Постоянно выскакивает уведомление о блокировке перехода на http://185.38.111.1/wpad.dat

[Andrey SanJ]

Добрый день! Windows7, Servise Pack1, Kaspersky Free

 

В течение нескольких дней (чаще всего при работе Google Chrome, но пару раз ловил и без браузера), Kaspersky Free выводит сообщение 

Имя программы: svchost.exe
Путь к программе: C:\Windows\System32
Компонент: Веб-Антивирус
Описание результата: Запрещено
Тип: Вредоносная ссылка
Название: [ссылка]
Точность: Точно
Степень угрозы: Высокая
Тип объекта: Веб-страница
Имя объекта: wpad.dat
Путь к объекту: [ссылка]
Причина: Базы
Дата выпуска баз: Сегодня, 31.03.2021 7:39:00

 

Прогнал через Dr.Web, KVRT - проблем не видят. Вчера прогнал через AVZ - что-то не связанное с этим выловил, но проблема не ушла. Послушался советов, отправил с помощью AVZ scvhost в карантин, ожидаемо возникли проблемы с виндой, еле восстановил. Теперь, правда AVZ не видит шрифтов и выдает краказябры. Предупреждение продолжает выходить. 

CollectionLog-2021.03.31-15.06.zip report1.log report2.log

Изменено 31 марта, 2021 пользователем Sandor
Убрал вредоносные ссылки

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Windows\svchost.exe', '');
 DeleteFile('C:\Windows\svchost.exe', '64');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', '64');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

 

Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 10 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

 

 

Для повторной диагностики запустите снова AutoLogger. 

[Andrey SanJ]

Ругается на скрипт, говорит Too many actual parametrs в позиции 5:11

 

На вот эту строку

RegKeyDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', '64');

[Sandor]

Читайте инструкции, запускать нужно эту версию:

Цитата

C:\Users\Ilya\Downloads\AutoLogger\AutoLogger\AV\av_z.exe

 

[Andrey SanJ]

Выполнил. Имя карантина 2021.03.31_quarantine_76cbd2bad9582d23c1f6f4d868218d6c.zip
Сейчас запущу повторную диагностику

CollectionLog-2021.03.31-16.55.zip report1.log report2.log

[Sandor]

Проблема сохраняется?

[Andrey SanJ]

Пока не выпрыгивала, спасибо! Буду надеяться, что она ушла. 

[Sandor]

К сети подключаетесь через роутер?

 

Пока наблюдаете, проверьте уязвимые места системы:

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

 

[Andrey SanJ]

Да, через роутер. Спасибо, проверю. 

Готово!

SecurityCheck.txt

((( Опять выскочило предупреждение....

 

[Sandor]

Сделайте аппаратный сброс настроек роутера на заводские, введите правильные настройки, смените пароль на вход в настройки роутера на сложный, очистите куки и кэш браузеров.

После этого сообщите результат.

 

Рекомендуется:

------------------------------- [ Windows ] -------------------------------
Расширенная поддержка закончилась 14.01.2020, Ваша операционная система может быть уязвима к новым типам угроз
Internet Explorer 11.0.9600.18837 Внимание! Скачать обновления
^Используйте Средство устранения неполадок при проблемах установки^
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office 365 - ru-ru v.16.0.12527.21686 Внимание! Скачать обновления
^Инструкция по обновлению Microsoft Office.^
PuTTY release 0.73 (64-bit) v.0.73.0.0 Внимание! Скачать обновления
Microsoft Silverlight v.5.1.50907.0 Внимание! Скачать обновления
Microsoft Office нажми и работай 2010 v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft .NET Framework 4.6.1 v.4.6.01055 Внимание! Скачать обновления
Microsoft .NET Framework 4.6 (русский) v.4.6.00081 Внимание! Скачать обновления
WinSCP 5.15.9 v.5.15.9 Внимание! Скачать обновления
Microsoft Office Starter 2010 - русский v.14.0.4763.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
ASUS Live Update v.2.5.9 Возможно Ваша система скомпроментирована.. Скачайте утилиту диагностики для проверки.
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 5.20 (64-bit) v.5.20.0 Внимание! Скачать обновления
-------------------------------- [ Media ] --------------------------------
QuickTime v.7.1 Данная программа больше не поддерживается разработчиком и имеет известные проблемы безопасности! Рекомендуется деинсталлировать данное ПО.
K-Lite Codec Pack 12.0.5 Basic v.12.0.5 Внимание! Скачать обновления
--------------------------- [ AdobeProduction ] ---------------------------
Adobe AIR v.18.0.0.144 Внимание! Скачать обновления
Adobe Creative Cloud v.4.9.0.504 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Opera Stable 74.0.3911.218 v.74.0.3911.218 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
----------------------------- [ EmailClient ] -----------------------------
Windows Live Mesh v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Windows Live Mail v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
Почта Windows Live v.15.4.3502.0922 Данная программа больше не поддерживается разработчиком.
---------------------------- [ UnwantedApps ] -----------------------------
Unity Web Player v.5.0.3f2 Внимание! Приложение распространяется в рамках партнерских программ и сборников-бандлов. Рекомендуется деинсталляция. Возможно Вы стали жертвой обмана или социальной инженерии.
 

 

[Andrey SanJ]

Сбросил, ввел, сменил, очистил, что мог, обновил-удалил. 

Оповещение продолжает выскакивать

SecurityCheck.txt

[Sandor]

Какая модель роутера? Попробуйте подключиться напрямую и проверьте.

[Andrey SanJ]

TP-Link TD854W

 

[Sandor]

44 минуты назад, Sandor сказал:

Попробуйте подключиться напрямую и проверьте

Проверили?

А, вижу, это модем в режиме роутера.

Тогда хорошо бы проверить через другое подключение, например, через телефон или flash-модем.

 

[Andrey SanJ]

На другом ноуте вроде такого предупреждения касперский не выдает. А что телефон должен выдавать? На нем никаких антивирусов не стоит. Вообще предупреждение выскакивает рандомно - то пару часов нет ничего, то прямо подряд раз десять.