Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

[Rozwiązano] System Windows 10 sam ustawia adres proxy i wpis

polishman694 09 Lut 2018 08:25 1572 9
  • #1 09 Lut 2018 08:25
    polishman694
    Poziom 3  

    W załączniku znajduje się zdjęcie ekranu systemu Windows 10 pro i za każdym razem coś ustawia adres przy na: http=127.0.0.1:8080;https=127.0.0.1:8080 a wpis pod adresem ustawia się : <-loopback>

    0 9
  • #4 09 Lut 2018 09:01
    RADU23
    Moderator - Komputery Serwis

    W katalogu w którym znajduje się program. Zobacz C:\FRST

    0
  • #6 09 Lut 2018 10:10
    Kolobos
    Spec od komputerów

    Instaluj zainfekowane aktywatory, narzekaj, ze "system" ustawia proxy...

    Odinstaluj:
    RunBooster
    youndoo - Uninstall

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CustomCLSID: HKU\S-1-5-21-3334278068-2120902769-2795021655-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-9A1A3B2A067D}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku
    Task: {2AC0384B-C44C-4CB3-BDCC-FFE4B0FA617D} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    Task: {69230BBC-BAB8-4550-B720-4BC299BF14A2} - System32\Tasks\Opera scheduled Autoupdate 1490524433 => C:\Program Files\Opera\launcher.exe [2018-01-22] (Opera Software)
    Task: {B582FA60-912F-4529-94D3-47E5ADBFCE38} - System32\Tasks\Optimize Thumbnail Cache Files => wscript.exe //nologo //E:jscript //B "C:\ProgramData\InstallShield\Update\isuspm.ini" <==== UWAGA
    Task: {CB5F4C4A-760A-4A98-A4BB-2A45A085EC7E} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\WINDOWS\explorer.exe /NOUACCHECK
    HKU\S-1-5-21-3334278068-2120902769-2795021655-1001\...\Run: [AdobeBridge] => [X]
    HKU\S-1-5-21-3334278068-2120902769-2795021655-1001\...\MountPoints2: {4211ffac-cc6e-11e7-9f9b-902b34916770} - "J:\setup.exe"
    HKU\S-1-5-21-3334278068-2120902769-2795021655-1001\...\MountPoints2: {c4fad46a-cf92-11e7-9fa0-902b34916770} - "L:\setup.exe"
    HKU\S-1-5-21-3334278068-2120902769-2795021655-1001\...\MountPoints2: {f7186c82-feda-11e7-a000-902b34916770} - "K:\HiSuiteDownLoader.exe"
    HKLM\...\Providers\l1vlz0bg: C:\Program Files (x86)\Jneghktasp Manager\local64spl.dll <==== UWAGA
    Hosts:
    ShellExecuteHooks: Brak nazwy - {8A576C68-0D5E-11E7-BB42-64006A5CFC23} - C:\Users\Denis\AppData\Roaming\Rugory\Goqugh.dll -> Brak pliku <==== UWAGA
    GroupPolicy: Ograniczenia - Chrome <==== UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 0 <==== UWAGA (Ograniczenia - ProxySettings)
    ProxyEnable: [HKLM] => Proxy [funkcja włączona]
    ProxyEnable: [HKLM-x32] => Proxy [funkcja włączona]
    ProxyServer: [HKLM] => http=127.0.0.1:8080;https=127.0.0.1:8080
    ProxyServer: [HKLM-x32] => http=127.0.0.1:8080;https=127.0.0.1:8080
    AutoConfigURL: [HKLM] => http=127.0.0.1:8080;https=127.0.0.1:8080
    ProxyEnable: [.DEFAULT] => Proxy [funkcja włączona]
    ProxyServer: [.DEFAULT] => http=127.0.0.1:8080;https=127.0.0.1:8080
    ManualProxies: 1http=127.0.0.1:8080;https=127.0.0.1:8080
    RemoveProxy:
    BHO: Brak nazwy -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> Brak pliku
    C:\Users\Denis\AppData\Local\Google\Chrome\User Data\Default\Extensions\cmhomipkklckpomafalojobppmmidlgl
    CHR Extension: (Adblocker for Youtube™) - C:\Users\Denis\AppData\Local\Google\Chrome\User Data\Default\Extensions\cmhomipkklckpomafalojobppmmidlgl [2017-08-26]
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [mbckjcfnjmoiinpgddefodcighgikkgn] - hxxps://clients2.google.com/service/update2/crx
    C:\Users\Denis\AppData\Roaming\Opera Software\Opera Stable\Extensions\pgkbgflmbfpkbehmfneoglkjkagbkhgd
    OPR Extension: (0) - C:\Users\Denis\AppData\Roaming\Opera Software\Opera Stable\Extensions\pgkbgflmbfpkbehmfneoglkjkagbkhgd [2017-08-26]
    R2 KMService; C:\WINDOWS\SysWOW64\srvany.exe [8192 2017-03-26] () [Brak podpisu cyfrowego]
    R1 wfcre; C:\WINDOWS\System32\drivers\wfcre.sys [124288 2017-07-04] ()
    2018-01-12 21:12 - 2018-01-12 21:12 - 000000000 ____H C:\Users\Denis\AppData\Local\BIT7D02.tmp
    2017-03-26 11:34 - 2017-12-16 15:22 - 000000259 _____ () C:\ProgramData\fontcacheev1.dat
    2017-03-27 18:34 - 2017-04-03 16:07 - 000000023 _____ () C:\Users\Denis\AppData\Roaming\HS.ini
    2018-01-12 21:12 - 2018-01-12 21:12 - 000000000 ____H () C:\Users\Denis\AppData\Local\BIT7D02.tmp
    2017-11-03 20:18 - 2017-11-04 18:54 - 000000000 _____ () C:\Users\Denis\AppData\Local\debuggee.mdmp
    EmptyTemp:

