Hijacker koji preusmerava proxy

[Wolverine]

Pozdrav, forumaši!

Problem mi stvara neki hijacker koji pokreće AutoConfigScript koji mi menja internet podešavanja. Budući da (još uvek) živim u studentskom domu, internetu pristupam putem AMRES-ovog proksija. Ovaj hijacker, naravno, menja podešavanja tako da se proksi gasi i da ja nemam pristup internetu. Naravno, kako to ide sa virusima, ne dozvoljava mi da promenim bilo šta. Privremeno "rešenje" je promena unosa u Registryu OneProxyPerUser u vrednost 1. To reši stvar trenutno, ali sutradan u neko doba dana bude ista priča. Zaboravio sam adresu koju program gura kao taj AutoConfigScript, ali čim se pojavi opet napisaću je ovde. Znam da je na kraju adrese "server.pac".

Takođe u Windows>System32>drivers>etc pored hosts fajla postoji i fajl koji se isto zove ali ima i ikonicu kao kalendar (vidi sliku).



Malwarebytes nalazi ovaj hijacker, navodno ga obriše, ali se, kao što rekoh, sutradan već javi. RogueKiller takođe, mada sam ga malopre pustio opet i obrisao je sve, videću da li će se ponoviti.

Fora je u tome što mi tehnički gasi izlaz na net, jer onog trenutka kada ugasi proksi onemogućava i sebi izlaz na net. Ne znam šta se dešava kada je na nekoj "necenzurisanoj" konekciji.

Evo šta je HijackThis našao. http://txt.do/5bovz (Izvinite što linkujem ovako, forum se buni zbog dužine posta.)

Takođe, ne znam da li je bitno, ali kada je hijacker aktivan, u Connections odeljku Internet Settingsa (gde nameštam proxy) stoji obavetšenje da "neka podešavanja namešta administrator sistema" na samom dnu prozorčeta. Sistem je Windows 10 sa novembarskim apdejtom.

Trenutno, "nukovanje" Windowsa nije opcija dok ne završimo rad na broju pa bih voleo da probam sva moguća rešenja.

[LoneWolf]

Uđi u Windows ali na Safe mode with networking, pokreni Ccleaner i bezbjedno obriši taj hosts file sa "kalendar ikonicom" iz Ccleanera. Ako odbije da ga obriše, promijeni mu ekstenziju u neku bezazlenu tipa doc, jpg i sl. pa ga onda obriši. Probaj to, pa probaj i sa Adwcleanerom da ga skršiš. Javi ako ne bude htio, jer ako neće tako onda mu ne gine Combofix iz safe mode-a.

P.S. Ako ti je registry fix privremeno rješenje, možeš ga učiniti trajnijim tako što instaliraš Deep freeze i "zamrzneš" postavke OS-a bar na dan-dva.

[Wolverine]

Probaću sutra pa javljam! Hvala!

[LoneWolf]

Javi ako zapne pa da rješavamo

[toxic]

Nisi napomenuo koji antivirus koristiš i da li on nešto prijavljuje. Nije na odmet da prođeš komp i sa Kaspersky Virus Removal Tool.

[LoneWolf]

Mora uspjeti da ga riješi sa pomenutim programima, a ako ne uspije - uvijek može da ubije hosts fajl ili skine drugi "prazan" i uredan s interneta.

[Wolverine]

Kaspersky Virus Removal Tool nalazi SECON-QAD.dll. Upravo sam ga obrisao. Deluje smešno, al' ona promena opcija uglavnom nastupa negde popodne, tako da ćemo videti da li će se danas desiti.

[LoneWolf]

Ne djeluje smiješno nego postoje hijackeri koji se resetuju i reaktiviraju sistemskim tajmerom pa prate vrijeme kad si najneaktivniji a komp ti pritom bude upaljen, nešto kao scheduled task. To su lopovi odradili, ali se ipak može ukloniti i ubuduće spriječiti korištenjem softvera za imunizaciju (Spybot i sl.)

[Wolverine]

Evo probah sve iz Safe Modea, samo nisam uspeo da nađem kako da izbrišem ovaj imposter hosts fajl iz CCleanera pa sam ga uklonio ručno. Butujem normalno i on i dalje tu. Ja ga obrisah opet ručno, ne znam da li će se opet pojaviti. Da li postoji neki program koji će ga u Safe Modeu obrisati jednom za svagda.

