Захожу в настройки броузера (Opera, IE 5.0) пишу IP прокси ... порт 8080, закрываю, открываю снова, захожу снова в настройки - стоит 127.0.0.1  и порт 8060?!! Права у пользователя уже что ни на есть административные....в чем может быть дело?

ну вирусяка забавляется наверное

Помогите кто-нибудь....в чем здесь проблема? у прокси адрес 192.168.х.х его и прописываю в настройках броузера на клиентской машине....после закрытия броузера менятся на 127.0.0.1 порт 8060... и интернет какое-то время работает,затем перестает

проверили вирусов, нет...вернее уже нет

если у вас домен, то можно через ГП назначить жестко ip и порт прокси и запретить менять, а так через реестр,

(0) проверь, у тебя в трее банк-клиент не висит? :)

в реестре прописываю ip прокси,но при повторном входе в реестр он также менятся на локальный... захожу в безопасном режиме, в реестре прописываю ip, захожу под сетевым пользователем  - локальный адрес...
(5)банк-клиент не установлен на этой машине

ищи троян

а утилитки не установлено никакой типа фрипрокси, анонимайзер и прочее?

(6) А никакой програмки типа фрипрокси или анонимайзер не установлено?

(7) машину проверили СureIt от Dr.Web, Avz4 и Nod32...вначале нашел пару троянов...затем пусто...нет вирусов
(8)никаких подобных утилит вроде нет...всмысле в пргорамм файлес не видно, в загруженных сервисах тоже....но может я не знаю где их можно посмотреть?...

исправлено:
(8) машину проверили СureIt от Dr.Web, Avz4 и Nod32...вначале нашел пару троянов...затем пусто...нет вирусов
(9)никаких подобных утилит вроде нет...всмысле в пргорамм файлес не видно, в загруженных сервисах тоже....но может я не знаю где их можно посмотреть?...

проверяй автозагрузку (msconfig), реестр, задания.
А! Залезь-ка в журнал, погляди события системы и приложений. Почитай есть там что интересного?

(0) надстройки у браузера левые отключить нужно.

(12) да,да автозагрузка тоже просмотрена для меня вроде ничего подозрительного, но из меня такой сисадмин... :( может есть какие-то более менее известные названия, которые стоит заподозрить? В журнал глянуть не смогу...уже не на работе :( Может посоветуете где что нужно посмотреть?
В реестре с адресом 127.0.0.1 только один параметр proxy чего-то там

а банк-клиента нет случаем на этой машине?

(13)всмысле левые? например у Internet Explorer?

(15)нет

(16) ну посмотри надстройки, может увидешь подозрительные. у нас тоже было подобное. отключили левые надстройки, изменили параметры подключения.

(16) банк-клиент не установлен случайно на этой машине?

(19) спам?  ))))

(14) завтра на работе покопайся в журнале, скорее всего там что-нить интересное найдёшь

(18) в целях эксперимента ставлю OPera в настройке пишу адрес прокси, нажимаю ОК,закрываю OPera, открываю...локальный адрес....

не знаю что в опере.
в ИЕ: Сервис - Свойства обозревателя - Программы - [Надстройки].

(21) гляну...спасибо
(23)ну кстати, да, надо будет поглядеть...а что у вас оказалось подозрительным, что вы удалили?

(24) сейчас уже не вспомню. )))

Там есть ещё две вещи:
1) автоматическое определение Proxy-сервера
2) сценарий автоматической настройки (который, кстати, отрабатывается при запуске).
Кроме того, можно открыть RegEdit и посмотреть, когда меняется запись в реестре - в момент запуска системы или в момент запуска браузера, а также можно поискать другие записи (вполне возможно, что при изменении копируются какие-то другие ветки поверх данной).

(26) автоматическое определение параметров - галочки нет
использовать сценарий автоматической настройки - галочки нет
использовать прокси сервер - галочка стоит
в реестре есть только одна запись и менятся она в момент запуска броузера, и в момент когда стою на парметре и захожу в разрашения, в момент закрытия менятся значение параметра "proxy чего-то там" на локальный адрес

Это вирус, сам только позавчера удалял. Антивирус не палит его.
Качаешь прогу Active Ports. Смотришь, кто слушает этот порт, и грохаешь его.

Правда пока что проблемы с ДНС остались. Почему то половина сайтов не получает ДНС по имени

(28)а как ты определил что это вирус? только этой прогой?

Ну это не совсем вирус. На самом деле это чистый прокси сервер, который "подменяет" твои ссылки, на свои

Active Ports - Эта утилита мониторит открытые TCP/IP и UDP порты на локальном компьютере, показывая, какой процесс открыл тот или иной порт, а также отображая местный и удаленный IP-адрес для каждой связи. Кроме собственно мониторинга, Active Ports позволяет закрыть любой из этих процессов.

Просто эта утилита позволяет узнать, какая програ слушает порт 8060.

(28) кстати в AVZ4 есть менеджер автозапуска...там показыватся всё запущенное :) путь к файлу и описание в реестре и метод запуска, проблема в том что я могу не видеть потенциально подозрительную хрень... ибо не являюсь крутым сисадмином...вобщем... вот...

а для чего вообще этот порт 8060? если вообще коректно задан вопрос...даже не знаю как спросить....вобщем он для чего? :)

(28) а какой версии качать я вижу только 1.4 :)

(31) netstat уже не в моде?

Также можно предположить, что это не вирус, а антивирус, то есть, например, link-checker от DrWeb или интернет-монитор от касперского.

(39) не, эти глубже прячутся - не видно их в настройках прокси

эх...была-небыла...завтра продолжу ветку...всем спасибо

(38) также хотелось бы напомнить, что система ntfs позволяет дописывать к файлам дополнительные потоки, например, если сделать
copy Вася.txt User.EXE:SomeData
то в дополнительный поток User.EXE будет дописан файл, который потом легко прочитать через
more.exe User.EXE:SomeData
А "умные" антивирусы дополнительные потоки к файлам не просматривают (система не даёт простых способов получить список потоков файла).