В настройках IE постоянно включается прокси-сервер, отключение не помогает. Браузеры открывают при запуске левые сайты, а не то что стоит в настройках. Проверка утилитами не помогла.
В настройках IE постоянно включается прокси-сервер, отключение не помогает. Браузеры открывают при запуске левые сайты, а не то что стоит в настройках. Проверка утилитами не помогла.
Уважаемый(ая) -brad-, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Отключите AVZPM и самостоятельно настройки AVZ не меняйте.
Переделайте после этого логи
+
- Скачайте AdwCleaner (by Xplode) и сохраните его на Рабочем столе.
- Запустите его (в ОС Windows Vista/Seven необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" и дождитесь окончания сканирования.
- Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\AdwCleaner[R0].txt.
- Прикрепите отчет к своему следующему сообщению.
Переделал.
Здравствуйте!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\Димон\AppData\Local\DirectXDockMemory\RegFltrX86.sys',''); DeleteFile('C:\Users\Димон\AppData\Local\DirectXDockMemory\RegFltrX86.sys','32'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- Выполните в АВЗ:
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Удалите в AdwCleaner всё кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё).
Профиксите в HijackThis
что с проблемой?Код:R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.apeha.ru R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:29892
Карантин отправил, но прокси всё равно включается.
Вот!
Удалите в MBAM только
после этого деинсталируйте MBAM/Код:Registry Keys: 1 PUP.Optional.SuperFish.A, HKU\S-1-5-21-460386004-1518153553-3382157019-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\DOMSTORAGE\superfish.com, , [e703d0ab473494a2193b2389f1115fa1],
Сделайте полный образ автозапуска uVS только программу скачайте отсюда
Сделал
Выполните скрипт в uVS
что с проблемой?Код:;uVS v3.82.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delref 1HTTP=127.0.0.1:21522 delall %SystemDrive%\USERS\ДИМОН\APPDATA\LOCAL\DIRECTXDOCKMEMORY\REGFLTRX86.SYS restart
лог удаления так и не прикрепили
В AdwCleaner удалил всё. Выполнил скрипт в uVS, но ничего не изменилось. Прокси я могу отключить, но после выключения-включения браузера он опять появляется.
и утилиты от яндекса и mail.ru тоже ? В последнем логе uVS они видны
+ Сделайте лог ComboFix
Вот лог AdwCleaner и ComboFix
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: Driver:: Folder:: Registry:: DDS:: uInternet Settings,ProxyOverride = <local>;*origin.com;*ea.com;*akamaihd.net uInternet Settings,ProxyServer = http=127.0.0.1:33055 FileLook:: DirLook:: Reboot::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
+ сделайте новый лог uVS.
Выполнил.
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.Код:KillAll:: File:: c:\users\Димон\AppData\Local\DirectXDockMemory\RegFltrX86.sys Driver:: RegFltrX86 Folder:: Registry:: DDS:: uInternet Settings,ProxyOverride = <local>;*origin.com;*ea.com;*akamaihd.net uInternet Settings,ProxyServer = http=127.0.0.1:33055 Reboot::
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
Выполните скрипт в uVS
сделайте новый образ автозапуска.Код:;uVS v3.82.8 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 delall %SystemDrive%\USERS\ДИМОН\APPDATA\LOCAL\DIRECTXDOCKMEMORY\REGFLTRX86.SYS deldir %SystemDrive%\USERS\ДИМОН\APPDATA\LOCAL\YANDEX\UPDATER delref 1HTTP=127.0.0.1:33055 delref HTTP=127.0.0.1:24458 delref %SystemDrive%\USERS\ДИМОН\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\APPLICATION\32.0.1700.12508\DELEGATE_EXECUTE.EXE delref %SystemDrive%\PROGRAM FILES\MAIL.RU\GUARD\GUARDMAILRU.EXE delref HTTP://GO.MAIL.RU/SEARCH?FR=FFTB&Q= delref HTTP://GO.MICROSOFT.COM/FWLINK/?LINKID=54896 delref HTTP://MAIL.RU/CNT/7993/ delref HTTP://WWW.YANDEX.RU/?WIN=100&CLID=1946475-10361 restart
Выполнил всё, но ничего не изменилось. Прокси постоянно включается с разными портами.
Удалите ComboFix
Сделайте лог Process Monitor следующим образом: запустите Process Monitor; меню Options -> включите флажок Enable Boot Logging; перезагрузитесь; после этого воспроизведите проблему, затем запустите Process Monitor и сохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, например http://rghost.ru
Уважаемый(ая) -brad-, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.