Возможный прокси-вирус отслеживания трафика - как определить причину прокси и намерение прокси?

Question

Прошлой ночью я заметил, что не могу подключиться к интернету. Я проверил мою установку Arch Linux, и это было нормально. Действительно, мой Android-телефон тоже был в порядке. После некоторых копаний я попытался отключить «Автоматическое определение настроек» в « Internet Options > LAN Settings. Это сработало. Однако это меня очень беспокоит. Я никогда раньше не настраивал прокси, и я живу с двумя другими, которые тоже не настолько разбираются в технологиях. Поэтому я обеспокоен тем, что мог подхватить вирус, который отслеживает мой веб-трафик.

Чтобы получить больше информации, я набрал в chrome: chrome://net-internals/#proxy

Который показывает следующее:

PAC script: http://wpad/wpad.dat
Source: SYSTEM

После проверки внутри wpad.dat мы видим следующий javascript:

function FindProxyForURL(url, host) {
    if (isPlainHostName(host) ||
        dnsDomainIs(host, ".windowsupdate.com") ||
        dnsDomainIs(host, ".microsoft.com") ||
        dnsDomainIs(host, ".baidu.com") ||
        dnsDomainIs(host, ".kaspersky.com") ||
        dnsDomainIs(host, ".live.com") ||
        isInNet(host, "10.0.0.0", "255.0.0.0") ||
        isInNet(host, "172.16.0.0", "255.255.224.0") ||
        isInNet(host, "192.168.0.0", "255.255.0.0") ||
        isInNet(host, "127.0.0.0", "255.0.0.0"))
    return "DIRECT";
    else
        return 'PROXY 185.93.3.120:8080';
};

Если честно, я не уверен, что эта функция делает. Я предполагаю, что если URL-адрес соответствует любому из следующих имен хостов, он будет служить прямым соединением. Иначе, он будет использовать прокси. Это означает, что практически каждый сайт проходит через этот прокси.

Я решил запустить netstat, чтобы посмотреть, смогу ли я найти какие-либо соединения, идущие на 185.93.3.120:8080.

C:\Windows\system32>netstat -b

Active Connections

Proto  Local Address          Foreign Address        State
TCP    192.168.8.6:49693      hk2sch130021322:https  ESTABLISHED
WpnService
[svchost.exe]
TCP    192.168.8.6:49715      104.16.60.37:https     ESTABLISHED
[Discord.exe]
TCP    192.168.8.6:49880      hk2sch130021554:https  ESTABLISHED
[OneDrive.exe]
TCP    192.168.8.6:49938      hk2sch130022123:https  ESTABLISHED
WpnService
[svchost.exe]
TCP    192.168.8.6:50076      a104-89-139-149:https  CLOSE_WAIT
[WinStore.App.exe]
TCP    192.168.8.6:50077      a104-89-139-149:https  CLOSE_WAIT
[WinStore.App.exe]
TCP    192.168.8.6:50079      a104-89-139-149:https  CLOSE_WAIT
[WinStore.App.exe]
TCP    192.168.8.6:50467      tl-in-f108:imaps       ESTABLISHED
OneSyncSvc_3b12c
[svchost.exe]
TCP    192.168.8.6:50568      tl-in-f188:5228        ESTABLISHED
[chrome.exe]
TCP    192.168.8.6:50699      ns329092:http          CLOSE_WAIT
[Discord.exe]
TCP    192.168.8.6:50701      ns329092:http          CLOSE_WAIT
[chrome.exe]
TCP    192.168.8.6:50702      ns329092:http          CLOSE_WAIT
[Discord.exe]
TCP    192.168.8.6:50704      ns329092:http          CLOSE_WAIT
[chrome.exe]
TCP    192.168.8.6:50766      ns329092:http          CLOSE_WAIT
[Code.exe]
TCP    192.168.8.6:50870      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50871      67.27.43.254:http      TIME_WAIT
TCP    192.168.8.6:50872      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50873      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50877      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50879      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50880      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50884      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50890      67.27.43.254:http      TIME_WAIT
TCP    192.168.8.6:50892      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50893      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50895      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]

В другой раз я забыл флаг -b, но заметил, что он связан с stackoverflow, когда я вообще не мог подключиться к Интернету:

TCP    192.168.8.6:50643      stackoverflow:https    ESTABLISHED

Проблема решена с помощью: Свойства Интернета> Настройки локальной сети> Автоматически определять настройки (снимите флажок)

Я обеспокоен тем, что у меня есть вирус, который отслеживает мой интернет-трафик. Я только что переформатировал две недели назад и еще не установил антивирус. Wpad.dat касается, в частности, return 'PROXY 185.93.3.120:8080'; , У меня нет ИДЕИ, почему в моей сети есть wpad.dat. Этот файл обслуживается роутером? По провайдеру? На моем компьютере? Как я могу узнать, является ли это вредоносным или нет?

Чтобы уточнить, я могу подключиться сейчас, но вчера не смог подключиться, и следующие шаги, которые я предпринял выше, были для диагностики. Я не доволен работой интернета - я хочу знать, что здесь не так.

Благодарю.

Answer 1

я гуглю этот ip, потому что он был настроен как winhttp в windows 10 и outlook не смог подключиться к 365 обмену с ним настроенным, с тех пор я обнаружил, что обновление windows изменит это, если будет такое чувство? http://datacamp.co.uk/ - это то, на что указывает мне ip.

netsh winhttp сбросить прокси

https://support.microsoft.com/en-gb/help/900935/how-the-windows-update-client-determines-which-proxy-server-to-use-to

Answer 2

То же самое, у меня также есть эта проблема со вчерашнего дня. Как и вы, я думал, что мой трафик контролирует вирус. Я проверил wireshark, и я мог найти этот IP-адрес 185.93.3.120, но пакеты падали. Я сделал поиск по whois, но не получил много информации об этом.

В любом случае, как вы предложили, эти шаги решили проблему. Проблема решена с помощью: Свойства Интернета> Параметры локальной сети> Автоматически определять настройки (снимите флажок)