Вирус, максирующийся под privoxy.exe, и прочие вредоносные программы.

**Кирилл Терещук** · 30.11.2015, 19:57

Здравствуйте.

Обнаружил, что на компьютере есть программа privoxy со своей службой, которая ставит в настройках всего, что выходит в Интернет (в том числе Настройки Интернета в панели управления Windows), прокси через локалхост, который по идее должна добавлять рекламу во все мои браузеры. Проблема в том, что несмотря на любое удаление или использование CureIT/KVRT в Безопасном режиме, Привокси возникает снова и снова после перезагрузки через день-другой, несмотря на то, что ловить мне его больше негде, так как мой Firefox обвешан NoScript, Ghostery и прочими вещами. Эти две антивирусные программы, CureIT/KVRT, кстати, ведут себя странно, то принимают Привокси за вирус, то нет, иногда находили целые трояны, а после не находят ничего.

Пункт первый Диагностики не выполнял, потому что у меня 64-битная система, поэтому лога всего два.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 30.11.2015, 19:58

Уважаемый(ая) Кирилл Терещук, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**thyrex** · 30.11.2015, 21:00

Скачайте Farbar Recovery Scan Tool

и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите этот отчет в следующем сообщении.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). Пожалуйста, и его тоже прикрепите в следующем сообщении.

**Кирилл Терещук** · 30.11.2015, 21:08

Пожалуйста.

**Vvvyg** · 02.12.2015, 10:00

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Код:

CreateRestorePoint:
ProxyServer: [S-1-5-21-239968906-637643123-3086194783-1000] => 127.0.0.1:8118
CHR HKU\S-1-5-21-239968906-637643123-3086194783-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
CHR HKU\S-1-5-21-239968906-637643123-3086194783-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [fcfenmboojpjinhpgggodefccipikbpd] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
S4 PrivoxyService; C:\Program Files (x86)\Softcomp Software\privoxy.exe [371200 2015-11-30] (The Privoxy team - www.privoxy.org) [File not signed] <==== ATTENTION
2015-11-25 20:52 - 2013-12-05 19:55 - 00000000 ____D C:\Users\wangjihua
2015-11-25 20:52 - 2013-12-05 19:14 - 00000000 ____D C:\Users\wangzhisong
C:\Program Files (x86)\Softcomp Software
Task: {91E7FFCF-2CF4-4777-B410-B4B125368A2F} - \Admin Cleaner -> No File <==== ATTENTION
EmptyTemp:
Reboot:

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.
Отключите до перезагрузки антивирус, закройте все браузеры, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**Кирилл Терещук** · 02.12.2015, 18:44

Пожалуйста.

**Vvvyg** · 02.12.2015, 20:54

Проблема решена?

**Кирилл Терещук** · 02.12.2015, 21:16

Если честно, понятия не имею. Он всегда через пару дней появлялся снова, поэтому так сразу трудно сказать.

**Vvvyg** · 02.12.2015, 21:26

Само собой такое не появляется. Что-то запускаете или устанавливаете нехорошее.

Загрузите SecurityCheck by glax24 отсюда и сохраните на Рабочем столе.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**Кирилл Терещук** · 03.12.2015, 22:08

К сожалению, я не могу скачать эту программу оттуда, даже после регистрации: "У Вас нет прав для просмотра этой страницы или для выполнения этого действия."

upd: по ссылке не работало, но я зашёл в тему вручную и скачал. Вот лог:

**Vvvyg** · 03.12.2015, 22:25

Windows Firewall (MpsSvc) - The service has stopped

Системный брандмауэр лучше включить и настроить, снижает угрозу проникновения.

Windows Defender (disabled and up to date)

Тоже лучше включить, какой-никакой а антивирус.

Microsoft Silverlight v.5.1.40620.0 Warning! Download Update
Bonjour v.3.0.0.10 Warning! Download Update
iTunes v.12.1.2.27 Warning! Download Update

Эти приложения лучше иметь обновлёнными, есть уязвимости, используемые для взлома системы.

