-
У меня пока нет больше идей.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 36
В общем, проблема не решена. Попробую опять описать картину в целом.
Есть сеть под управлением сервера Active Directory. На выходе в интернет стоит маршрутизатор, на котором поднят и настроен прокси сервер. Машины в сети для доступа к интернету используют два файла:
- firefox_login.vbs (файл говорит браузерам (Firefox), чтобы те использовали авто-настройку прокси)
- file.dat (js-скрипт, выдающий конкретному браузеру конкретную пару IPort прокси сервера)
Одним прекрасным утром одна из машин сообщила о проблемах с браузером. Вместо авто-настройки браузер теперь при каждом старте настраивался на прокси по URL автоматической настройки прокси сервиса: https://erinope.com/recfor/today.ruy.
В первую очередь отпали подозрения на AD сервер и шлюз, поскольку заболела только одна машина. Во вторую очередь на больной машине была запущена сначала проверка штатным антивирусом (MS Security Essentials), а также ручной поиск странных процессов в стандартном диспетчере задач. Единственный процесс, показавшийся мне странным - FlashUtil32_14_0_0_180_ActiveX - был моментально и беспощадно выпилен, что, к слову, не решило проблему. Затем был выпилен бинарник этого процесса из C:\Windows\System32\Macromed\Flash, а затем и все содержимое папки (да, топорно, через Shift+Del), и на его место поставлен скаченный с офф сайта флэш плагин.
После осознания бесполезности этих действий был скачан AVZ, и система была просканирована просто через кнопку "Старт". Ничего не найдя, я включил AVZPM и снова просканировал систему. Для успешного использования этой программой нужно понимать, что делает программа и понимать, что делаешь ты сам. Насколько я могу судить - она ничего не сделала или просто ничего не нашла. Затем была найдена на этом форме тема с похожей проблемой, по которой я скачал и запустил ComboFix, который также ничего не сделал. Вернее, если что-либо он и сделал, то это не решило проблему. Затем система была просканирована свежим CureIT!, который показал, что все чисто, и, наконец, были собраны логи AVZ и HiJackThis для создания этой темы. В период обсуждения браузер был переустановлен. Ни в одном из собранных за время обсуждения логе нет следов подмены настройки браузера, однако настройка меняется при каждом старте браузера, независимо от наличия подключения к сети и других танцев.
В данный момент проблема сохраняется. Как говорится, any ideas?
- - - Добавлено - - -
Нашелся зловред. Используя инструменты из пакета SysInternals Suite, был найден явно "левый" драйвер catchme.sys. Он также встречался в логах AVZ, но я почему то проглядел его... дважды...
Скриншоты логов AVZ:
https://yadi.sk/i/ptQC-ITQX7w2X
https://yadi.sk/i/epIfbVZwX7wLK
Удалить его удалось только после закрытия всех браузеров и процесса explorer.exe. Со слов нашедшего эту болячку админа, зараза: "прописалась в службы, и вообще в HKLM вот что примечательно", несмотря на то, что у пользователя отсутствуют права, хоть сколько-нибудь позволяющие такое. В подобных случаях, как выясняется, папки Temp очищать нужно в первую очередь
Благодарю хелперов за участие и помощь! Тему можно закрывать.
Последний раз редактировалось aneye; 22.07.2014 в 20:17.
Причина: убрал ссылку
-
Нашелся зловред. Используя инструменты из пакета SysInternals Suite, был найден явно "левый" драйвер catchme.sys
Это не зловред, а драйвер от Combofix.
-
-
Сообщение от
mike 1
Это не зловред, а драйвер от Combofix.
и удалять его надо было штатным образом
Удалите ComboFix
в вашем случае после ручного выкорчёвывания наверно лучше использовать второй способ, с помощью OTCleanIt.
-
-
Junior Member
- Вес репутации
- 36
Как тогда объяснить решение проблемы, после его удаления? Его не давал удалить сначала один браузер, потом второй, потом вообще explorer...