[LoneWolf]

Postoje namjenski alati za brisanje upornih fajlova, a ako ti ni oni ne pomognu onda stavi Linux na USB i iz Linuxa obriši taj fajl. Još jedno od rješenja: skini nedirnut hosts fajl s neta pa ga "prepiši" (overwrite) preko postojećeg. Evo jedan od programa za tu namjenu:

https://www.malwarebytes.org/fileassassin/

Radi iz safemode-a.

[Wolverine]

Prošao sam i sa CCleanerom iz Safe Modea po tom fajlu i šatro ga obrisao. Restartujem komp i eto ga opet. Sad ću probati MBFA.

EDIT: Iz Safe Modea MBFA kao obriše, ali opet isto stanje pri normalnom butu. Da li je moguće da se go**o nekako aktivira pri butovanju?

[player1]

Problem je sto ti alati samo ciste posledicu, dok je uzrok jos uvek i tu i samo pokrpi bilo koju promenu koju uradis rucno.

[Wolverine]

Tačno u 19:00 se desilo opet, taman negde u tom trenutku dobio sumnjivi request na Twitteru. Nalog koji je očigledno povezan sa nekom prevarom/malware sajtom.

[LoneWolf]

Citat:

Wolverine kaže:

Tačno u 19:00 se desilo opet, taman negde u tom trenutku dobio sumnjivi request na Twitteru. Nalog koji je očigledno povezan sa nekom prevarom/malware sajtom.

Rekoh ti ja da ima "tajmer" i sad si se uvjerio. Ajd ovako, probaj iz Linuxa da ubiješ i obrišeš taj fajl i provjeri pod msconfig šta ti se pokreće u startupu i tokom boota. Sve procese koje ne prepoznaješ pobij, ili odaberi failsafe boot pa vidi jel ga riješilo. Dodaj hosts fajl u karantin antivirusa ako ni ovo ne pomogne.

[Wolverine]

U startupu ne nalazim ništa sumnjivo -.-

https://we.tl/iIpkTC6NRB - evo bootloga od pre 10 minuta (kada je sve kao okej)

[Sass Drake]

Skini FRST odavde u zavisnosti od toga da li ti je Windows 32-bitni ili 64-bitni.

http://www.bleepingcomputer.com/down...ery-scan-tool/


Kada ga skineš, premjesti ga na Desktop, pokreni ga, pobrini se da je čekirano Addition.txt.
Klikni na Scan i sačekaj da završi. Kada završi otvoriće ti FRST.txt i Addition.txt. Njihov sadržaj kopiraj zasebno na http://pastebin.com i postavi linkove ovdje ka njima.

[LoneWolf]

Ako ni to ne uspije udri ga Hiren's boot cd-om i mora da umre

[Wolverine]

FRST - http://pastebin.com/ASw6GJHp

Addition - http://pastebin.com/ZY9KGGXb


U FRST-u videh ovo:

AutoConfigURL: [HKLM-x32] => hxxp://xn--koa.net/server.pac


Whitelisted je za Internet. To je adresa koju gura f--king hijack.

[Sass Drake]

• Otvori Notepad i iskopiraj sljedeći tekst koji se nalazi unutar Kod polja.
  
  
  Kod:

  HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 1 <======= ATTENTION (Restriction - ProxySettings)
  AutoConfigURL: [HKLM-x32] => hxxp://xn--koa.net/server.pac

• U okviru Notepad-a klikni na File --> Save As
• Fajl nazovi Fixlist i sačuvaj na Desktop
• Dvoklikom ponovo pokreni FRST.exe
• Klikni na Fix i sačekaj dok program ne završi.
• Ukoliko program zatraži restart računara, omogući mu da to nesmetano obavi.
• Nakon završetka rada, otvoriće se fixlog.txt, sa sadržajem koji treba da kopiraš u temu.
• Takođe, na Desktop-u će se nalaziti (fixlog.txt).

[Wolverine]

Ovo će, dakle, napraviti automatski bypass hijacka? Kako će se to ponašati kada nisam na domskom netu (tj. kada ne koristim proxy, npr: odnesem komp u redakciju)?