У меня пока нет больше идей.
Printable View
У меня пока нет больше идей.
В общем, проблема [I]не[/I] решена. Попробую опять описать картину в целом.
Есть сеть под управлением сервера Active Directory. На выходе в интернет стоит маршрутизатор, на котором поднят и настроен прокси сервер. Машины в сети для доступа к интернету используют два файла:
[LIST][*]firefox_login.vbs (файл говорит браузерам (Firefox), чтобы те использовали авто-настройку прокси)[*]file.dat (js-скрипт, выдающий конкретному браузеру конкретную пару IP:Port прокси сервера)[/LIST]
Одним прекрасным утром [B]одна[/B] из машин сообщила о проблемах с браузером. Вместо авто-настройки браузер теперь при каждом старте настраивался на прокси по URL автоматической настройки прокси сервиса: [url]https://erinope.com/recfor/today.ruy[/url].
В первую очередь отпали подозрения на AD сервер и шлюз, поскольку заболела только одна машина. Во вторую очередь на больной машине была запущена сначала проверка штатным антивирусом (MS Security Essentials), а также ручной поиск странных процессов в стандартном диспетчере задач. Единственный процесс, показавшийся мне странным - FlashUtil32_14_0_0_180_ActiveX - был моментально и беспощадно выпилен, что, к слову, не решило проблему. Затем был выпилен бинарник этого процесса из C:\Windows\System32\Macromed\Flash, а затем и все содержимое папки (да, топорно, через Shift+Del), и на его место поставлен скаченный с офф сайта флэш плагин.
После осознания бесполезности этих действий был скачан AVZ, и система была просканирована просто через кнопку "Старт". Ничего не найдя, я включил AVZPM и снова просканировал систему. Для успешного использования этой программой нужно понимать, что делает программа и понимать, что делаешь ты сам. Насколько я могу судить - она ничего не сделала или просто ничего не нашла. Затем была найдена на этом форме тема с похожей проблемой, по которой я скачал и запустил ComboFix, который также ничего не сделал. Вернее, если что-либо он и сделал, то это не решило проблему. Затем система была просканирована свежим CureIT!, который показал, что все чисто, и, наконец, были собраны логи AVZ и HiJackThis для создания этой темы. В период обсуждения браузер был переустановлен. Ни в одном из собранных за время обсуждения логе нет следов подмены настройки браузера, однако настройка меняется при каждом старте браузера, независимо от наличия подключения к сети и других танцев.
В данный момент проблема сохраняется. Как говорится, any ideas? :)
[COLOR="silver"]- - - Добавлено - - -[/COLOR]
Нашелся зловред. Используя инструменты из пакета SysInternals Suite, был найден явно "левый" драйвер catchme.sys. Он также встречался в логах AVZ, но я почему то проглядел его... дважды...
Скриншоты логов AVZ:
https://yadi.sk/i/ptQC-ITQX7w2X
https://yadi.sk/i/epIfbVZwX7wLK
Удалить его удалось только после закрытия всех браузеров и процесса explorer.exe. Со слов нашедшего эту болячку админа, зараза: "прописалась в службы, и вообще в HKLM вот что примечательно", несмотря на то, что у пользователя отсутствуют права, хоть сколько-нибудь позволяющие такое. В подобных случаях, как выясняется, папки Temp очищать нужно в первую очередь :)
Благодарю хелперов за участие и помощь! Тему можно закрывать.
[QUOTE]Нашелся зловред. Используя инструменты из пакета SysInternals Suite, был найден явно "левый" драйвер catchme.sys[/QUOTE]
Это не зловред, а драйвер от Combofix.
[quote="mike 1;1140388"]Это не зловред, а драйвер от Combofix.[/quote]
и удалять его надо было штатным образом
[url="http://virusinfo.info/showpost.php?p=493610&postcount=2"]Удалите ComboFix[/url]
в вашем случае после ручного выкорчёвывания наверно лучше использовать второй способ, с помощью OTCleanIt.
Как тогда объяснить решение проблемы, после его удаления? Его не давал удалить сначала один браузер, потом второй, потом вообще explorer...