Trojan.Multi.ProxyChanger.gen

[Антон Фёдоров]

Добрый день. Kaspersky Endpoint Security 10 Service Pack 2 для Windows нашел Trojan.Multi.ProxyChanger.gen.

 

Результат:     Не вылечено: Trojan.Multi.ProxyChanger.gen

Объект:     System Memory

Причина:     Пропущено

 

Курейт ничего не находит, а касперский постоянно ругается.

CollectionLog-2017.04.27-12.52.zip

[Sandor]

Здравствуйте!

 

"Пофиксите" в HijackThis:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://ya.ru/
R1 - HKLM\System\CurrentControlSet\services\NlaSvc\Parameters\Internet\ManualProxies,(default) = 0http://ya.ru/

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Отметьте галочкой также "Shortcut.txt".

 

Нажмите кнопку Scan.

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Подробнее читайте в этом руководстве.

Изменено 27 апреля, 2017 пользователем Sandor

[Антон Фёдоров]

Пофиксил, логи приложил.

логи.zip

[Sandor]

Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

start
CreateRestorePoint:
FF NetworkProxy: Mozilla\Firefox\Profiles\b6zxp8e7.default -> autoconfig_url", "http://configspacs.com/9f6LMw/H7UK.uru"
FF Extension: (\u0421\u043E\u0432\u0435\u0442\u043D\u0438\u043A\u0020\u042F\u043D\u0434\u0435\u043A\u0441\u002E\u041C\u0430\u0440\u043A\u0435\u0442\u0430) - C:\Users\Администратор\AppData\Roaming\Mozilla\Firefox\Profiles\b6zxp8e7.default\Extensions\sovetnik@metabar.ru.xpi [2017-04-27]
EmptyTemp:
Reboot:
end

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool.

 

Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

 

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 QuarantineFile('C:\Users\Администратор\Favorites\Результаты расширенного поиска.url', '');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

Файл quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или (если размер архива превышает 8 MB) на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма. Изменено 28 апреля, 2017 пользователем Sandor

[Антон Фёдоров]

Скрипт AVZ не выполняется, антивирус с интернетом отключал.

Fixlog.txt

[Sandor]

Скрипт AVZ не выполняется

Виноват, поправил свое сообщение, выполните еще раз.

 

Что с основной проблемой?

[Антон Фёдоров]

Касперский вроде больше не ругается. Файлик отправил. Спасибо.

[Sandor]

Проверьте уязвимые места:

• Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе
• Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
• Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Антон Фёдоров]

Опять появился. Все что написано в файле обновляю?

SecurityCheck.txt

[Sandor]

Все что написано в файле обновляю?

Да. Отчет KES по этому обнаружению можете показать?

[Антон Фёдоров]

Попозже обновлюсь, напишу что получилось.

[Sandor]

• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

  !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

• Дождитесь окончания работы программы и прикрепите лог к посту в теме.

  !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

• Подробнее читайте в руководстве Как подготовить лог UVS.