается подключится.

 

Все что выводит при нажатии Подробнее прикреплено к первому сообщению.

Изменено пользователем Sokol_OFF
Ссылка на сообщение
Поделиться на другие сайты

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • Viktor77
      От Viktor77
      Здраствуйте недавно появилась данная проблема:

      Пользователь: LAPTOP-V8IT4LR6\1661322
      Тип пользователя: Активный пользователь
      Имя программы: chrome.exe
      Путь к программе: C:\Program Files\Google\Chrome\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Возможна неправомерная загрузка ПО
      Название: 
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: 
      Путь к объекту: 
      Причина: Облачная защита

      Появляется данное сообщение каждый раз после ввода чего-либо в google.
      Вопрос как решить данную проблему?
    • polzovatel_user
      От polzovatel_user
      Win 7 Home Basic
      Сегодня выскочило окно с предложение обновиться . Так ли важно обновляться ?
      Как видите из скринов последний раз обновлялся в 2020 году и то случайно и то не всё установилось как видно .
      Так ли важны эти обновления именно в моём случае ? Если я не из тех кто открывает ссылки в письмах с темой "поздравляем вы победитель " или тех кто может спутать google .com c каким нибудь фишинговым  а-ля  gogole.com . или тех кто скачивает программы с торрентов . То есть в этой части безопасности я более чем аккуратен. Вот учитывая всё это нужно ли мне устанавливать эти 7 гб обновлений ? Спасибо.
       
       




    • alex_zzz_f
      От alex_zzz_f
      Постоянно вылазит уведомление что остановлен переход на вредоносную ссылку! svchost.exe
      С открытым браузером вылазит чаще.
       

       
      Сообщение от модератора Mark D. Pearlstone Не публикуйте вредоносные и потенциально вредоносные файлы и ссылки.
    • Алекsандр
      От Алекsандр
      Не могу зайти на алиэкспресс. Переустанавливал систему, отключал Касперского, перепрошивал биос, менял браузеры, пробовал через VPN. Некоторое время после каждой из указанных манипуляций, пользовался нормально. С телефона захожу нормально. А потом опять антивирус блокирует такие ссылки и сайты и аккаунты блокируются. Мне уже помогали здесь. Просьба помочь еще раз. 

      Вредоносная.pdf
      Событие :    Обнаружена ранее открытая вредоносная ссылка
      Пользователь :    Александр-ПК\Александр
      Тип пользователя :    Активный пользователь
      Имя программы :    browser.exe
      Путь к программе :    C:\Users\Александр\AppData\Local\Yandex\YandexBrowser\Application
      Компонент :    Веб-Антивирус
      Описание результата :    Не обработано
      Тип :    Возможна неправомерная загрузка ПО
      Название :   https://allstat-pp.ru/602/64c9fb776411f59fc1d693fd6fa9c7e3a8cdbe8f.js
      Степень угрозы :    Высокая
      Тип объекта :    Веб-страница
      Имя объекта :    64c9fb776411f59fc1d693fd6fa9c7e3a8cdbe8f.js
      Путь к объекту :   https://allstat-pp.ru/602
      Причина :    Облачная защита
       
       
       
      Просканировал с помощью Farbar Recovery Scan Tool из темы: 
       
       
       
      Сканы прилагаю
       
      Addition.txt FRST.txt Shortcut.txt
      Или лучше начать с конца этой темы? т.е. установить Windows 10?
       
      Просто по параметрам мой ноут.. слабоват.
    • Artikov
      От Artikov
      Браузер Chrome постоянно пытается загрузить вредоносную ссылку:
       
      Событие: Загрузка остановлена
      Пользователь: DESKTOP\uzzar
      Тип пользователя: Активный пользователь
      Имя программы: chrome.exe
      Путь к программе: C:\Program Files\Google\Chrome\Application
      Компонент: Веб-Антивирус
      Описание результата: Запрещено
      Тип: Возможна неправомерная загрузка ПО
      Название: 
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: 
      Путь к объекту: 
      Причина: Облачная защита
       
      Нужен совет специалистов по устранению данной проблемы. Заранее спасибо.
       
      Строгое предупреждение от модератора Mark D. Pearlstone Не публикуйте вредоносные ссылки.
×
×
  • Создать...