Прописывается левый прокси-сервер в браузеры

1. Bogdan Bogdanov (13.08.2012 / 00:27)
Вообщем проблема такая, в браузер прописывается прокси сервер http://reezz.com/Bg43ZV623/proxy.pac при этом начинает жутко тормозить скорость загрузки страниц, в хроме и опере отключил прокси в настройках, а в файрфоксе отключение не канает, при каждом перезапуске браузер снова использует его. Как удалить эту заразу? Проверял комп 2 антивирусниками - ничего, и в реестре эту байду удалял - тоже ничего.

2. Mafia (13.08.2012 / 00:35)
комп перезагружал?

3. Bogdan Bogdanov (13.08.2012 / 00:36)
Ну разумеется.

4. Антон (13.08.2012 / 00:41)
может банальный инжект в процесс, с изменением данных в памяти по нужному адресу, в данном случае, ячейки отвечающей за прокси на свою. скорее всего для сбора данных. писал похожу вещь пару лет назад. поставь Anvir Task Manager. При инжекте, заражающий процесс сидит в памяти с хуком

5. Apeccc (13.08.2012 / 00:47)
Dr.Web CureIT в помощь.
Серьезно.

6. Bogdan Bogdanov (13.08.2012 / 01:06)

Закройте все программы, выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFileF('C:\Users\Администратор\AppData\Roaming\', '*.exe', false, '', 0, 0);
QuarantineFile('C:\Windows\system32\rpjobcf.dll','');
QuarantineFile('C:\Users\Администратор\AppData\Roaming\dln.exe','');
QuarantineFile('C:\Windows\system32\4EF9.tmp','');
QuarantineFile('C:\Users\Администратор\AppData\Roaming\elro.exe','');
DeleteFile('C:\Windows\system32\rpjobcf.dll');
DeleteFile('C:\Windows\system32\4EF9.tmp');
DeleteFile('C:\Users\Администратор\AppData\Roaming\elro.exe');
DeleteFile('C:\Users\Администратор\AppData\Roaming\dln.exe');
DeleteFileMask('C:\Users\Администратор\AppData\Roaming\', '*.exe', false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится, После перезагрузки:
- выполните такой скрипт

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения. с указанием пароля: virus в теле письма.

Пофиксите в HJT:

Код:
O20 - AppInit_DLLs: C:\Windows\system32\rpjobcf.dll
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

пока проделываю это, дальше буду пробовать ваши варианты. спасибо.

7. Антон (13.08.2012 / 01:08)
ну вот и инжектируемая dll всплыла =)

8. Bogdan Bogdanov (13.08.2012 / 01:12)
7. Borland.Delphi, тоесть? это лишь копипаст с форума, а не мой лог...)

9. Антон (13.08.2012 / 01:14)
блин, я то подумал твой лог(

10. Bogdan Bogdanov (13.08.2012 / 01:16)
Первое действие мне ничего не дало.

Пофиксите в HJT:
Код:
O20 - AppInit_DLLs: C:\Windows\system32\rpjobcf.dll

Этого у меня нету. Сейчас сканирую комп Malwarebytes' Anti-Malware, если не поможет буду пробовать ту софтину, которую ты посоветовал.

11. Антон (13.08.2012 / 01:19)
в ней обрати внимание на красные процессы. я когда похожую вещь отлавливаю держу в голове список "нормальных и родных" процесов, чтобы лишнего не замочить, после того как найдешь, кликни на доп инфо, узнаешь путь, и по пути мочи =)

12. Станислав (13.08.2012 / 04:22)
Search *.js. Delete. Search fake processes. Delete. Fix it.

13. Bogdan Bogdanov (13.08.2012 / 11:22)
12. SNELS, через какой софт это делать?

14. Bogdan Bogdanov (13.08.2012 / 11:41)
Malwarebytes' Anti-Malware тож ниче не нашел, Anvir Task Manager не понял как им пользоваться, Borland, у меня там все процессы зеленые, красным выделен только OpenVPN но дело не в нем стопудова.

Добавлено через 03:30 сек.
Dr.Web CureITеще попробую, вот дрянь ничем не лечится

15. Bogdan Bogdanov (13.08.2012 / 15:42)

Ужасный У (13 Августа 2012 / 00:47)
Dr.Web CureIT в помощь.
Серьезно.

не помог

16. Кирилл Алексеевич (13.08.2012 / 15:55)
Можно ещё попробовать AVZ4 и лучше в безопасном режиме.

17. Bogdan Bogdanov (13.08.2012 / 19:40)
16. Vegоs, не прокатило

18. Кирилл Алексеевич (13.08.2012 / 20:13)
Ещё можно вот это - http://samlab.ws/soft/avp/ если не поможет, то наверно проще переустановить сис.

19. Apeccc (13.08.2012 / 20:13)

Vegоs (13 Августа 2012 / 20:13)
Ещё можно вот это - http://samlab.ws/soft/avp/ если не поможет, то наверно проще переустановить сис.

Солидарен.
Переустанови ось.

20. Станислав (13.08.2012 / 20:33)
13. Bogdan, да фиг знает на счёт софта. Руками через поиск. Ну, собственно, автозагрузку посмотреть, посмотреть службы всякие. Короче, всё на предмет подозрительности. Не так много вариантов там =)

21. Bogdan Bogdanov (14.08.2012 / 12:53)
Да чет не в прикол ось преустанавливать из-за этой байды, в принципе мне не мешает, я во всех браузерах прокси отрубли и все путем, чисто в файрфоксе сама эта хрень включается при каждом запуске (им не я пользуюсь), но удалить все равно не мешало бы. Ладно всем спасибо, может еще чего нарою.

22. Bogdan Bogdanov (17.08.2012 / 16:57)
Ладно, тему крою тогда раз ничего не помогает.

URL: https://visavi.net/topics/33875