# Форум на русском языке  > Помогите!  >  Вирус с прокси сервером [not-a-virus:AdWare.Win32.Tirrip.b, not-a-virus:AdWare.Win32.Tirrip.a
 > ]

## Trampoline

в настройках сети устанавливается прокси сервер
если фиксить этот параметр в реестре через hijackthis, все равно настройка возвращается
вместо нормальных сайтов открываются фишинговые с кучей баннеров
проблема присутствует во всех баннерах
автозагрузку чистил, сканерами сканил - не помогло
пишу с другого компа

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Info_bot

Уважаемый(ая) *Trampoline*, спасибо за обращение на наш форум! 

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

 Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

----------


## thyrex

Выполните скрипт в AVZ


```
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
   SearchRootkit(true, true);
   SetAVZGuardStatus(True);
  end;
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 SetServiceStart('RegFltrX64', 4);
 DeleteService('RegFltrX64');
 SetServiceStart('PirritDesktop', 4);
 DeleteService('PirritDesktop');
 QuarantineFile('C:\Users\Гера\AppData\Local\PirritSuggestor\RegFltrX64.sys','');
 TerminateProcessByName('c:\users\Гера\appdata\local\pirritsuggestor\pirritservice.exe');
 QuarantineFile('c:\users\Гера\appdata\local\pirritsuggestor\pirritservice.exe','');
 TerminateProcessByName('c:\users\Гера\appdata\local\pirritsuggestor\pirritdesktop.exe');
 QuarantineFile('c:\users\Гера\appdata\local\pirritsuggestor\pirritdesktop.exe','');
 DeleteFile('c:\users\Гера\appdata\local\pirritsuggestor\pirritdesktop.exe','32');
 DeleteFile('c:\users\Гера\appdata\local\pirritsuggestor\pirritservice.exe','32');
 DeleteFile('C:\Users\Гера\AppData\Local\PirritSuggestor\RegFltrX64.sys','32');
 DeleteFile('C:\Users\Гера\AppData\Local\Yandex\YandexBrowser\Application\browser.url','32');
 DeleteFile('C:\Windows\system32\Tasks\MetaCrawler','64');
 DeleteFile('C:\Windows\system32\Tasks\DigitalSite','64');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineUA','64');
 DeleteFile('C:\Windows\system32\Tasks\BonanzaDealsLiveUpdateTaskMachineCore','64');
 DeleteFile('C:\Windows\Tasks\MetaCrawler.job','64');
 DeleteFile('C:\Windows\Tasks\DigitalSite.job','64');
 DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineUA.job','64');
 DeleteFile('C:\Windows\Tasks\BonanzaDealsLiveUpdateTaskMachineCore.job','64');
 DeleteFile('C:\Windows\Tasks\AmiUpdXp.job','64');
 DeleteFileMask('c:\users\Гера\appdata\local\pirritsuggestor', '*', true);
DeleteDirectory('c:\users\Гера\appdata\local\pirritsuggestor');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
```

Компьютер перезагрузится.

Пофиксите в HiJack


```
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:9880
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: Визуальные закладки - {D5FEC983-01DB-414a-9456-AF95AC9ED7B5} - (no file)
```

Пришлите карантин согласно *Приложения 2* правил по красной ссылке *Прислать запрошенный карантин* вверху темы

Сделайте новые логи без запущенного AVP Tool

Сделайте лог полного сканирования МВАМ

----------


## Trampoline

фишинговые страницы больше не открываются 
хотя изначально на них браузер хочет перейти, но их не находит
сайты открываются нормально
как мне показалось, прокси сервер перестал работать, но настройка все равно это лезет в систему

----------


## thyrex

Лог МВАМ где?

----------


## Vvvyg

Повторите фикс в HiJackThis, запустив программу от имени администратора, через контекстное меню (правой клавишей мыши по файлу) "Запускать от имени администратора" и сделайте новый лог HijackThis.

----------


## CyberHelper

Статистика проведенного лечения:
Получено карантинов: *1*Обработано файлов: *3*В ходе лечения обнаружены вредоносные программы:
 c:\users\гера\appdata\local\pirritsuggestor\pirrit  desktop.exe - *not-a-virus:AdWare.Win32.Tirrip.a* ( AVAST4: Win32:PirritSuggestor-B [Adw] ) c:\users\гера\appdata\local\pirritsuggestor\pirrit  service.exe - *not-a-virus:AdWare.Win32.Tirrip.b*

----------

