Вообщем проблема такая, в браузер прописывается прокси сервер http://reezz.com/Bg43ZV623/proxy.pac при этом начинает жутко тормозить скорость загрузки страниц, в хроме и опере отключил прокси в настройках, а в файрфоксе отключение не канает, при каждом перезапуске браузер снова использует его. Как удалить эту заразу? Проверял комп 2 антивирусниками - ничего, и в реестре эту байду удалял - тоже ничего.
может банальный инжект в процесс, с изменением данных в памяти по нужному адресу, в данном случае, ячейки отвечающей за прокси на свою. скорее всего для сбора данных. писал похожу вещь пару лет назад. поставь Anvir Task Manager. При инжекте, заражающий процесс сидит в памяти с хуком
Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.
Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFileF('C:\Users\Администратор\AppData\Roaming\', '*.exe', false, '', 0, 0);
QuarantineFile('C:\Windows\system32\rpjobcf.dll','');
QuarantineFile('C:\Users\Администратор\AppData\Roaming\dln.exe','');
QuarantineFile('C:\Windows\system32\4EF9.tmp','');
QuarantineFile('C:\Users\Администратор\AppData\Roaming\elro.exe','');
DeleteFile('C:\Windows\system32\rpjobcf.dll');
DeleteFile('C:\Windows\system32\4EF9.tmp');
DeleteFile('C:\Users\Администратор\AppData\Roaming\elro.exe');
DeleteFile('C:\Users\Администратор\AppData\Roaming\dln.exe');
DeleteFileMask('C:\Users\Администратор\AppData\Roaming\', '*.exe', false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.
Пофиксите в HJT:
Код:
O20 - AppInit_DLLs: C:\Windows\system32\rpjobcf.dll
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.
пока проделываю это, дальше буду пробовать ваши варианты. спасибо.