# Форум на русском языке  > Помогите!  >  Настраивает браузер на прокси

## aneye

Здравствуйте!

Сегодня утром случилась неприятность, браузер перестал открывать сайты. Сразу выяснилось, что прописалась ссылка https://erinope.com/recfor/today.ruy в качестве сценария автонастройки прокси. Читал http://virusinfo.info/showthread.php?t=163330, в общем случае там такая же проблема, только решения мне не подошли, не смог найти паразита.
Использую: Win7 SP1 32 bit, MS Security Essentials (к слову, никак не отреагировал), Firefox. Учетная запись сильно ограничена в правах, админскую использовал только при проведении лечения. CureIT! ничего не нашел.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Info_bot

Уважаемый(ая) *aneye*, спасибо за обращение на наш форум! 

 Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

 Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

----------


## regist

> только решения мне не подошли


зато могли навредить. Не используйте скрипты написанные для других.

+ накрутили настройки AVZ  :Sad: /
Отключите AVZPM и настройки самостоятельно не меняйте.

переделайте логи.

+ *Сделайте полный образ автозапуска uVS* только программу скачайте отсюда

----------


## aneye

Зачем ругаться?  :Smiley:  Никаких скриптов чужих не запускал, лишь глазами поискал подозрительный файл в %SystemRoot%. Логи переделал, там, в принципе, только AVZPM был включен, я включил его _до_ того, как пришел сюда, на форум.

----------


## regist

> Зачем ругаться?  Никаких скриптов чужих не запускал, лишь глазами поискал подозрительный файл


Combofix запускали, а уже только этого иногда достаточно чтобы завалить систему  :Sad: . 
Приложите его лог.

----------


## aneye

> Приложите его лог.


Пожалуйста! Да, кстати, забыл сказать. 192.168.8.250:3128 - это мой прокси, без него, соответственно, никуда не пускает и до липового файла настройки прокси браузер таки не смог добраться.

----------


## regist

Поищите на компьютере файл 

```
firefox_login.vbs
```

 если найдете
Заархивируйте в zip архив с паролем virus и загрузите по ссылке *Прислать запрошенный карантин*  вверху темы.

+ проблема во всех браузерах наблюдается?

----------


## aneye

Файл не найден на машине. Это мой proxy-auto-discovery, раздается через GPO с сервера AD. Даже не раздается, а с сетевого размещения просто выполняется. Файл проверял - он чист.

По поводу браузеров - нет, проверил Yandex browser и IE9 (у них одна и та же настройка) - все чисто, никаких посторонних ссылок.

----------


## regist

Попробуйте переставить Файрфокс и проверить проблему.

----------


## aneye

Попробовал - не помогло, злостный URL остается возвращается при каждом старте браузера  :Sad:

----------


## regist

> Это мой proxy-auto-discovery, раздается через GPO с сервера AD. Даже не раздается, а с сетевого размещения просто выполняется.


временно отключите и проверяйте.

+ Прокси заново прописывается при перезагрузке компьютера или как?

----------


## aneye

Отключение машины полностью от сети не влияет на появление этого URL. В файле firefox_login.vbs прописана настройка для Firefox - "Автоматически определять настройки прокси для этой сети". Несколько машин в сети работает, они именно так и самонастраиваются. Плюс стоит шлюз, на котором, собственно, поднят SQUID (прокси), там же лежит файл настройки непосредственно IP и порта прокси. Браузер при старте через firefox_login.vbs забирает конкретные параметры прокси сервера и работает. Но на одной из машин зловред переписывает эту настройку своим URL'ом, при этом остальные машины работают корректно. Перезагрузка всей машины в целом на работе браузера не сказывается и никак на нее не влияет. В общем-то, скрипт firefox_login.vbs отрабатывает только при старте браузера. Точно также ведет себя и зараза - все портит при старте именно браузера.

----------


## regist

Какие-нибудь расширения в файрфоксе на этой машине установлены? Если да, то попробуйте их отключить и проверить.
+ Проверьте если при запуске огнелиса в безопасном режиме проблема наблюдается?

----------


## aneye

Стоят Adblock+ и Speed Dial (*не* FVD). Выключил, перезапустил - все то же самое. Запуск в безопасном режиме также ничего не изменил. Фигня какая-то  :Sad:

----------


## regist

Сделайте лог Process Monitor следующим образом: запустите Process Monitor; воспроизведите проблему, затем сохраните лог: меню File -> Save -> PML-формат; заархивируйте и выложите на файлообменник, например http://rghost.ru
Все остальные и фоновые программы по возможности на это время закройте.

----------


## aneye

Сделал: линк на rghost

Что я сделал: был запущен Firefox, в нем был настроен мой прокси, все работало; запустил Process Monitor; закрыл браузер; открыл браузер; зашел в настройки браузера; сохранил лог Process Monitor.

