Сегодня утром случилась неприятность, браузер перестал открывать сайты. Сразу выяснилось, что прописалась ссылка https://erinope.com/recfor/today.ruy в качестве сценария автонастройки прокси. Читал http://virusinfo.info/showthread.php?t=163330, в общем случае там такая же проблема, только решения мне не подошли, не смог найти паразита.
Использую: Win7 SP1 32 bit, MS Security Essentials (к слову, никак не отреагировал), Firefox. Учетная запись сильно ограничена в правах, админскую использовал только при проведении лечения. CureIT! ничего не нашел.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) aneye, спасибо за обращение на наш форум!
Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Зачем ругаться? Никаких скриптов чужих не запускал, лишь глазами поискал подозрительный файл в %SystemRoot%. Логи переделал, там, в принципе, только AVZPM был включен, я включил его до того, как пришел сюда, на форум.
Пожалуйста! Да, кстати, забыл сказать. 192.168.8.250:3128 - это мой прокси, без него, соответственно, никуда не пускает и до липового файла настройки прокси браузер таки не смог добраться.
Файл не найден на машине. Это мой proxy-auto-discovery, раздается через GPO с сервера AD. Даже не раздается, а с сетевого размещения просто выполняется. Файл проверял - он чист.
По поводу браузеров - нет, проверил Yandex browser и IE9 (у них одна и та же настройка) - все чисто, никаких посторонних ссылок.
Отключение машины полностью от сети не влияет на появление этого URL. В файле firefox_login.vbs прописана настройка для Firefox - "Автоматически определять настройки прокси для этой сети". Несколько машин в сети работает, они именно так и самонастраиваются. Плюс стоит шлюз, на котором, собственно, поднят SQUID (прокси), там же лежит файл настройки непосредственно IP и порта прокси. Браузер при старте через firefox_login.vbs забирает конкретные параметры прокси сервера и работает. Но на одной из машин зловред переписывает эту настройку своим URL'ом, при этом остальные машины работают корректно. Перезагрузка всей машины в целом на работе браузера не сказывается и никак на нее не влияет. В общем-то, скрипт firefox_login.vbs отрабатывает только при старте браузера. Точно также ведет себя и зараза - все портит при старте именно браузера.
Какие-нибудь расширения в файрфоксе на этой машине установлены? Если да, то попробуйте их отключить и проверить.
+ Проверьте если при запуске огнелиса в безопасном режиме проблема наблюдается?
Сделайте лог Process Monitor следующим образом: запустите Process Monitor; воспроизведите проблему, затем сохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, например http://rghost.ru
Все остальные и фоновые программы по возможности на это время закройте.
Что я сделал: был запущен Firefox, в нем был настроен мой прокси, все работало; запустил Process Monitor; закрыл браузер; открыл браузер; зашел в настройки браузера; сохранил лог Process Monitor.
Последний раз редактировалось aneye; 22.07.2014 в 15:20.
Причина: добавил последовательность действий
Скачайте утилиту MiniToolBox и сохраните на рабочем столе.
Запустите, отметьте следующие пункты:
Список настроек прокси Internet Explorer
Список настроек прокси Firefox
Список из файла Hosts
Список настроек IP
Список настроек Winsock
Список последних 10 записей журнала событий
Список установленных программ
Только проблемных
и нажмите Старт.
После завершения сбора информации откроется отчет Result.txt, прикрепите его к своему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.
Вот так удар по безопасности сети Просканил, это все вроде как статическая информация, в момент сканирования ничего не делал, браузер был закрыт (предварительно в нем был прописан мой прокси (чтобы скачать сам MiniToolBox)). После запуска браузера зловредный URL опять на своем месте, сволочь... Да, он постоянно появляется при старте браузера.