подмена и перехват страницы sberbank.ru

[Vvvyg]

Вадим, спасибо, я скачаю новую версию а старый снесу. у меня 3.4.2 билд 35702, есть 3.4.2 build 39744 от 26 марта. Кто ж такие закладки делает? Ведь фирма предлагает и платный продукт.

Фирма и делает, похоже. Были жалобы, что в каких-то версиях адварные компоненты устанавливались, и чуть не биткойн-майнер.

а вот еще насчет Firefox, запоминание истории, ее ведь лучше не запоминать? Сбивается настройка "не запоминать" на "ваши настройки хранения". Переустановить Фокса?

Переустановите. Только удаляйте с пользовательскими данными и настройками.

[tol]

а есть какой-нибудь торрент клиент без таких проблем?

[Vvvyg]

Я как-то не пользуюсь клиентами для Windows, на это Zyxel Keenetik есть

BitTorrent на слуху, только с офсайта качайте.

[tol]

ведь снова прописался в Хайджаке...
очищал реестр (regedit) искал по поиску torrent
Все равно после чистки реестра появился...

[Vvvyg]

Ставьте опять ловушку в ProcMon.

[tol]

ссылка на лог http://rghost.ru/7rYnNNsR8
если по поиску в РМ, то он сейчас в Эксплорере

[Vvvyg]

Новый полный образ автозапуска uVS сделайте.

[tol]

лог УВС

[Vvvyg]

Пока идей о новом виновнике нет.
Как снова этот параметр всплывёт в HijackThis, пофиксите. Затем запустите AVZ, меню Сервис -> Поиск данных в реестре, в окно "Образец:" введите

Код:

configspacs.com

Как/если что-то найдётся, отметьте всё и "Создать reg файл с отмеченными ключами". Упакуйте и вложением в тему.

[tol]

нашлось 2 ключа

[Vvvyg]

Выполните скрипт в AVZ:

Код:

begin
 RegKeyParamDel('HKEY_USERS', 'S-1-5-21-2443142181-4032422986-3370787100-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');
  RegKeyParamDel('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'AutoConfigURL');
 RegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings', 'ProxyEnable', 'REG_DWORD', '0');
RebootWindows(false);
end.

После перезагрузки обновите базы AVZ ("Файл" -> "Обновление баз"), выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

[tol]

лог №2

[Vvvyg]

Сделайте лог ComboFix.

[tol]

саму прогу удалить? Было стерто pkunzip, дистрибутив Flas16 и еще чего-то - это нормально?

[Vvvyg]

ComboFix кое-что удаляет по понятным только его автору причинам Но ничего страшного в данном случае нет. c:\windows\pkunzip.pif и c:\windows\pkzip.pif - совершенно ненужные файлы, устанавливает их TotalCommander, install_flashplayer16x32ax_chrd_dn_aaa_aiha.exe - стрёмное имя для установщика Adobe Flash Player, лучше свежий с офсайта качать.
Что там было в файле E:\install.exe - неясно, можете взять его в папке C:\Qoobox\Quarantine\E переименованным с расширением .vir/ Проверьте только на https://www.virustotal.com/en/#file на всякий случай.

Удалите ComboFix, имейте ввиду, что командная строка для удаления будет такая:

Код:

c:\users\Anatol\Downloads\Programs\Combofix\ComboFix.exe /Uninstall

Выполните ещё раз скрипт из сообщения #31.

[tol]

скрипт выполнил, в Хайджаке после перезагрузки не видно, но бывает появляется после запуска. Надо наблюдать?
Снова прописался в Хайджаке... (довольно быстро после запуска компа)

[Vvvyg]

Понаблюдайте. У меня на работе на одном компьютере то же самое вылезло, файрволл корпоративный заблокировал. Поковыряюсь, может, что найду.

[tol]

сочувствую, но надеюсь, что поймаете, наверно так дистанционно не поймешь, где искать. Может, если надо выйти в платежи в интернете, надо сначала проверить Хайджаком (пока проблема не обнаружится). Только вопрос, этот зловред только сберовские страницы подменяет, или может и другие пароли своровать

[Vvvyg]

Сложно сказать. трафик пускается через прокси, а что с ним там делают - кто знает...

[tol]

Cureit нашел Хром, я не помню, чтобы ставил Яндекс броаузер, как бы его удалить? Cureit нашел всякие контейнеры, еще чего-то, но проблема остается...