Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] ProxyServer: что-то меняет значение. (http://forum.oszone.net/showthread.php?t=221490)

anivan 26-11-2011 05:51 1803633
ProxyServer: что-то меняет значение.
 
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ProxyServer (PUM.Bad.Proxy) -> Value: ProxyServer -> Quarantined and deleted successfully.
Удалял это значение,ProxyEnable менял на 0,но через некоторое время меняется обратно
Вот сам сервер 127.0.0.1:53333

S.R 26-11-2011 14:43 1803765
Сейчас гляну.

Отключите:
Антивирус/Файерволл

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить"
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\SET3.tmp.txt','');
 QuarantineFile('kscowyq.sys','');
 DeleteFile('C:\WINDOWS\SET3.tmp.txt');
 DeleteFileMask('C:\WINDOWS\system32\','*.tmp',false);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

ПК перезагрузится. Выполните скрипт в AVZ:

Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отошлите через веб-форму.

Прикрепите логи ComboFix и MBAM

anivan 26-11-2011 16:47 1803819
MBAM позже,долго проверяется,но могу выложить лог быстрой проверки

thyrex 26-11-2011 22:19 1803947
Версия ComboFix устарела. Обновите и переделайте лог

Сделайте такой лог http://support.kaspersky.ru/faq/?qid=208639606

anivan 27-11-2011 01:41 1804031
Вот

S.R 27-11-2011 16:41 1804300
Удалите в MBAM вредоносную запись.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол
Код:
KillAll::

FileLook::
C:\WINDOWS\system32\DRIVERS\tcpip.sys


File::
c:\documents and settings\Admin\Application Data\b2_res.exe


DirLook::


Folder::
C:\MQVaNXtjrn1fE6t


Driver::


Registry::


ClearJavaCache::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

Когда сохранится новый отчет ComboFix, прикрепите его к сообщению.

Вам знакомы эти ДНС:
Код:
212.107.200.68
212.122.1.2

anivan 27-11-2011 16:47 1804304
запись удаляю,восстанавливается через некоторое время
хм,а про днс не знаю

S.R 27-11-2011 16:56 1804310
Выполните тогда манипуляции с ComboFix

DNS из Владивостока.

anivan 28-11-2011 08:13 1804723
Сделал,но все равно проблема осталась

SolarSpark 28-11-2011 08:42 1804733
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

Folder::
C:\5prW8hLjEmfv7eT
C:\2gPzm53eSx227un
DirLook::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Если вы точно не используете прокси для соединения с интернетом, зайдите в папку
c:\documents and settings\Admin\Application Data\Mozilla\Firefox\Profiles\200m5z0p.default\

найдите файл prefs.js, откройте его блокнотом найдите в нем эти строки и удалите:
FF - prefs.js: network.proxy.http - 127.0.0.1
FF - prefs.js: network.proxy.http_port - 53333
В опциях браузера (настройки - дополнительно - сеть - "настроить") окно "параметры соединения" отметьте "без прокси".

далее делаем лог HijackThis + повторяем лог МВАМ

anivan 28-11-2011 11:42 1804798
Вот

zirreX 28-11-2011 15:41 1804964
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:
KillAll::

DDS::
uInternet Settings,ProxyServer = http=127.0.0.1:53333

File::
C:\WINDOWS\System32\drivers\nhirmpxa.sys

Driver::
qoqgof
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Запакуйте пожалуйста папку C:\Qoobox\Quarantine\ с паролем virus и отправьте на quarantine<at>virusnet.info с указанием ссылки на тему в поле заголовка(теме) сообщения.. (at=@)

anivan 29-11-2011 04:27 1805416
Отправить на получилось вот что пришло в ответ
читать дальше »
Это письмо отправлено почтовым сервером yandex.ru. К сожалению, мы вынуждены сообщить Вам о том, что Ваше письмо не может быть отправлено одному или нескольким адресатам. Причины указаны ниже. Пожалуйста, не отвечайте на это сообщение. ********** This is the mail system at host yandex.ru. I'm sorry to have to inform you that your message could not be delivered to one or more recipients. It's attached below. Please, do not reply to this message. <quarantine@virusnet.info>: host mx0.mail5.freehost.com.ua[194.0.200.222] said: 550 User not found (in reply to RCPT TO command) Статус доставки: Reporting-MTA: dns; forward17.mail.yandex.net X-Yandex-Queue-ID: 895E81061B57 X-Yandex-Sender: rfc822; -@yandex.ru Arrival-Date: Tue, 29 Nov 2011 04:21:54 +0400 (MSK) Final-Recipient: rfc822; quarantine@virusnet.info Original-Recipient: rfc822;quarantine@virusnet.info Action: failed Status: 5.0.0 Remote-MTA: dns; mx0.mail5.freehost.com.ua Diagnostic-Code: smtp; 550 User not found

SolarSpark 29-11-2011 08:34 1805457
что с проблемой?

anivan 29-11-2011 10:50 1805531
осталась

zirreX 29-11-2011 11:44 1805578
Проблема во всех браузерах?

Скачайте Kaspersky Virus Removal Tool 2011, загрузившись в безопасном режиме (Safe Mode) просканируйте системный диск.
Отчёт прикрепите к вашему посту.

anivan 29-11-2011 14:10 1805670
нет,в опере и мазиле её нет,но в реестре ,в эксповере,и когда в игру захожу там появляется окошко со страницей о сервере ,которая лежит в интернете,но на её месте ошибка,типа проверти интернет соединение


Время: 23:21.

Время: 23:21.
© OSzone.net 2001-