Author Topic: URL:Blacklist процесс svchost.exe  (Read 2443 times)

0 Members and 1 Guest are viewing this topic.

Offline Владимир95

  • Newbie
  • *
  • Posts: 2
URL:Blacklist процесс svchost.exe
« on: October 28, 2023, 11:44:35 AM »
Добрый день!
В середине недели ни с того ни с сего начало вылезать уведомление об угрозе URL:Blacklist. (Попытка подключения к wpad.beelinerouter.net)
процесс C:\Windows\System32\svchost.exe/
Появляется несколько раз в день.
В чем может быть проблема и как бороться? Сканирование проблем не находит.

Offline Ivanych

  • Пенсионер.
  • Massive Poster
  • ****
  • Posts: 3501
  • СССР-Москва,ГДР-Ютербог,Россия-Ульяновск.
Re: URL:Blacklist процесс svchost.exe
« Reply #1 on: October 29, 2023, 09:18:22 AM »
Проверил этот сайт и получил ответ !
https://www.virustotal.com/gui/url/7059fb76517e73cbbc4add02ad8d03b2c037f956b364d84d87fe8f917d914adb?nocache=1
Только не понятно когда это происходит ? При включении компа,ноута или смартфона ? Или при включении какого-либо приложения ? Если при включении через ярлык,то удалите его и создайте новый,чистый ярлык.Или при включении какого-либо расширения в браузере ? Напишите весь процесс появления этой блокировки тут.Чтобы было более-менее понятно тут.
Я частичку своей жизни оставил в Ютербоге Германии !

Offline Nom

  • Sr. Member
  • ****
  • Posts: 288
Re: URL:Blacklist процесс svchost.exe
« Reply #2 on: October 30, 2023, 03:12:27 AM »
Выглядит странновато потому что svchost это процесс запускающий системные службы, а какой системной службе может понадобиться обращаться к этому домену? Быть может стоит пошерстить реестр на предмет таких ссылок в ключах или поискать задания в планировщике, где-то эта ссылка должна быть явно указана и кто-то ее прописал. Да и вообще временные файлы не помешает почистить и браузер.

Offline Ivanych

  • Пенсионер.
  • Massive Poster
  • ****
  • Posts: 3501
  • СССР-Москва,ГДР-Ютербог,Россия-Ульяновск.
Re: URL:Blacklist процесс svchost.exe
« Reply #3 on: October 30, 2023, 10:46:56 AM »
Выглядит странновато потому что svchost это процесс запускающий системные службы, а какой системной службе может понадобиться обращаться к этому домену?
У очень у многих пользователей многие службы вообще не нужные - работают.
Пользователи их не умеют отключать вообще.
И даже не знают их назначения.
И поэтому не нужные функции работают впустую у них.
А результат виден тут !
Я частичку своей жизни оставил в Ютербоге Германии !

Offline Nom

  • Sr. Member
  • ****
  • Posts: 288
Re: URL:Blacklist процесс svchost.exe
« Reply #4 on: October 30, 2023, 05:20:04 PM »
Загуглил по поводу ссылки и нашел кое-что интересное: https://ru.anyquestion.info/a/uyazvimost-v-wpadbeelinerouternet-kak-izbezhat-potentsialnogo-vzloma или вот https://forum.kasperskyclub.ru/topic/81146-resheno-popytka-otkrytija-vredonosnoj-ssylki-185381111wpaddat/page/2/

Я так понял дело в службе автоматического обнаружения веб-прокси - возможно достаточно ее просто отключить потому как нафиг она не нужна  :)

Offline Ivanych

  • Пенсионер.
  • Massive Poster
  • ****
  • Posts: 3501
  • СССР-Москва,ГДР-Ютербог,Россия-Ульяновск.
Re: URL:Blacklist процесс svchost.exe
« Reply #5 on: October 31, 2023, 08:56:51 AM »
Я так понял дело в службе автоматического обнаружения веб-прокси - возможно достаточно ее просто отключить потому как нафиг она не нужна  :)
WinHTTP реализует стек клиента HTTP и обеспечивает разработчикам Win32 API и компонент автоматизации COM для отправки запросов HTTP и получения ответов. Кроме того, WinHTTP обеспечивает поддержку автоматического обнаружения конфигурации прокси через реализацию протокола WPAD
****
Я даже в её свойствах не могу ни Выключить и ни изменить тип её запуска.Не активна эта надпись.
И смотрите её Зависимость от других служб и Зависимость других служб от неё.
Так что решать вам.
Я частичку своей жизни оставил в Ютербоге Германии !

Offline Nom

  • Sr. Member
  • ****
  • Posts: 288
Re: URL:Blacklist процесс svchost.exe
« Reply #6 on: November 01, 2023, 03:14:30 AM »
У меня все активно и без проблем можно изменить тип запуска. Может у вас прав не достаточно? Да и по зависимостям по-моему никаких проблем. На моей памяти не разу не видел чтобы где-то использовалось автообнаружение прокси, в сетях предприятий прокси используются для контроля и экономии трафика это да, но такие вещи обычно и явно указываются вручную. Короче думаю что не нужна она абсолютно, а тем более если уязвима.