    W FRST wybierz Napraw.

    0
  • #7 09 Lut 2018 10:24
    safbot1st
    Poziom 43  

    Odinstaluj RunBooster i youndoo. Używasz świadomie koparki zdalnej "GamerHash"???
    Otwórz notatnik systemowy i wklej:

    Code:

    HKLM Group Policy restriction on software: %systemroot%\system32\mrt.exe <==== UWAGA
    HKLM\...\Policies\Explorer: [EnableShellExecuteHooks] 1
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-3334278068-2120902769-2795021655-1001\...\Run: [AdobeBridge] => [X]
    HKU\S-1-5-21-3334278068-2120902769-2795021655-1001\...\MountPoints2: {4211ffac-cc6e-11e7-9f9b-902b34916770} - "J:\setup.exe"
    HKU\S-1-5-21-3334278068-2120902769-2795021655-1001\...\MountPoints2: {c4fad46a-cf92-11e7-9fa0-902b34916770} - "L:\setup.exe"
    HKU\S-1-5-21-3334278068-2120902769-2795021655-1001\...\MountPoints2: {f7186c82-feda-11e7-a000-902b34916770} - "K:\HiSuiteDownLoader.exe"
    HKLM\...\Providers\l1vlz0bg: C:\Program Files (x86)\Jneghktasp Manager\local64spl.dll <==== UWAGA
    ShellExecuteHooks: Brak nazwy - {8A576C68-0D5E-11E7-BB42-64006A5CFC23} - C:\Users\Denis\AppData\Roaming\Rugory\Goqugh.dll -> Brak pliku <==== UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 0 <==== UWAGA (Ograniczenia - ProxySettings)
    ProxyEnable: [HKLM] => Proxy [funkcja włączona]
    ProxyEnable: [HKLM-x32] => Proxy [funkcja włączona]
    ProxyServer: [HKLM] => http=127.0.0.1:8080;https=127.0.0.1:8080
    ProxyServer: [HKLM-x32] => http=127.0.0.1:8080;https=127.0.0.1:8080
    AutoConfigURL: [HKLM] => http=127.0.0.1:8080;https=127.0.0.1:8080
    ProxyEnable: [.DEFAULT] => Proxy [funkcja włączona]
    ProxyServer: [.DEFAULT] => http=127.0.0.1:8080;https=127.0.0.1:8080
    Hosts:
    Tcpip\Parameters: [DhcpNameServer] 192.168.2.1
    Tcpip\..\Interfaces\{9a30cac2-73b7-4647-9f1a-eca4b8393b12}: [DhcpNameServer] 192.168.2.23
    Tcpip\..\Interfaces\{b1fcf892-2802-45d0-9a59-edc5ca72ad8e}: [DhcpNameServer] 192.168.2.1
    Tcpip\..\Interfaces\{e7103d77-5fe9-48de-b1b6-1279b0ee56ad}: [DhcpNameServer] 192.168.2.1
    ManualProxies: 1http=127.0.0.1:8080;https=127.0.0.1:8080
    BHO: Brak nazwy -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> Brak pliku
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [mbckjcfnjmoiinpgddefodcighgikkgn] - hxxps://clients2.google.com/service/update2/crx




