Вирус на ПК - Страница 2

contE · 01.02.2017, 13:14

Новый лог uvs с учетки пользователя.

safety · 01.02.2017, 13:44

uVS показывает автозапуск по всем учеткам, которые есть в системе. Главное, чтобы uVS был запущен с правами администратора.

вот этот адрес:

Цитата:

192.168.9.101

это что у вас? роутер? или хост в локальной сети, который для всех является локальным прокси?

Цитата:

Полное имя 192.168.9.101:8080
Имя файла 192.168.9.101:8080
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
PROXYSERVER (ССЫЛКА ~ \INTERNET SETTINGS\PROXYSERVER)(1) [auto (0)]

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-1813714963-4017625400-36648742-1001\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\ProxyServer
ProxyServer 192.168.9.101:8080

contE · 02.02.2017, 05:49

Цитата:

Сообщение от safety

это что у вас? роутер? или хост в локальной сети, который для всех является локальным прокси?

Верно, это наш локальный прокси-сервер.

safety · 02.02.2017, 05:59

в образе ничего подозрительного нет.
проверьте полностью систему с помощью cureit
может курейт что-то обнаружит.

contE · 02.02.2017, 08:37

К сожалению, я им воспользовался перед тем как обратится сюда, и он ничего не выявил.

Аркалык · 02.02.2017, 19:51

contE, сделайте лог ComboFix: Как сделать лог с помощью утилиты ComboFix ?

contE · 03.02.2017, 08:23

ComboFix как то неадекватно себя повел. Отключил KES10, отключился от сети, поставил его на сканирование, отошел и вернулся мин через 10, на компе происходило черти что, combofix открывал и закрывал по три окна в секунду, а сам exe файл пропал с рабочего стола. После ребута почти на каждое мое действие выдавалась ошибка. В конечном итоге пришлось делать восстановление с контрольной точки.

Гуглил данную проблему с "URL автоматической настройки прокси", выходил на подобные форумы и темы. Там так же uvs, avz, malwarebytes, combofix ничего не выявляли

Некоторым помогало удаление строчки url внутри файла prefs.js и user.js, что лежат в профиле firefox, но мне это ничего не дает. В первом случае, после перезапуска строка вновь на месте, а во втором - файл user.js просто отсутствует.

Так же пробовал скопировать содержимое профиля ff на админке и заменить те что находятся у юзера. Эффект все тот же, http://theholan.com/7PU3mb/r73H.euh так и сидит...

Браузер кстати вновь удалил, почистил реестр ссleaner, и поставил новый, актуальную версию.

safety · 03.02.2017, 08:53

систему откатили на момент, когда не было этой проблемы с левым прокси?

можно еще проверить утилитой от ЛК

Утилита для лечения последствий заражения Trojan-Banker.Win32.Capper

Утилита для лечения последствий заражения Trojan-Banker.Win32.Capper

1. Признаки заражения

Вредоносная программа Trojan-Banker.Win32.Capper прописывает специальный url-адрес в параметрах автоматической настройки прокси-сервера в установленных веб-браузерах Internet Explorer, Mozilla Firefox, Opera, Google Chrome (использует настройки Internet Explorer).

contE · 03.02.2017, 11:58

Цитата:

Сообщение от safety

систему откатили на момент, когда не было этой проблемы с левым прокси?

Перед установкой combofix.

Цитата:

Сообщение от safety

Утилита для лечения последствий заражения Trojan-Banker.Win32.Capper

Увы и ах, угроз не обнаружено

safety · 06.02.2017, 06:04

@contE,
возможно откатить систему на момент, когда не было левого прокси?

02.02.2017, 05:59	#14 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	в образе ничего подозрительного нет. проверьте полностью систему с помощью cureit может курейт что-то обнаружит.

02.02.2017, 08:37	#15 (permalink)
contE Member Регистрация: 26.03.2011 Сообщений: 77 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	К сожалению, я им воспользовался перед тем как обратится сюда, и он ничего не выявил.

Ads
Яндекс Member Регистрация: 31.10.2006 Сообщений: 40200 Записей в дневнике: 0 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 55070

02.02.2017, 19:51	#16 (permalink)
Аркалык Member Регистрация: 14.04.2012 Сообщений: 5,384 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 2982	contE, сделайте лог ComboFix: Как сделать лог с помощью утилиты ComboFix ?

03.02.2017, 08:23	#17 (permalink)
contE Member Регистрация: 26.03.2011 Сообщений: 77 Сказал(а) спасибо: 0 Поблагодарили 0 раз(а) в 0 сообщениях Репутация: 0	ComboFix как то неадекватно себя повел. Отключил KES10, отключился от сети, поставил его на сканирование, отошел и вернулся мин через 10, на компе происходило черти что, combofix открывал и закрывал по три окна в секунду, а сам exe файл пропал с рабочего стола. После ребута почти на каждое мое действие выдавалась ошибка. В конечном итоге пришлось делать восстановление с контрольной точки. Гуглил данную проблему с "URL автоматической настройки прокси", выходил на подобные форумы и темы. Там так же uvs, avz, malwarebytes, combofix ничего не выявляли Некоторым помогало удаление строчки url внутри файла prefs.js и user.js, что лежат в профиле firefox, но мне это ничего не дает. В первом случае, после перезапуска строка вновь на месте, а во втором - файл user.js просто отсутствует. Так же пробовал скопировать содержимое профиля ff на админке и заменить те что находятся у юзера. Эффект все тот же, http://theholan.com/7PU3mb/r73H.euh так и сидит... Браузер кстати вновь удалил, почистил реестр ссleaner, и поставил новый, актуальную версию.

03.02.2017, 08:53	#18 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	систему откатили на момент, когда не было этой проблемы с левым прокси? можно еще проверить утилитой от ЛК Утилита для лечения последствий заражения Trojan-Banker.Win32.Capper Утилита для лечения последствий заражения Trojan-Banker.Win32.Capper 1. Признаки заражения Вредоносная программа Trojan-Banker.Win32.Capper прописывает специальный url-адрес в параметрах автоматической настройки прокси-сервера в установленных веб-браузерах Internet Explorer, Mozilla Firefox, Opera, Google Chrome (использует настройки Internet Explorer).

06.02.2017, 06:04	#20 (permalink)
safety Member Регистрация: 12.07.2011 Сообщений: 31,192 Записей в дневнике: 6 Сказал(а) спасибо: 1 Поблагодарили 21 раз(а) в 7 сообщениях Репутация: 15348	@contE, возможно откатить систему на момент, когда не было левого прокси?