Что-то постоянно меняет прокси сервер

[spbpromt]

Добрый день, прошу помочь,

 

В системе невозможно изменить (удалить) прокси сервер, после рестарта он возвращается, перепробовал десятки способом, описанных в интернете.

Отсутствует доступ в и нтернет у многих приложений, включая скайп.

 

Очень прошу помочь.

CollectionLog-2016.05.31-14.50.zip

Изменено 31 мая, 2016 пользователем spbpromt

[thyrex]

Сделайте лог полного сканирования МВАМ

[spbpromt]

Лог прикрепляю.

Хотел еще добавить ситуация возникла после установки этой программы: AV Voice Changer 8.0.24 Diamond Retail

****

Точнее использования лоадера к ней, но саму программу я удалил как и все установочные файлы.

log2.txt

Изменено 31 мая, 2016 пользователем spbpromt

[thyrex]

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

• Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

2. Убедитесь, что в окне Optional Scan отмечены List BCD, Driver MD5 и 90 Days Files.

3. Нажмите кнопку Scan.

4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.

5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).

6. Полученные в пп. 4 и 5 логи заархивируйте (в один архив) и прикрепите к сообщению.

[spbpromt]

Готово

Desktop.rar

[thyrex]

1. Откройте Блокнот и скопируйте в него приведенный ниже текст

CreateRestorePoint:
ProxyEnable: [S-1-5-21-3686293523-720854838-3416531044-1000] => Proxy is enabled.
ProxyServer: [S-1-5-21-3686293523-720854838-3416531044-1000] => http=127.0.0.1:7894;https=127.0.0.1:7894
BHO-x32: IE 4.x-6.x BHO for Download Master -> {9961627E-4059-41B4-8E0E-A7D6B3854ADF} -> C:\PROGRA~2\DOWNLO~1\dmiehlp.dll => No File
Toolbar: HKU\S-1-5-21-3686293523-720854838-3416531044-1000 -> No Name - {91397D20-1446-11D4-8AF4-0040CA1127B6} -  No File
CHR Extension: (Proxy SwitchySharp) - C:\Users\Kyle\AppData\Local\Google\Chrome\User Data\Default\Extensions\dpplabbmogkhghncfbfdeeokoefdjegm [2016-03-17]
FF Extension: FoxyProxy Standard - C:\Users\Kyle\AppData\Roaming\Mozilla\Firefox\Profiles\4iokf9ye.default\extensions\foxyproxy@eric.h.jung [2016-03-25]
CustomCLSID: HKU\S-1-5-21-3686293523-720854838-3416531044-1000_Classes\CLSID\{93677E04-5633-4223-6A34-6A03061071550}\InprocServer32 -> no filepath
Task: {0718AF7B-9A41-4168-B92D-530B5126D04C} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {16E10E3F-2AB5-494E-994E-31BA7025FB54} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> No File <==== ATTENTION
Task: {38D53677-0CE3-4AAD-A3C5-FBE6D6BC9277} - \Microsoft\Windows\File Classification Infrastructure\Property Definition Sync -> No File <==== ATTENTION
Task: {56687EBB-E4AB-4988-AF8B-3C87F179A2CC} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> No File <==== ATTENTION
Task: {68C1B9D2-126E-4A1C-AADA-4D48ED33C6B7} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> No File <==== ATTENTION
Task: {769475AE-072B-4B78-8EE2-60277AA47E16} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {94C597D1-59FA-43DE-8F88-349803CA94CC} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> No File <==== ATTENTION
Task: {B74FCF1F-B6BF-48D4-9B32-C23B082E0C26} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {C0AD90EF-7715-43D4-B5EF-430EE40CD9F6} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> No File <==== ATTENTION
Task: {C3A362EB-4937-4D7B-8A43-8C15C95A0397} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {D16E2D76-61BA-4DC6-B726-16A366491E1A} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {EBE0C0C3-77B5-4C97-911F-91D9BD337D22} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> No File <==== ATTENTION
AlternateDataStreams: C:\ProgramData\TEMP:41ADDB8A [282]
AlternateDataStreams: C:\ProgramData\TEMP:65859BC2 [278]
AlternateDataStreams: C:\ProgramData\TEMP:A064CECC [138]
AlternateDataStreams: C:\ProgramData\TEMP:A1364FD1 [121]
AlternateDataStreams: C:\Users\Public\DRM:احتضان [98]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:41ADDB8A [282]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:65859BC2 [278]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A064CECC [138]
AlternateDataStreams: C:\Users\Все пользователи\TEMP:A1364FD1 [121]
Reboot:

