Kemungkinan proxy memantau lalu lintas virus - bagaimana menentukan penyebab proxy dan maksud proxy?

0

Tadi malam saya perhatikan saya tidak bisa terhubung ke internet. Saya memeriksa instalasi Arch Linux saya, dan itu baik-baik saja. Memang, ponsel Android saya juga baik-baik saja. Setelah beberapa penggalian, saya mencoba untuk menonaktifkan 'Pengaturan Deteksi Otomatis' di Internet Options > LAN Settings.Ini berfungsi. Namun, ini membuat saya sangat khawatir. Saya belum pernah membuat proxy sebelumnya, dan saya tinggal bersama dua orang lain yang tidak paham teknologi. Karena itu, saya khawatir saya mungkin telah mengambil virus yang memantau lalu lintas web saya.

Untuk mendapatkan informasi lebih lanjut, saya mengetik di chrome: chrome://net-internals/#proxy

Yang menunjukkan sebagai berikut:

PAC script: http://wpad/wpad.dat
Source: SYSTEM

Setelah memeriksa di dalam wpad.dat kita melihat javascript berikut:

function FindProxyForURL(url, host) {
    if (isPlainHostName(host) ||
        dnsDomainIs(host, ".windowsupdate.com") ||
        dnsDomainIs(host, ".microsoft.com") ||
        dnsDomainIs(host, ".baidu.com") ||
        dnsDomainIs(host, ".kaspersky.com") ||
        dnsDomainIs(host, ".live.com") ||
        isInNet(host, "10.0.0.0", "255.0.0.0") ||
        isInNet(host, "172.16.0.0", "255.255.224.0") ||
        isInNet(host, "192.168.0.0", "255.255.0.0") ||
        isInNet(host, "127.0.0.0", "255.0.0.0"))
    return "DIRECT";
    else
        return 'PROXY 185.93.3.120:8080';
};

Sejujurnya, saya tidak yakin apa fungsi ini. Dugaan saya adalah bahwa jika URL cocok dengan salah satu nama host berikut, itu akan melayani koneksi langsung. Selain itu, ia akan menggunakan proxy. Ini berarti secara virtual setiap situs web diarahkan melalui proxy itu.

Saya memutuskan untuk menjalankan netstat untuk melihat apakah saya dapat menemukan koneksi ke 185.93.3.120:8080.

C:\Windows\system32>netstat -b

Active Connections

Proto  Local Address          Foreign Address        State
TCP    192.168.8.6:49693      hk2sch130021322:https  ESTABLISHED
WpnService
[svchost.exe]
TCP    192.168.8.6:49715      104.16.60.37:https     ESTABLISHED
[Discord.exe]
TCP    192.168.8.6:49880      hk2sch130021554:https  ESTABLISHED
[OneDrive.exe]
TCP    192.168.8.6:49938      hk2sch130022123:https  ESTABLISHED
WpnService
[svchost.exe]
TCP    192.168.8.6:50076      a104-89-139-149:https  CLOSE_WAIT
[WinStore.App.exe]
TCP    192.168.8.6:50077      a104-89-139-149:https  CLOSE_WAIT
[WinStore.App.exe]
TCP    192.168.8.6:50079      a104-89-139-149:https  CLOSE_WAIT
[WinStore.App.exe]
TCP    192.168.8.6:50467      tl-in-f108:imaps       ESTABLISHED
OneSyncSvc_3b12c
[svchost.exe]
TCP    192.168.8.6:50568      tl-in-f188:5228        ESTABLISHED
[chrome.exe]
TCP    192.168.8.6:50699      ns329092:http          CLOSE_WAIT
[Discord.exe]
TCP    192.168.8.6:50701      ns329092:http          CLOSE_WAIT
[chrome.exe]
TCP    192.168.8.6:50702      ns329092:http          CLOSE_WAIT
[Discord.exe]
TCP    192.168.8.6:50704      ns329092:http          CLOSE_WAIT
[chrome.exe]
TCP    192.168.8.6:50766      ns329092:http          CLOSE_WAIT
[Code.exe]
TCP    192.168.8.6:50870      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50871      67.27.43.254:http      TIME_WAIT
TCP    192.168.8.6:50872      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50873      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50877      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50879      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50880      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50884      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50890      67.27.43.254:http      TIME_WAIT
TCP    192.168.8.6:50892      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50893      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]
TCP    192.168.8.6:50895      67.27.43.254:http      ESTABLISHED
DoSvc
[svchost.exe]

Lain waktu saya lupa flag -b, tetapi saya perhatikan bahwa itu terhubung ke stackoverflow, ketika saya tidak bisa terhubung ke internet sama sekali:

TCP    192.168.8.6:50643      stackoverflow:https    ESTABLISHED

Masalahnya diperbaiki oleh: Properti Internet> Pengaturan LAN> Secara otomatis mendeteksi pengaturan (Hapus centang)

Saya khawatir saya memiliki virus yang memonitor lalu lintas internet saya. Saya baru saja diformat ulang dua minggu lalu, dan belum menginstal antivirus. Wpad.dat memprihatinkan, khususnya return 'PROXY 185.93.3.120:8080';. Saya TIDAK PUNYA IDEA mengapa ada wpad.dat di jaringan saya. Apakah file ini dilayani oleh router? Oleh ISP? Dengan komputer saya? Bagaimana saya bisa tahu apakah ini berbahaya atau tidak?

Untuk memperjelas, saya dapat terhubung sekarang, tetapi saya tidak bisa terhubung kemarin, dan langkah-langkah berikut yang saya ambil di atas adalah mendiagnosisnya. Saya tidak puas dengan internet yang berfungsi sekarang - Saya ingin tahu apa yang salah di sini.

Terima kasih.

proxy  virus  malware  network-monitoring 
Kevin
sumber

Jawaban:

0

im googling ip itu karena dikonfigurasi sebagai winhttp di windows 10 dan prospek tidak dapat terhubung ke 365 pertukaran dengan itu dikonfigurasi, sejak itu saya menemukan bahwa pembaruan windows akan mengubah ini jika rasanya seperti itu? http://datacamp.co.uk/ adalah tujuan ip saya.

proksi reset winhttp netsh

https://support.microsoft.com/en-gb/help/900935/how-the-windows-update-client-determines-which-proxy-server-to-use-to-to

sam
sumber
Apakah Anda kebetulan berada di Hong Kong atau Cina? Saya di Hong Kong - Saya ingin tahu apakah ini ada hubungannya dengan lokasi?
Kevin
Inggris di sini, pembaruan ms mungkin
sam
Ya, tapi mengapa itu berarti kita bisa mengakses http://wpad/wpad.datOS non-windows (misalnya Android) juga?
Kevin
0

Sama di sini, saya juga mendapat masalah ini sejak kemarin. Sama seperti Anda, saya pikir ada virus yang memonitor lalu lintas saya. Saya memeriksa wireshark dan saya dapat menemukan alamat ip ini 185.93.3.120 tetapi paket-paketnya semakin turun. Saya melakukan pencarian whois tetapi tidak mendapatkan banyak informasi tentang itu.

Bagaimanapun seperti yang disarankan oleh Anda, langkah-langkah ini menyelesaikan masalah. Masalah ini diperbaiki oleh: Internet Properties> Pengaturan LAN> Secara otomatis mendeteksi pengaturan (Hapus centang)

kaliber
sumber
1
Apakah Anda kebetulan berada di Hong Kong atau Cina? Saya di Hong Kong - Saya ingin tahu apakah ini ada hubungannya dengan lokasi?
Kevin
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.