Прописывается левый прокси-сервер в браузеры (Стр. 1)

B

Bogdan Bogdanov 12.08.2012 / 20:27 Автор
Гoсподин ПЖ

0

Вообщем проблема такая, в браузер прописывается прокси сервер http://reezz.com/Bg43ZV623/proxy.pac при этом начинает жутко тормозить скорость загрузки страниц, в хроме и опере отключил прокси в настройках, а в файрфоксе отключение не канает, при каждом перезапуске браузер снова использует его. Как удалить эту заразу? Проверял комп 2 антивирусниками - ничего, и в реестре эту байду удалял - тоже ничего.

M

Mafia 12.08.2012 / 20:35
Чатланин

0

комп перезагружал?

B

Bogdan Bogdanov 12.08.2012 / 20:36 Автор
Гoсподин ПЖ

0

Ну разумеется.

Антон 12.08.2012 / 20:41
Старожил вапа, Кодер

0

может банальный инжект в процесс, с изменением данных в памяти по нужному адресу, в данном случае, ячейки отвечающей за прокси на свою. скорее всего для сбора данных. писал похожу вещь пару лет назад. поставь Anvir Task Manager. При инжекте, заражающий процесс сидит в памяти с хуком

Apeccc 12.08.2012 / 20:47
KinG`уренок

0

Dr.Web CureIT в помощь.
Серьезно.

B

Bogdan Bogdanov 12.08.2012 / 21:06 Автор
Гoсподин ПЖ

0

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFileF('C:\Users\Администратор\AppData\Roaming\', '*.exe', false, '', 0, 0);
QuarantineFile('C:\Windows\system32\rpjobcf.dll','');
QuarantineFile('C:\Users\Администратор\AppData\Roaming\dln.exe','');
QuarantineFile('C:\Windows\system32\4EF9.tmp','');
QuarantineFile('C:\Users\Администратор\AppData\Roaming\elro.exe','');
DeleteFile('C:\Windows\system32\rpjobcf.dll');
DeleteFile('C:\Windows\system32\4EF9.tmp');
DeleteFile('C:\Users\Администратор\AppData\Roaming\elro.exe');
DeleteFile('C:\Users\Администратор\AppData\Roaming\dln.exe');
DeleteFileMask('C:\Users\Администратор\AppData\Roaming\', '*.exe', false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
O20 - AppInit_DLLs: C:\Windows\system32\rpjobcf.dll
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

пока проделываю это, дальше буду пробовать ваши варианты. спасибо.

Изменил: Bogdan Bogdanov (12.08.2012 / 21:07)

Антон 12.08.2012 / 21:08
Старожил вапа, Кодер

0

ну вот и инжектируемая dll всплыла =)

Изменил: Антон (12.08.2012 / 21:08)

B

Bogdan Bogdanov 12.08.2012 / 21:12 Автор
Гoсподин ПЖ

0

7. Borland.Delphi, тоесть? это лишь копипаст с форума, а не мой лог...)

Изменил: Bogdan Bogdanov (12.08.2012 / 21:16)

Антон 12.08.2012 / 21:14
Старожил вапа, Кодер

0

блин, я то подумал твой лог(

B

Bogdan Bogdanov 12.08.2012 / 21:16 Автор
Гoсподин ПЖ

0

Первое действие мне ничего не дало.

Пофиксите в HJT:
Код:
O20 - AppInit_DLLs: C:\Windows\system32\rpjobcf.dll

Этого у меня нету. Сейчас сканирую комп Malwarebytes' Anti-Malware, если не поможет буду пробовать ту софтину, которую ты посоветовал.