2. Нажмите Файл – Сохранить как

3. Выберите папку, откуда была запущена утилита Farbar Recovery Scan Tool

4. Укажите Тип файла – Все файлы (*.*)

5. Введите имя файла fixlist.txt и нажмите кнопку Сохранить

6. Запустите FRST, нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

[spbpromt]

Сделал. Лог прилагаю.

Также прилагаю новый лог hijackthis

Настройки прокси после рестарта опять прописались(.

Fixlog.txt

hijackthis.log

[thyrex]

Тогда смотрите в список установленных программ. Что-то там появилось из того, что Вы не устанавливали. Например, AdMuncher

[spbpromt]

Новых программ в списке не появилось, я все равно удалил все незнакомые и попробовал вновь почистить не помогло.

Как я и пиал данная проблема появилась только вчера, после запуска активатора к программе AV Voice Changer 8.0.24 Diamond Retail

Прилагаю лоадер который сделал это с моей системой, он весит всего 300 кб (может поможет)

Loader.rar

Изменено 31 мая, 2016 пользователем spbpromt

[thyrex]

Сделайте лог AdwCleaner 

[spbpromt]

Сделал. Хотя этой программой еще вчера сканировал, когда сам пытался решить проблему.

Хотел еще спросить, как можно установить драйвер AVZPM?

При сканировании AVZ всегда выдает красным сообщение, что-о вроде "Опасно! Обнаружена маскировка процессов!"

Но этот пункт (AVZPM) у меня неактивен в меню, и я не могу навести на него и выбрать там установку драйвера, я пробовал даже командой (скриптом) установить драйвер

 

begin
SetAVZPMStatus(true);
RebootWindows(true);
end.

 

Компьютер перезагружался, но драйвера с системе не оказывалось, пункт так и оставался неактивным, и при сканировании повторном опять всегда пропускалось сканирование этих замаскированных процессов.

 

Вирустотал вот то показывает по этому файлу: https://www.virustotal.com/en/file/dde579353a64e56d71c8b181e5cb6230ea6affb6f4d1194532a14a4ed1313a3d/analysis/

Указывает на какой то вирус Trojan.Win32.Fsysna. использующий шифрование файлов. Именно на этот лоадер.

AdwCleanerS2.txt

Изменено 1 июня, 2016 пользователем spbpromt

[thyrex]

Шифрование там не причем. Скорее это открывает доступ к компьютеру из вне.

 

Пока у меня идей нет. По поводу AVZPM - для Вашей системы его включить не получится, да и нет в этом необходимости.

[spbpromt]

Проблема решена, вопрос не актуален.

Спасибо Дмитрию Соколову, разработчику UnHackMe

 

details

"<Input Sample>" (Access type: "SETVAL", Path: "\REGISTRY\USER\S-1-5-21-3415856703-3035846784-2657674405-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS", Key: "PROXYENABLE", Value: "01000000")
"<Input Sample>" (Access type: "SETVAL", Path: "\REGISTRY\USER\S-1-5-21-3415856703-3035846784-2657674405-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS", Key: "PROXYSERVER", Value: "http=127.0.0.1:7894;https=127.0.0.1:7894")
"<Input Sample>" (Access type: "SETVAL", Path: "\REGISTRY\USER\S-1-5-21-3415856703-3035846784-2657674405-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS", Key: "PROXYOVERRIDE", Value: "<-loopback>")

source

Registry Access

как раз то что и у Вас.

 

Loader собран на C#, так что легко декодируется.

В нем Fiddler, который может работать как прокси.

Он расшифровал лоадер, проанализирован что он делает и удаленно через TeamViewer сам удалил заразу из системы.

Огромное спасибо!

Изменено 2 июня, 2016 пользователем spbpromt