spbpromt 0 Опубликовано 31 мая, 2016 Share Опубликовано 31 мая, 2016 (изменено) Добрый день, прошу помочь, В системе невозможно изменить (удалить) прокси сервер, после рестарта он возвращается, перепробовал десятки способом, описанных в интернете. Отсутствует доступ в и нтернет у многих приложений, включая скайп. Очень прошу помочь. CollectionLog-2016.05.31-14.50.zip Изменено 31 мая, 2016 пользователем spbpromt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 31 мая, 2016 Share Опубликовано 31 мая, 2016 Сделайте лог полного сканирования МВАМ Цитата Ссылка на сообщение Поделиться на другие сайты
spbpromt 0 Опубликовано 31 мая, 2016 Автор Share Опубликовано 31 мая, 2016 (изменено) Лог прикрепляю. Хотел еще добавить ситуация возникла после установки этой программы: AV Voice Changer 8.0.24 Diamond Retail **** Точнее использования лоадера к ней, но саму программу я удалил как и все установочные файлы. log2.txt Изменено 31 мая, 2016 пользователем spbpromt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 31 мая, 2016 Share Опубликовано 31 мая, 2016 Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. 2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files. 3. Нажмите кнопку Scan. 4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. 5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt). 6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
spbpromt 0 Опубликовано 31 мая, 2016 Автор Share Опубликовано 31 мая, 2016 Готово Desktop.rar Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 31 мая, 2016 Share Опубликовано 31 мая, 2016 1. Откройте Блокнот и скопируйте в него приведенный ниже текст CreateRestorePoint: ProxyEnable: [S-1-5-21-3686293523-720854838-3416531044-1000] => Proxy is enabled. ProxyServer: [S-1-5-21-3686293523-720854838-3416531044-1000] => http=127.0.0.1:7894;https=127.0.0.1:7894 BHO-x32: IE 4.x-6.x BHO for Download Master -> {9961627E-4059-41B4-8E0E-A7D6B3854ADF} -> C:\PROGRA~2\DOWNLO~1\dmiehlp.dll => No File Toolbar: HKU\S-1-5-21-3686293523-720854838-3416531044-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} - No File CHR Extension: (Proxy SwitchySharp) - C:\Users\Kyle\AppData\Local\Google\Chrome\User Data\Default\Extensions\dpplabbmogkhghncfbfdeeokoefdjegm [2016-03-17] FF Extension: FoxyProxy Standard - C:\Users\Kyle\AppData\Roaming\Mozilla\Firefox\Profiles\4iokf9ye.default\extensions\foxyproxy@eric.h.jung [2016-03-25] CustomCLSID: HKU\S-1-5-21-3686293523-720854838-3416531044-1000_Classes\CLSID\{93677E04-5633-4223-6A34-6A03061071550}\InprocServer32 -> no filepath Task: {0718AF7B-9A41-4168-B92D-530B5126D04C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION Task: {16E10E3F-2AB5-494E-994E-31BA7025FB54} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION Task: {38D53677-0CE3-4AAD-A3C5-FBE6D6BC9277} - \Microsoft\Windows\File Classification Infrastructure\Property Definition Sync -> No File <==== ATTENTION Task: {56687EBB-E4AB-4988-AF8B-3C87F179A2CC} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION Task: {68C1B9D2-126E-4A1C-AADA-4D48ED33C6B7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION Task: {769475AE-072B-4B78-8EE2-60277AA47E16} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION Task: {94C597D1-59FA-43DE-8F88-349803CA94CC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION Task: {B74FCF1F-B6BF-48D4-9B32-C23B082E0C26} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION Task: {C0AD90EF-7715-43D4-B5EF-430EE40CD9F6} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION Task: {C3A362EB-4937-4D7B-8A43-8C15C95A0397} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION Task: {D16E2D76-61BA-4DC6-B726-16A366491E1A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION Task: {EBE0C0C3-77B5-4C97-911F-91D9BD337D22} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [282] AlternateDataStreams: C:\ProgramData\TEMP:65859BC2 [278] AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [138] AlternateDataStreams: C:\ProgramData\TEMP:A1364FD1 [121] AlternateDataStreams: C:\Users\Public\DRM:احتضان [98] AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [282] AlternateDataStreams: C:\Users\Все пользователи\TEMP:65859BC2 [278] AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [138] AlternateDataStreams: C:\Users\Все пользователи\TEMP:A1364FD1 [121] Reboot: 2. Нажмите Файл – Сохранить как3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool 4. Укажите Тип файла – Все файлы (*.*) 5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить 6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