Offline Ivanych

  • Пенсионер.
  • Massive Poster
  • ****
  • Posts: 3501
  • СССР-Москва,ГДР-Ютербог,Россия-Ульяновск.
Re: URL:Blacklist процесс svchost.exe
« Reply #7 on: November 01, 2023, 07:44:26 AM »
У меня все активно и без проблем можно изменить тип запуска. Может у вас прав не достаточно? Но такие вещи обычно и явно указываются вручную. Короче думаю что не нужна она абсолютно, а тем более если уязвима.
Так у меня стоит на ручном запуске эта служба.И сейчас она у меня работает.Читал в интернете о ней и выяснил,что не рекомендуется её отключать.У меня Windows 10 Домашняя.
« Last Edit: November 01, 2023, 08:06:20 AM by Ivanych »
Я частичку своей жизни оставил в Ютербоге Германии !

Offline Nom

  • Sr. Member
  • ****
  • Posts: 288
Re: URL:Blacklist процесс svchost.exe
« Reply #8 on: November 01, 2023, 11:47:44 AM »
Она по умолчанию на ручном запуске. И запускается я так понимаю только в случае если в настройках сетевого интерфейса напрямую не указаны статические IP-адреса шлюза и самого интерфейса т.е. если выбран автоматический механизм настройки через протокол DHCP. По умолчанию чтобы пользователю не кипятить мозги изучением основ сетей настройка и идет через DHCP т.е. в роутере есть сервер который раздает настройки сетевым клиентам которым это требуется. А требуется тем у кого они вручную не прописаны статически. У меня к примеру на 10-ке статически прописан только адрес DNS-сервера и при проверке статус службы поиска прокси - Работает. На 7-ке статически прописаны все параметры и при проверке статуса службы поиска прокси - Отключена. Прокси-сервер обычно представляет собой отдельный компьютер с несколькими сетевыми интерфейсами который является промежуточным звеном между сетевыми компами и роутером, на нем установлен спец-софт организующий кэширование трафика и позволяющий вести регулирование доступа пользователей к интернету и подсчет статистики. Это было особенно актуально когда скорости доступа в интернет были низкие и тарифы были лимитные. За счет кэша трафик экономился и ускорялся плюс полный контроль за расходами. Если доступ в интернет был организован через прокси то без настроек прокси интернет попросту не работал. Более того на прокси-сервере для клиентов создавались учетки с аутентификацией через логин и пароль или MAC-адрес сетевой карты. В небольших организациях настройки прокси обычно конкретно прописывались вручную админом на каждом клиенте т.е. эта служба нафиг не была нужна даже у них тогда  :) не говоря уж про домашних пользователей сейчас.
« Last Edit: November 01, 2023, 12:38:41 PM by Nom »

Offline Владимир95

  • Newbie
  • *
  • Posts: 2
Re: URL:Blacklist процесс svchost.exe
« Reply #9 on: November 05, 2023, 07:30:27 AM »
Проверил этот сайт и получил ответ !
https://www.virustotal.com/gui/url/7059fb76517e73cbbc4add02ad8d03b2c037f956b364d84d87fe8f917d914adb?nocache=1
Только не понятно когда это происходит ? При включении компа,ноута или смартфона ? Или при включении какого-либо приложения ? Если при включении через ярлык,то удалите его и создайте новый,чистый ярлык.Или при включении какого-либо расширения в браузере ? Напишите весь процесс появления этой блокировки тут.Чтобы было более-менее понятно тут.

Происходит это, скажем, каждые пол часа, вылетает уведомление. Без какой-то привязки к определенным действиям, компьютер может просто работать. У меня Win11 Pro.
Читал что это может быть руткит, потому что проблемный процесс системный svchost.exe из правильной папки. Так ли это?

Выглядит странновато потому что svchost это процесс запускающий системные службы, а какой системной службе может понадобиться обращаться к этому домену? Быть может стоит пошерстить реестр на предмет таких ссылок в ключах или поискать задания в планировщике, где-то эта ссылка должна быть явно указана и кто-то ее прописал. Да и вообще временные файлы не помешает почистить и браузер.

Тут подскажите как пошерстить реестр и поискать в планировщике?

Offline Ivanych

  • Пенсионер.
  • Massive Poster
  • ****
  • Posts: 3501
  • СССР-Москва,ГДР-Ютербог,Россия-Ульяновск.
Re: URL:Blacklist процесс svchost.exe
« Reply #10 on: November 05, 2023, 10:00:10 AM »
Происходит это, скажем, каждые пол часа, вылетает уведомление. Без какой-то привязки к определенным действиям, компьютер может просто работать. У меня Win11 Pro.
Читал что это может быть руткит, потому что проблемный процесс системный svchost.exe из правильной папки. Так ли это?
Запустите Диспетчер задач и перейдите в раздел Подробности.Там выделите нужный вам системный svchost.exe затем кликните на правую клаву мыши и выберите надпись Перейти к службам.И вы увидите службу выделенную,которая отвечает за этот процесс.А там уже решайте сами,чт с ней делать.