    2017-03-27 18:34 - 2017-04-03 16:07 - 000000023 _____ () C:\Users\Denis\AppData\Roaming\HS.ini
    2018-01-12 21:12 - 2018-01-12 21:12 - 000000000 ____H () C:\Users\Denis\AppData\Local\BIT7D02.tmp
    2017-11-03 20:18 - 2017-11-04 18:54 - 000000000 _____ () C:\Users\Denis\AppData\Local\debuggee.mdmp
    2018-01-12 21:12 - 2018-01-12 21:12 - 000000000 _____ () C:\Users\Denis\AppData\Local\{FD3E904F-A32A-4813-AB4F-86D1C409B710}
    Online Application (HKLM-x32\...\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1}) (Version: 2.6.0 - Microleaves) Hidden <==== UWAGA
    CustomCLSID: HKU\S-1-5-21-3334278068-2120902769-2795021655-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-9A1A3B2A067D}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
    ShellIconOverlayIdentifiers: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku)
    ContextMenuHandlers3: [00avg] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> Brak pliku
    Task: {2AC0384B-C44C-4CB3-BDCC-FFE4B0FA617D} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    Task: {B582FA60-912F-4529-94D3-47E5ADBFCE38} - System32\Tasks\Optimize Thumbnail Cache Files => wscript.exe //nologo //E:jscript //B "C:\ProgramData\InstallShield\Update\isuspm.ini" <==== UWAGA
    EmptyTemp:

    i zapisz jako fixlist.txt obok FRST.exe. W FRST wybierz "Napraw".
    Po naprawie odinstaluj "Online Application".

    To jak z tym kopaniem kryptowalut?

    Dodano po 5 [minuty]:

    Kolobos napisał:
    RemoveProxy:

    Tego nie znałem, jest konieczne?
    safbot1st napisał:
    Online Application (HKLM-x32\...\{5266F634-7B7D-4537-BDDC-98DD6CFCBAA1}) (Version: 2.6.0 - Microleaves) Hidden <==== UWAGA

    Dodatkowo znalazłem taki złośliwiec. Trzeba wyłączyć "hidden" by móc odinstalować.
    Z tym kopaniem bitcoinów chodzi mi o wpis:
    Code:

    2018-02-08 11:45 - 2018-02-07 14:38 - 001257432 _____ () C:\Users\Denis\AppData\Local\GamerHash\1.13.11\GamerHash.exe

    0
  • #9 09 Lut 2018 13:27
    polishman694
    Poziom 3  

    Kolobos napisał:
    Instaluj zainfekowane aktywatory, narzekaj, ze "system" ustawia proxy...