spbpromt 0 Опубликовано 31 мая, 2016 Автор Share Опубликовано 31 мая, 2016 Сделал. Лог прилагаю. Также прилагаю новый лог hijackthis Настройки прокси после рестарта опять прописались(. Fixlog.txt hijackthis.log Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 31 мая, 2016 Share Опубликовано 31 мая, 2016 Тогда смотрите в список установленных программ. Что-то там появилось из того, что Вы не устанавливали. Например, AdMuncher Цитата Ссылка на сообщение Поделиться на другие сайты
spbpromt 0 Опубликовано 31 мая, 2016 Автор Share Опубликовано 31 мая, 2016 (изменено) Новых программ в списке не появилось, я все равно удалил все незнакомые и попробовал вновь почистить не помогло. Как я и пиал данная проблема появилась только вчера, после запуска активатора к программе AV Voice Changer 8.0.24 Diamond Retail Прилагаю лоадер который сделал это с моей системой, он весит всего 300 кб (может поможет) Loader.rar Изменено 31 мая, 2016 пользователем spbpromt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 1 июня, 2016 Share Опубликовано 1 июня, 2016 Сделайте лог AdwCleaner Цитата Ссылка на сообщение Поделиться на другие сайты
spbpromt 0 Опубликовано 1 июня, 2016 Автор Share Опубликовано 1 июня, 2016 (изменено) Сделал. Хотя этой программой еще вчера сканировал, когда сам пытался решить проблему. Хотел еще спросить, как можно установить драйвер AVZPM? При сканировании AVZ всегда выдает красным сообщение, что-о вроде "Опасно! Обнаружена маскировка процессов!" Но этот пункт (AVZPM) у меня неактивен в меню, и я не могу навести на него и выбрать там установку драйвера, я пробовал даже командой (скриптом) установить драйвер beginSetAVZPMStatus(true);RebootWindows(true);end. Компьютер перезагружался, но драйвера с системе не оказывалось, пункт так и оставался неактивным, и при сканировании повторном опять всегда пропускалось сканирование этих замаскированных процессов. Вирустотал вот то показывает по этому файлу: https://www.virustotal.com/en/file/dde579353a64e56d71c8b181e5cb6230ea6affb6f4d1194532a14a4ed1313a3d/analysis/ Указывает на какой то вирус Trojan.Win32.Fsysna. использующий шифрование файлов. Именно на этот лоадер. AdwCleanerS2.txt Изменено 1 июня, 2016 пользователем spbpromt Цитата Ссылка на сообщение Поделиться на другие сайты
thyrex 1 468 Опубликовано 1 июня, 2016 Share Опубликовано 1 июня, 2016 Шифрование там не причем. Скорее это открывает доступ к компьютеру из вне. Пока у меня идей нет. По поводу AVZPM - для Вашей системы его включить не получится, да и нет в этом необходимости. Цитата Ссылка на сообщение Поделиться на другие сайты
spbpromt 0 Опубликовано 2 июня, 2016 Автор Share Опубликовано 2 июня, 2016 (изменено) Проблема решена, вопрос не актуален. Спасибо Дмитрию Соколову, разработчику UnHackMe details "<Input Sample>" (Access type: "SETVAL", Path: "\REGISTRY\USER\S-1-5-21-3415856703-3035846784-2657674405-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS", Key: "PROXYENABLE", Value: "01000000")"<Input Sample>" (Access type: "SETVAL", Path: "\REGISTRY\USER\S-1-5-21-3415856703-3035846784-2657674405-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS", Key: "PROXYSERVER", Value: "http=127.0.0.1:7894;https=127.0.0.1:7894")"<Input Sample>" (Access type: "SETVAL", Path: "\REGISTRY\USER\S-1-5-21-3415856703-3035846784-2657674405-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS", Key: "PROXYOVERRIDE", Value: "<-loopback>") source Registry Access как раз то что и у Вас. Loader собран на C#, так что легко декодируется. В нем Fiddler, который может работать как прокси. Он расшифровал лоадер, проанализирован что он делает и удаленно через TeamViewer сам удалил заразу из системы. Огромное спасибо! Изменено 2 июня, 2016 пользователем spbpromt Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.