Тут подскажите как пошерстить реестр и поискать в планировщике?
В реестре шерстить очень трудно.Вы в нём можете только найти нужный ключ по названию его и только.Поэтому к реестре надо подходить очень осторожно.И перед этим надо сделать на всякий пожарный копию реестра.Так что решать вам.
Насчёт Планировщика заданий не могу вам ничего сказать.Дело в том,что все задания в нём имеют английские названия.Поэтому прежде чем идти в Планировщик надо знать точное название задания,которое относится к данному процессу.
« Last Edit: November 05, 2023, 10:05:27 AM by Ivanych »
Я частичку своей жизни оставил в Ютербоге Германии !

Offline Nom

  • Sr. Member
  • ****
  • Posts: 288
Re: URL:Blacklist процесс svchost.exe
« Reply #11 on: November 06, 2023, 02:19:43 AM »
Так вы службу автоматического обнаружения веб-прокси остановить пробовали?
Там в ссылке что с форума касперского фигурирует другой странноватый способ решения вопроса - сброс роутера на заводские настройки с последующим обновлением прошивки и перенастройкой... не понимаю почему но у них он работает  :) я думаю надо службу гасить. А если есть подозрения на руткит - можно прогнать загрузочным сканированием аваст.

Offline Ivanych

  • Пенсионер.
  • Massive Poster
  • ****
  • Posts: 3501
  • СССР-Москва,ГДР-Ютербог,Россия-Ульяновск.
Re: URL:Blacklist процесс svchost.exe
« Reply #12 on: November 06, 2023, 01:14:19 PM »
сброс роутера на заводские настройки с последующим обновлением прошивки и перенастройкой... не понимаю почему но у них он работает  :) я думаю надо службу гасить. А если есть подозрения на руткит - можно прогнать загрузочным сканированием аваст.
Сброс настроек на заводские это легко сделать ! Только перед этим надо сохранить файл настроек.А вот обновление прошивки - тут сперва надо подумать "А стоит ли это делать ?" Если встанет коряво новая версия,то роутер можете выкинуть в окно.Он будет как простая коробка.А перенастраивать роутер-маршрутизатор надо ещё уметь.А сканирование всего диска надо делать ни одним Авастом.Нужен или EmsisiftEmergencyKit или DrWebCureIt или MalwarebytesFree.У них у всех свои базы сигнатур вирусов.Пусть решает сам пользователь.
Я частичку своей жизни оставил в Ютербоге Германии !

Offline j.bonzo

  • Advanced Poster
  • **
  • Posts: 976
Re: URL:Blacklist процесс svchost.exe
« Reply #13 on: November 09, 2023, 07:14:58 PM »
Все намного проще...


"Hello,

Thank you for reporting this false positive.

We have now cleared its reputation in our database based on the findings and removed the detection. This change may take up to 24 hours to take full effect. Please accept our apology for the inconvenience caused.

If the detection persists after 24 hours, update the virus database in Avast anti-virus and reply to this email with the attached files:
1.Take a screenshot of the Avast detection dialog (Threat Secured pop-up with See details - displayed at the bottom).
2.Take a screenshot of the Avast virus database (open Avast antivirus and go to Menu > About).
We hope you have a nice day and stay safe online.

Pavel
Avast Malware Analysis Team"

Offline Ivanych

  • Пенсионер.
  • Massive Poster
  • ****
  • Posts: 3501
  • СССР-Москва,ГДР-Ютербог,Россия-Ульяновск.
Re: URL:Blacklist процесс svchost.exe
« Reply #14 on: November 11, 2023, 09:00:27 AM »
А вот перевод:
Здравствуйте,
Благодарим вас за сообщение об этом ложноположительном результате.
Теперь мы очистили его репутацию в нашей базе данных на основе полученных результатов и удалили обнаружение. Для полного вступления в силу этого изменения может потребоваться до 24 часов. Пожалуйста, примите наши извинения за причиненные неудобства.
Если обнаружение не устранено по истечении 24 часов, обновите вирусную базу в Avast antivirus и ответьте на это электронное письмо с прикрепленными файлами:
1.Сделайте снимок экрана диалогового окна обнаружения Avast (всплывающее окно "Защита от угроз" с надписью "Подробнее" - отображается внизу).
2.Сделайте скриншот вирусной базы Avast (откройте Avast antivirus и перейдите в меню > О программе).
Мы надеемся, что вы хорошо проведете день и будете в безопасности онлайн.
Павел
Команда анализа вредоносных программ Avast"
Я частичку своей жизни оставил в Ютербоге Германии !