    Odinstaluj:
    RunBooster
    youndoo - Uninstall

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    CustomCLSID: HKU\S-1-5-21-3334278068-2120902769-2795021655-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-9A1A3B2A067D}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => Brak pliku
    Task: {2AC0384B-C44C-4CB3-BDCC-FFE4B0FA617D} - \Microsoft\Windows\UNP\RunCampaignManager -> Brak pliku <==== UWAGA
    Task: {69230BBC-BAB8-4550-B720-4BC299BF14A2} - System32\Tasks\Opera scheduled Autoupdate 1490524433 => C:\Program Files\Opera\launcher.exe [2018-01-22] (Opera Software)
    Task: {B582FA60-912F-4529-94D3-47E5ADBFCE38} - System32\Tasks\Optimize Thumbnail Cache Files => wscript.exe //nologo //E:jscript //B "C:\ProgramData\InstallShield\Update\isuspm.ini" <==== UWAGA
    Task: {CB5F4C4A-760A-4A98-A4BB-2A45A085EC7E} - System32\Tasks\CreateExplorerShellUnelevatedTask => C:\WINDOWS\explorer.exe /NOUACCHECK
    HKU\S-1-5-21-3334278068-2120902769-2795021655-1001\...\Run: [AdobeBridge] => [X]
    HKU\S-1-5-21-3334278068-2120902769-2795021655-1001\...\MountPoints2: {4211ffac-cc6e-11e7-9f9b-902b34916770} - "J:\setup.exe"
    HKU\S-1-5-21-3334278068-2120902769-2795021655-1001\...\MountPoints2: {c4fad46a-cf92-11e7-9fa0-902b34916770} - "L:\setup.exe"
    HKU\S-1-5-21-3334278068-2120902769-2795021655-1001\...\MountPoints2: {f7186c82-feda-11e7-a000-902b34916770} - "K:\HiSuiteDownLoader.exe"
    HKLM\...\Providers\l1vlz0bg: C:\Program Files (x86)\Jneghktasp Manager\local64spl.dll <==== UWAGA
    Hosts:
    ShellExecuteHooks: Brak nazwy - {8A576C68-0D5E-11E7-BB42-64006A5CFC23} - C:\Users\Denis\AppData\Roaming\Rugory\Goqugh.dll -> Brak pliku <==== UWAGA
    GroupPolicy: Ograniczenia - Chrome <==== UWAGA
    HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 0 <==== UWAGA (Ograniczenia - ProxySettings)
    ProxyEnable: [HKLM] => Proxy [funkcja włączona]
    ProxyEnable: [HKLM-x32] => Proxy [funkcja włączona]
    ProxyServer: [HKLM] => http=127.0.0.1:8080;https=127.0.0.1:8080
    ProxyServer: [HKLM-x32] => http=127.0.0.1:8080;https=127.0.0.1:8080
    AutoConfigURL: [HKLM] => http=127.0.0.1:8080;https=127.0.0.1:8080
    ProxyEnable: [.DEFAULT] => Proxy [funkcja włączona]
    ProxyServer: [.DEFAULT] => http=127.0.0.1:8080;https=127.0.0.1:8080
    ManualProxies: 1http=127.0.0.1:8080;https=127.0.0.1:8080
    RemoveProxy:
    BHO: Brak nazwy -> {C0D38E5A-7CF8-4105-8FE8-31B81443A114} -> Brak pliku
    C:\Users\Denis\AppData\Local\Google\Chrome\User Data\Default\Extensions\cmhomipkklckpomafalojobppmmidlgl
    CHR Extension: (Adblocker for Youtube™) - C:\Users\Denis\AppData\Local\Google\Chrome\User Data\Default\Extensions\cmhomipkklckpomafalojobppmmidlgl [2017-08-26]
    CHR HKLM-x32\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [mbckjcfnjmoiinpgddefodcighgikkgn] - hxxps://clients2.google.com/service/update2/crx
    C:\Users\Denis\AppData\Roaming\Opera Software\Opera Stable\Extensions\pgkbgflmbfpkbehmfneoglkjkagbkhgd
    OPR Extension: (0) - C:\Users\Denis\AppData\Roaming\Opera Software\Opera Stable\Extensions\pgkbgflmbfpkbehmfneoglkjkagbkhgd [2017-08-26]
    R2 KMService; C:\WINDOWS\SysWOW64\srvany.exe [8192 2017-03-26] () [Brak podpisu cyfrowego]
    R1 wfcre; C:\WINDOWS\System32\drivers\wfcre.sys [124288 2017-07-04] ()
    2018-01-12 21:12 - 2018-01-12 21:12 - 000000000 ____H C:\Users\Denis\AppData\Local\BIT7D02.tmp
    2017-03-26 11:34 - 2017-12-16 15:22 - 000000259 _____ () C:\ProgramData\fontcacheev1.dat
    2017-03-27 18:34 - 2017-04-03 16:07 - 000000023 _____ () C:\Users\Denis\AppData\Roaming\HS.ini
    2018-01-12 21:12 - 2018-01-12 21:12 - 000000000 ____H () C:\Users\Denis\AppData\Local\BIT7D02.tmp
    2017-11-03 20:18 - 2017-11-04 18:54 - 000000000 _____ () C:\Users\Denis\AppData\Local\debuggee.mdmp
    EmptyTemp:

    W FRST wybierz Napraw.


    Youndoo - uninstall nie mogę odinstalować

    Dodano po 19 [minuty]:

    dzięki wszystko jest OK zamykam temat.

    0
  • #10 09 Lut 2018 13:28
    polishman694
    Poziom 3  

    rozwiązałem problem jak napisali na temacie

    0