• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о форуме и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

Вирус на ПК

  • Автор темы Автор темы contE
  • Дата начала Дата начала
C

contE

Новые
Регистрация
26 Мар 2011
Сообщения
77
Реакции
0
Баллы
0
Вирус на ПК

Пролезла какая то дрянь на пк, теперь с него нельзя выйти в интренет. В свойствах обозревателя в прокси прописан некий "theholan.com" и никак не убирается.

Лог uvs приложил
 

Вложения

contE, ВЫПОЛНЯЕМ СКРИПТ В uVS
- скопировать содержимое из поля "Код" в буфер обмена (выделяете текст мышкой, затем щелкаете правой кнопкой мышью и выбираете Копировать);
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, слева наверху выбираете пункт: скрипты - выполнить скрипт из буфера обмена;
- отключаем антивирус и закрываем все браузеры перед выполнением скрипта;
Код: 
;uVS v3.87.8 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref 1192.168.9.101:8080
delref 192.168.9.101:8080
delref HTTP://WWW.BING.COM/SEARCH?Q={SEARCHTERMS}&FORM=IE8SRC
regt 13
deltmp
delnfr
dnsreset
restart
перезагрузка, пишем о старых и новых проблемах.
------------------------
далее, выполните быстрое сканирование в Malwarebytes
 
Не помогло. Возможно причина в том, что эта пакасть отображается на учетке юзера с огр. правами, а uvs я сканировал с админки?
P.s. из обозревателя она пропала, но вот в firefoxe по прежнему сидит.
 

Вложения

  • 1.webp
    1.webp
    26.2 KB · Просмотры: 48
лог malwarebytes
 

Вложения

contE, 3.сделайте проверку в АдвКлинере
http://www.tehnari.ru/f150/t87975/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
-----------
Если не помогло, попробуйте полностью удалить браузер и установить заново.
 
Проверку Адв сделал. Кроме 2 папок mail.ru ничего не нашлось.
Переустановка mozilla, предварительно удалив с помощью revo uninstaller, так же ничего не дала.
 
contE, Посмотрите список расширений браузера, удалите все расширений, проверьте проблему.
 
Расширения проверил в первую очередь, там все чисто.
 
выполняем скрипт в uVS
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код: 
;uVS v3.87.9 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
winsockreset
deltmp
delnfr
restart
перезагрузка, пишем о старых и новых проблемах.
----------
+
проверьте,
(если проблема останется)
возможно ли вручную отключить настройки прокси в браузерах.
 
Ничего не изменилось.
Дело в том что мне нужно не отключить их, а использовать системные настройки прокси, что я и выбираю, после чего инет работает, до тех пор пока не будет перезапущен браузер. "URL автоматической настройки прокси" после перезапуска мозилки выставляется вновь на "theholan" и интернет соответственно не работает.
На пк испульзуется только mozilla, даже explorer отключен.

Еще раз повторю вопрос, возможно ли что лог дал не верную информацию, поскольку делался с админской учетки а не с текущей (на которой наблюдается проблема)? Перепроверил, на самой админке всё здорово, чистенько.

В любом случае заново подготовлю лог Uvs, в этот раз с нужной учетки.
 
Новый лог uvs с учетки пользователя.
 

Вложения

uVS показывает автозапуск по всем учеткам, которые есть в системе. Главное, чтобы uVS был запущен с правами администратора.

вот этот адрес:
192.168.9.101
Нажмите для раскрытия...
это что у вас? роутер? или хост в локальной сети, который для всех является локальным прокси?


Полное имя 192.168.9.101:8080
Имя файла 192.168.9.101:8080
Тек. статус ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ в автозапуске

Удовлетворяет критериям
PROXYSERVER (ССЫЛКА ~ \INTERNET SETTINGS\PROXYSERVER)(1) [auto (0)]

Сохраненная информация на момент создания образа
Статус в автозапуске

Ссылки на объект
Ссылка HKEY_USERS\S-1-5-21-1813714963-4017625400-36648742-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer
ProxyServer 192.168.9.101:8080
Нажмите для раскрытия...
 
в образе ничего подозрительного нет.
проверьте полностью систему с помощью cureit
может курейт что-то обнаружит.
 
К сожалению, я им воспользовался перед тем как обратится сюда, и он ничего не выявил.
 
ComboFix как то неадекватно себя повел. Отключил KES10, отключился от сети, поставил его на сканирование, отошел и вернулся мин через 10, на компе происходило черти что, combofix открывал и закрывал по три окна в секунду, а сам exe файл пропал с рабочего стола. После ребута почти на каждое мое действие выдавалась ошибка. В конечном итоге пришлось делать восстановление с контрольной точки.

Гуглил данную проблему с "URL автоматической настройки прокси", выходил на подобные форумы и темы. Там так же uvs, avz, malwarebytes, combofix ничего не выявляли :(
Некоторым помогало удаление строчки url внутри файла prefs.js и user.js, что лежат в профиле firefox, но мне это ничего не дает. В первом случае, после перезапуска строка вновь на месте, а во втором - файл user.js просто отсутствует.

Так же пробовал скопировать содержимое профиля ff на админке и заменить те что находятся у юзера. Эффект все тот же, http://theholan.com/7PU3mb/r73H.euh так и сидит...

Браузер кстати вновь удалил, почистил реестр ссleaner, и поставил новый, актуальную версию.
 
систему откатили на момент, когда не было этой проблемы с левым прокси?

можно еще проверить утилитой от ЛК

Утилита для лечения последствий заражения Trojan-Banker.Win32.Capper


Утилита для лечения последствий заражения Trojan-Banker.Win32.Capper

1. Признаки заражения

Вредоносная программа Trojan-Banker.Win32.Capper прописывает специальный url-адрес в параметрах автоматической настройки прокси-сервера в установленных веб-браузерах Internet Explorer, Mozilla Firefox, Opera, Google Chrome (использует настройки Internet Explorer).
 
@contE,
возможно откатить систему на момент, когда не было левого прокси?
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху