Показано с 1 по 18 из 18.

Кто-то ставит proxy на Localhost (заявка № 15052)

  1. #1
    Junior Member Репутация
    Регистрация
    09.12.2007
    Сообщений
    9
    Вес репутации
    60

    Question Кто-то ставит proxy на Localhost

    Ситуация такая - не работает http на компьютере, потому что в реестре возникает строка:

    HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=127.0.0.1:2080

    Если удалить - при первом обращении в сети возникает снова.

    Антивирусы ничего не находят. Кстати, зараза, похоже, сидит в локальной сети местного провайдера - уже второй компьютер тут с такими симптомами. В других местах с таким не сталкивался.

    Попвтки самостоятельно вычислить заразу в логах хайджека ни к чему не привели

    Временно удалось обойти ситуацию, запускаю прогу которая сама работает в качестве локального прокси (кодировщик траффика).
    Но в общем достает ее каждый раз хапускать, чтобы в инет выйти.
    Помогите заразу вытравить!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    А что за программка обитает у вас по адресу
    C:\Program Files\Informatic\Context 5.0\
    (поставлена 12 ноября) - не её ли это "рук" дело?
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    09.12.2007
    Сообщений
    9
    Вес репутации
    60
    Цитата Сообщение от Bratez Посмотреть сообщение
    А что за программка обитает у вас по адресу
    C:\Program Files\Informatic\Context 5.0\
    (поставлена 12 ноября) - не её ли это "рук" дело?
    Это совершенно безобидный словарик, жена им пользуется для работы.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    А-а, вот, как же я сразу не увидел!

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\Documents and Settings\Серж\Local Settings\Temp\winlogon.exe','');
    QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
    QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
    DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
    DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
    DeleteFile('C:\Documents and Settings\Серж\Local Settings\Temp\winlogon.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пришлите карантин по правилам и повторите логи.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    09.12.2007
    Сообщений
    9
    Вес репутации
    60
    Скрипт програл, все отработало нормально. Файлы отправил.
    Новые логи тут.

    Эффект прокси никуда не делся
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Восстановление системы отключите.

    Пофиксите в HijackThis:
    Код:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:2080
    Перезагрузитесь.
    Неужто снова восстановится?

    Добавлено через 48 секунд

    Сделайте дополнительный лог, как написано здесь:
    http://virusinfo.info/showthread.php?t=10387
    Последний раз редактировалось Bratez; 09.12.2007 в 19:07. Причина: Добавлено
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    09.12.2007
    Сообщений
    9
    Вес репутации
    60
    Цитата Сообщение от Bratez Посмотреть сообщение
    Восстановление системы отключите.
    Отключено

    Цитата Сообщение от Bratez Посмотреть сообщение
    Пофиксите в HijackThis:

    Перезагрузитесь.
    Неужто снова восстановится?
    Угу Мистика..

    Да, еще симптом - сразу после перезагрузки винды ломятся в инет...

    Цитата Сообщение от Bratez Посмотреть сообщение

    Сделайте дополнительный лог, как написано здесь:
    http://virusinfo.info/showthread.php?t=10387

    ПРилагаю
    Вложения Вложения
    Последний раз редактировалось Ericsson; 09.12.2007 в 21:30.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В этом логе ничего подозрительного нет.
    А вот нашел в syscheck из сообщения #5:
    Анализатор - изучается процесс 2464 E:\Intpro.exe
    [ES]:Может работать с сетью
    [ES]:Может отправлять почту ?!
    [ES]:Прослушивает порты TCP !
    [ES]:Приложение не имеет видимых окон
    [ES]:Загружает DLL RASAPI - возможно, может работать с дозвонкой ?
    Что это, интересно? Пришлите по правилам.
    I am not young enough to know everything...

  10. #9
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Цитата Сообщение от Bratez Посмотреть сообщение
    Что это, интересно? Пришлите по правилам.
    http://www.ipb.ru/corporate/bank_client/entrance/ Не оно ли?

  11. #10
    Junior Member Репутация
    Регистрация
    09.12.2007
    Сообщений
    9
    Вес репутации
    60
    Это программа для шифрования траффика, Inter-PRO Client.

    Подробно о ней есть, напимер, тут:
    http://itrading.onlinebroker.ru/secur/steps.asp

    Ничего шпионского в ней нет. Я ее использую чтобы в инет хоть как-то ходить, потому что она становится сама в качестве локального прокси и перенаправляет траффик.

    Если ее не загружать, эффект никуда не девается, строчка про прокси таинственным образом появляется опять. НО в веб уже тогда выйти не получается.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Ключевые слова: она становится сама в качестве локального прокси .
    Это imho все таки ее проделки. Ну раз программа легитимная, значит страху нет.

    >> НО в веб уже тогда выйти не получается.
    Ясно море, прокся прописана, а не работает, вот и нету интернэту
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    09.12.2007
    Сообщений
    9
    Вес репутации
    60
    Прогой этой (intpro) я пользуюсь уже лет 5, причем не обновлял ее - так и стоит...

    И раньше такого не было - при выходе она восстанавливала исходные значения прокси (т.е его отсутствие), и в инет можно было нормально ходить.

    А такая фигня как сейчас появилась примерно месяц как.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    А вот в том же логе syscheck в секции Порты TCP/UDP черным по желтому:
    2080 LISTENING 0.0.0.0 2176 [2464] e:\intpro.exe
    Что на это скажете?

    Добавлено через 2 минуты

    Т.е. виновник очевиден, просто может настройки в этой программке посмотреть, ну или переустановить ее...
    Последний раз редактировалось Bratez; 10.12.2007 в 11:50. Причина: Добавлено
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    09.12.2007
    Сообщений
    9
    Вес репутации
    60
    Решил опять поднять тему, просто уезжал в командировку и некогда было заниматся компом.

    Насчет интпро:
    действительно, когда он висит в памяти - он работает как прокси на локалхосте.

    Но загружается и выгружается он только по команде. Специально удалил его из системы и сделал логи еще раз. Строчка про локальный прокси на месте и так же самовосстанавливается. Intpro при этом в памяти нет...
    Вложения Вложения

  16. #15
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Сделайте логи последней версией avz
    Скачать можно сдесь
    Microsoft Most Valuable Professional in Consumer Security

  17. #16
    Junior Member Репутация
    Регистрация
    09.12.2007
    Сообщений
    9
    Вес репутации
    60
    Вот логи от свежей версии
    Вложения Вложения

  18. #17
    Junior Member Репутация
    Регистрация
    09.12.2007
    Сообщений
    9
    Вес репутации
    60
    неужели никаких идей?

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\серж\\local settings\\temp\\winlogon.exe - Trojan-Proxy.Win32.Agent.tp (DrWEB: Trojan.Packed.147)
      2. c:\\windows\\system32\\svchost.exe:ext.exe - Trojan.Win32.Obfuscated.ls (DrWEB: BackDoor.Bolg)
      3. c:\\windows\\system32\\svchost.exe:ext.exe:$data - Trojan.Win32.Obfuscated.ls (DrWEB: BackDoor.Bolg)


  • Уважаемый(ая) Ericsson, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Backdoor, RECYCLED, localhost
      От ToxA в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.05.2009, 08:37
    2. Ответов: 3
      Последнее сообщение: 21.04.2009, 12:41
    3. Firewall +webguard => localhost... Как увидеть реальный IP?
      От ASte в разделе Межсетевые экраны (firewall)
      Ответов: 4
      Последнее сообщение: 10.03.2009, 23:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01477 seconds with 20 queries