Настраивает браузер на прокси

[regist]

У меня пока нет больше идей.

[aneye]

В общем, проблема не решена. Попробую опять описать картину в целом.

Есть сеть под управлением сервера Active Directory. На выходе в интернет стоит маршрутизатор, на котором поднят и настроен прокси сервер. Машины в сети для доступа к интернету используют два файла:

• firefox_login.vbs (файл говорит браузерам (Firefox), чтобы те использовали авто-настройку прокси)
• file.dat (js-скрипт, выдающий конкретному браузеру конкретную пару IPort прокси сервера)

Одним прекрасным утром одна из машин сообщила о проблемах с браузером. Вместо авто-настройки браузер теперь при каждом старте настраивался на прокси по URL автоматической настройки прокси сервиса: https://erinope.com/recfor/today.ruy.

В первую очередь отпали подозрения на AD сервер и шлюз, поскольку заболела только одна машина. Во вторую очередь на больной машине была запущена сначала проверка штатным антивирусом (MS Security Essentials), а также ручной поиск странных процессов в стандартном диспетчере задач. Единственный процесс, показавшийся мне странным - FlashUtil32_14_0_0_180_ActiveX - был моментально и беспощадно выпилен, что, к слову, не решило проблему. Затем был выпилен бинарник этого процесса из C:\Windows\System32\Macromed\Flash, а затем и все содержимое папки (да, топорно, через Shift+Del), и на его место поставлен скаченный с офф сайта флэш плагин.

После осознания бесполезности этих действий был скачан AVZ, и система была просканирована просто через кнопку "Старт". Ничего не найдя, я включил AVZPM и снова просканировал систему. Для успешного использования этой программой нужно понимать, что делает программа и понимать, что делаешь ты сам. Насколько я могу судить - она ничего не сделала или просто ничего не нашла. Затем была найдена на этом форме тема с похожей проблемой, по которой я скачал и запустил ComboFix, который также ничего не сделал. Вернее, если что-либо он и сделал, то это не решило проблему. Затем система была просканирована свежим CureIT!, который показал, что все чисто, и, наконец, были собраны логи AVZ и HiJackThis для создания этой темы. В период обсуждения браузер был переустановлен. Ни в одном из собранных за время обсуждения логе нет следов подмены настройки браузера, однако настройка меняется при каждом старте браузера, независимо от наличия подключения к сети и других танцев.

В данный момент проблема сохраняется. Как говорится, any ideas?

- - - Добавлено - - -

Нашелся зловред. Используя инструменты из пакета SysInternals Suite, был найден явно "левый" драйвер catchme.sys. Он также встречался в логах AVZ, но я почему то проглядел его... дважды...

Скриншоты логов AVZ:
https://yadi.sk/i/ptQC-ITQX7w2X
https://yadi.sk/i/epIfbVZwX7wLK

Удалить его удалось только после закрытия всех браузеров и процесса explorer.exe. Со слов нашедшего эту болячку админа, зараза: "прописалась в службы, и вообще в HKLM вот что примечательно", несмотря на то, что у пользователя отсутствуют права, хоть сколько-нибудь позволяющие такое. В подобных случаях, как выясняется, папки Temp очищать нужно в первую очередь

Благодарю хелперов за участие и помощь! Тему можно закрывать.

[mike 1]

Нашелся зловред. Используя инструменты из пакета SysInternals Suite, был найден явно "левый" драйвер catchme.sys

Это не зловред, а драйвер от Combofix.

[regist]

Это не зловред, а драйвер от Combofix.

и удалять его надо было штатным образом
Удалите ComboFix
в вашем случае после ручного выкорчёвывания наверно лучше использовать второй способ, с помощью OTCleanIt.

[aneye]

Как тогда объяснить решение проблемы, после его удаления? Его не давал удалить сначала один браузер, потом второй, потом вообще explorer...