----------


## regist

Снова прописался ?


```
https://erinope.com/recfor/today.ruy
```

Нигде в логах его не вижу. Сделайте ещё такой лог

Скачайте утилиту *MiniToolBox* и сохраните на рабочем столе.
Запустите, отметьте следующие пункты:

Список настроек прокси Internet ExplorerСписок настроек прокси FirefoxСписок из файла HostsСписок настроек IPСписок настроек WinsockСписок последних 10 записей журнала событийСписок установленных программТолько проблемных

и нажмите Старт.

После завершения сбора информации откроется отчет *Result.txt*, прикрепите его к своему сообщению. Если вы закрыли отчет утилиты, он будет находиться в той же папке, откуда была запущена утилита.

----------


## aneye

Вот так удар по безопасности сети  :Smiley:  Просканил, это все вроде как статическая информация, в момент сканирования ничего не делал, браузер был закрыт (предварительно в нем был прописан мой прокси (чтобы скачать сам MiniToolBox)). После запуска браузера зловредный URL опять на своем месте, сволочь... Да, он постоянно появляется при старте браузера.

----------


## regist

> Список настроек прокси Firefox


Эту галочку перед сканированием ставили? 

+ на всякий случай проверьте в свойства ярлыка для запуска лисы ничего лишнего не приписано?

----------


## aneye

Галочку "Список настроек прокси Firefox" ставил, да. В свойствах все чисто, только запуск firefox.exe

----------


## regist

У меня пока нет больше идей.

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## aneye

В общем, проблема _не_ решена. Попробую опять описать картину в целом.

Есть сеть под управлением сервера Active Directory. На выходе в интернет стоит маршрутизатор, на котором поднят и настроен прокси сервер. Машины в сети для доступа к интернету используют два файла:
firefox_login.vbs (файл говорит браузерам (Firefox), чтобы те использовали авто-настройку прокси)file.dat (js-скрипт, выдающий конкретному браузеру конкретную пару IP :Stick Out Tongue: ort прокси сервера)

Одним прекрасным утром *одна* из машин сообщила о проблемах с браузером. Вместо авто-настройки браузер теперь при каждом старте настраивался на прокси по URL автоматической настройки прокси сервиса: https://erinope.com/recfor/today.ruy.

В первую очередь отпали подозрения на AD сервер и шлюз, поскольку заболела только одна машина. Во вторую очередь на больной машине была запущена сначала проверка штатным антивирусом (MS Security Essentials), а также ручной поиск странных процессов в стандартном диспетчере задач. Единственный процесс, показавшийся мне странным - FlashUtil32_14_0_0_180_ActiveX - был моментально и беспощадно выпилен, что, к слову, не решило проблему. Затем был выпилен бинарник этого процесса из C:\Windows\System32\Macromed\Flash, а затем и все содержимое папки (да, топорно, через Shift+Del), и на его место поставлен скаченный с офф сайта флэш плагин.

После осознания бесполезности этих действий был скачан AVZ, и система была просканирована просто через кнопку "Старт". Ничего не найдя, я включил AVZPM и снова просканировал систему. Для успешного использования этой программой нужно понимать, что делает программа и понимать, что делаешь ты сам. Насколько я могу судить - она ничего не сделала или просто ничего не нашла. Затем была найдена на этом форме тема с похожей проблемой, по которой я скачал и запустил ComboFix, который также ничего не сделал. Вернее, если что-либо он и сделал, то это не решило проблему. Затем система была просканирована свежим CureIT!, который показал, что все чисто, и, наконец, были собраны логи AVZ и HiJackThis для создания этой темы. В период обсуждения браузер был переустановлен. Ни в одном из собранных за время обсуждения логе нет следов подмены настройки браузера, однако настройка меняется при каждом старте браузера, независимо от наличия подключения к сети и других танцев.

В данный момент проблема сохраняется. Как говорится, any ideas?  :Smiley: 

- - - Добавлено - - -

Нашелся зловред. Используя инструменты из пакета SysInternals Suite, был найден явно "левый" драйвер catchme.sys. Он также встречался в логах AVZ, но я почему то проглядел его... дважды... 

Скриншоты логов AVZ:
https://yadi.sk/i/ptQC-ITQX7w2X
https://yadi.sk/i/epIfbVZwX7wLK

Удалить его удалось только после закрытия всех браузеров и процесса explorer.exe. Со слов нашедшего эту болячку админа, зараза: "прописалась в службы, и вообще в HKLM вот что примечательно", несмотря на то, что у пользователя отсутствуют права, хоть сколько-нибудь позволяющие такое. В подобных случаях, как выясняется, папки Temp очищать нужно в первую очередь  :Smiley: 

Благодарю хелперов за участие и помощь! Тему можно закрывать.

----------


## mike 1

> Нашелся зловред. Используя инструменты из пакета SysInternals Suite, был найден явно "левый" драйвер catchme.sys


Это не зловред, а драйвер от Combofix.

----------


## regist

> Это не зловред, а драйвер от Combofix.


и удалять его надо было штатным образом
Удалите ComboFix
в вашем случае после ручного выкорчёвывания наверно лучше использовать второй способ, с помощью OTCleanIt.

----------


## aneye

Как тогда объяснить решение проблемы, после его удаления? Его не давал удалить сначала один браузер, потом второй, потом вообще explorer...

----------