**Кирилл Терещук** · 04.12.2015, 20:09

Бонжур удалил, Сильверлайт и айТьюнс обновил. Спасибо! Пока вроде прокси не появляется.

**Vvvyg** · 04.12.2015, 21:16

Удалите папку C:\FRST со всем содержимым.

Выполните рекомендации после лечения.

**Кирилл Терещук** · 06.12.2015, 18:58

Спасибо вам огромное за помощь!

**Кирилл Терещук** · 09.12.2015, 00:44

Здравствуйте, а как-то можно переоткрыть тему? Просто произошло то, о чем и я говорил, после пары дней затишья всё вернулось:

- настройки браузера Firefox сбросились (замечал такое раньше, обнулились все исключения NoScript и Ghostery, хистори, настройки плагинов, настройки интерфейса и приватности), прокси браузера установилась на "использовать системную прокси"

- в системную прокси прописалась локальная прокси

- появились adware Privoxy и HDFG web

Заметил я это только потому, что программа HDFG web вылетела с ошибкой, о чем система выдала уведомление

При этом я не включаю никаких екзешников и прочих подозрительных файлов из сети, плагины против скриптов стоят, да и вообще я никогда ранее не ловил столь приставучую заразу. То есть, я никогда не был настолько глупым юзером, что постоянно ловил мелвейр и трояны. Такое ощущение, что она таки прописалась где-то в системе и всегда через некоторое время возникает вновь. Это не завязано ни на какие мои действия, просто вычищаю и через пару дней набор появляется заново. Может, это какой-то глубокий троян или руткит? Я слышал, что ставящий привокси троян как-то встраивается в браузер..

Флешками не пользовался долгие годы..

**Vvvyg** · 09.12.2015, 00:56

Обновите базы AVZ - и новые логи, как вначале...

**Кирилл Терещук** · 09.12.2015, 01:10

Держите.. Фарбар и пройтись CureIT нужно?

**Vvvyg** · 09.12.2015, 08:38

Выполните скрипт в AVZ:

Код:

begin
 QuarantineFile('C:\Program Files (x86)\Application Installer\ApplicationInstaller.exe', '');
 DeleteFile('C:\Program Files (x86)\Application Installer\ApplicationInstaller.exe', '32');
 DeleteFileMask('C:\Program Files (x86)\Application Installer', '*', true);
 DeleteDirectory('C:\Program Files (x86)\Application Installer');
 DelBHO('{CCF151D8-D089-449F-A5A4-D9909053F20F}');
 DelBHO('{0C4CC089-D306-440D-9772-464E226F6539}');
 ExecuteFile('schtasks.exe', '/delete /TN "Application Installer Uninstaller" /F', 0, 15000, true);
 DelCLSID('{dd230880-495a-11d1-b064-008048ec2fc5}');
ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
RebootWindows(false);
end.

Компьютер перезагрузится.
Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Далее делайте логи FRST, дополнительно установите галочку "90 Days Files".

**Кирилл Терещук** · 09.12.2015, 17:50

Пожалуйста.

**Vvvyg** · 09.12.2015, 19:13

Примените такой fixlist.txt:

Код:

CreateRestorePoint:
(The Privoxy team - www.privoxy.org) C:\Program Files (x86)\Softcomp Software\privoxy.exe
R2 PrivoxyService; C:\Program Files (x86)\Softcomp Software\privoxy.exe [371200 2015-12-08] (The Privoxy team - www.privoxy.org) [File not signed] <==== ATTENTION
2015-12-08 18:48 - 2015-12-08 18:48 - 00000000 ____D C:\Program Files (x86)\Softcomp Software
Reboot:

После перезагрузки прикрепите Fixlog.txt.

Вирус, максирующийся под privoxy.exe, и прочие вредоносные программы. (заявка № 193670)

Опции темы