Перейти к содержанию
Правила раздела
Важная информация для бета-тестеров

Заблокирован переход по 185.38.111.1/wpad.dat + сетевые атаки

malek

От malek
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

malek Новичок

malek

Опубликовано
Опубликовано

Пользуюсь антивирусом Касперского, базы самые свежие.

Пару дней назад Веб-Антивирус начал блокировать переход по вредоносной ссылке http://185.38.111.1/wpad.dat. Сообщение о блокировке появляется с периодичностью 5-20 минут, сообщение о блокировке всплывает даже на рабочем столе, т.е. когда все браузеры закрыты.

Выполнял полную проверку на вирусы самим антивирусом, а также Kaspersky Virus Removal Tool и Dr.Web CureIt!, в итоге ни один из них вирусов не нашел.

Интернет подключен через роутер.

 

Сообщение о блокировке:

Событие :    Переход остановлен
Пользователь :    user-ПК\user
Тип пользователя :    Активный пользователь
Имя программы :    svchost.exe
Путь к программе :    C:\Windows\System32
Компонент :    Веб-Антивирус
Описание результата :    Запрещено
Тип :    Вредоносная ссылка
Название :    http://185.38.111.1/wpad.dat
Точность :    Точно
Степень угрозы :    Высокая
Тип объекта :    Веб-страница
Имя объекта :    wpad.dat
Путь к объекту :    http://185.38.111.1
Причина :    Базы
Дата выпуска баз :    Сегодня, 24.03.2021 4:32:00

 

Пробовал подключить интернет напрямую, переход по той вредоносной ссылке пропадал, но антивирус стал детектить и блокировать сетевую атаку.

 

Пользователь :    user-ПК\user
Тип пользователя :    Активный пользователь
Компонент :    Защита от сетевых атак
Описание результата :    Запрещено
Название :    Intrusion.Win.MS17-010.o
Объект :    TCP от 100.80.240.164 на 100.80.ххх.ххх:445
Дополнительно :    100.80.ххх.ххх
Дата выпуска баз :    Вчера, 23.03.2021 4:19:00

 

Через 25 минут сетевая атака повторилась, но уже с другого IP.

После этого я заблокировал входящие соединения TCP через 445 порт в брандмауэре, сообщения о сетевых атаках прекратились.

Попробовав разные варианты, остановился пока на данном подключении интернета, но т.к. это не решение проблемы, а костыль, то прошу помощи в поиске и устранении уязвимости.

 

Также пробовал подключать интернет с телефона, сетевые атаки возобновились, каждая атака на разные порты, при чем эти атаки касперский почему-то не заблокировал.

 

CollectionLog-2021.03.24-15.43.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor Мудрец

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Начните с установки SP1 на вашу систему:

Пакет обновления 1 (SP1) для Windows 7 x64 и Windows Server 2008 R2 x64

 

Затем:

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.


 
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • dexter
      Переход на винду-11
      От dexter
      Всем привет.
       
      В долгих муках принял решение о переходе на винду-11. Для чего - не надо спрашивать. Так захотелось.
       
      Интересно, у кого какой процессор установлен ? И попутно - какая материнка под него ?
       
      Сообщение от модератора Mark D. Pearlstone Тема перемещена из раздела "Компьютерная помощь"
    • khortys
      Заблокировали файлы и диск на сервере.
      От khortys
      Добрый день! Меня взломали, заблокировали файлы и теперь вымогают деньги, оставили почту. Пришел сюда потому что не знаю что делать.
      К сожалению самого файл шифровальщика найти не удалось.
      Прикрепляю логи (server1.zip), пару зашифрованных файлов и письмо вымогателей (temp.zip).
      server1.zip temp.zip
    • initial77
      Остановлен переход на недоверенный сайт - отключить
      От initial77
      Добрый день,
       
      Как это отключить раз и навсегда?
      Я не могу даже попасть на собственный роутер, меня это выбешивает уже.
      Если это нельзя отключить я просто удалю ваш продукт.
      Я не хочу ковыряться с исключениями - как просто взять и отключить этот кусок функционала??
    • denisk2107
      Взломали.Расширение ooo4ps.Диски заблокированы bitlocker
      От denisk2107
      Здравствуйте!Попал и я файлы в расширении ooo4ps,диски кроме системного заблокированы bitlocker.Как я понимаю,взломали меня через учётку usr1cv8.Первые фалы по времени нашёл там в temp.Нашел там 4 испольняемых файла,сохранил их себе,с сервера удалил.Вложил файлы которые обычно просят в других ветках на эту же тему.Буду благодарен любой помощи
      file.rar report_2025.01.17_20.22.04.klr.rar
    • KL FC Bot
      История атаки вымогателей на UnitedHealth | Блог Касперского
      От KL FC Bot
      Примерно год назад произошел масштабнейший ransomware-инцидент — атака на гиганта американского медицинского страхования, компанию UnitedHealth Group. Взлом имел настолько многочисленные и серьезные последствия, что все прошедшее с момента атаки время появлялись новые подробности о ходе атаки и ее итогах. К годовщине инцидента мы решили собрать все теперь уже доступные данные в одном материале.
      Ransomware-атака на UnitedHealth Group
      Сперва дадим контекст, который будет в особенности полезен для тех, кто не очень хорошо знаком с данной организацией. UnitedHealth Group — это крупнейшая компания на рынке медицинского страхования и медицинских услуг США. Ее капитализация составляет примерно $500 миллиардов. При этом UnitedHealth Group занимает девятое место по выручке среди всех корпораций мира, следуя в этом списке сразу после Apple.
      В состав UnitedHealth Group входят две компании. Первая из них, UnitedHealthcare, занимается медицинским страхованием. Вторая, Optum, специализируется на предоставлении разнообразных медицинских услуг — от фармацевтики и собственно медицинского обслуживания до ИТ-систем, используемых в здравоохранении.
      Последним занимается OptumInsight — одно из трех подразделений Optum, причем самое высокомаржинальное из них. Осенью 2022 года в OptumInsight вошла приобретенная UnitedHealth Group платформа Change Healthcare. Эта цифровая площадка обрабатывает заявления на получение страховых выплат, выступая в роли финансового посредника между пациентами, поставщиками медицинских услуг и страховщиками.
      Собственно, Change Healthcare и стала непосредственной целью атаки вымогателей: 21 февраля в ее системах начал работать шифровальщик, из-за чего платформа стала недоступна. Это вызвало настоящий хаос в американской системе здравоохранения: из-за невозможности быстрой обработки заявлений на страховые выплаты многие пациенты вынуждены были оплачивать лекарства и медицинские услуги из своего кармана. А медицинским учреждениям пришлось перейти в ручной режим обработки счетов.
      Восстановление пострадавших систем заняло многие месяцы: к примеру, клиринговый сервис Change Healthcare возобновил работу лишь в ноябре. В UnitedHealth Group даже создали специальный сайт, на котором можно следить за восстановительными работами. Даже сейчас, спустя год после атаки, на этом сайте публикуются регулярные обновления, а некоторые системы до сих пор имеют статус «доступна частично».
       
      View the full article
×
×
  • Создать...