Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Proxy samo ustawia się na 127.0.0.1:1080

Sasni 23 Sie 2018 08:54 393 1
  • #1 23 Sie 2018 08:54
    Sasni
    Poziom 20  

    Temat wałkowany ale nie mogę sobie poradzić. Na podstawie innych wątków zrobiłem plik fixlist.txt i odpaliłem, stan naprawy w pliku fixlog.
    W tym pliku dałem tylko tyle:

    Code:
    HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 0 <==== UWAGA (Ograniczenia - ProxySettings) 
    
    ProxyEnable: [S-1-5-21-727040953-1122322883-1383505795-1002] => Proxy [funkcja w��czona]
    ProxyServer: [S-1-5-21-727040953-1122322883-1383505795-1002] => 127.0.0.1:1080
    AutoConfigURL: [S-1-5-21-727040953-1122322883-1383505795-1002] => 127.0.0.1:1080
    Tcpip\..\Interfaces\{782F6A6D-9056-4A10-8786-3EA5E731C99D}: [DhcpNameServer] 8.8.8.8 8.8.4.4
    Tcpip\..\Interfaces\{93ED8678-1F77-48CD-BA63-0C88B586B024}: [NameServer] 8.8.8.8,8.8.4.4
    Tcpip\..\Interfaces\{C0D5D2D1-0439-41F9-B4D4-FE403C82B2F1}: [NameServer] 8.8.8.8,8.8.4.4
    ManualProxies: 1127.0.0.1:1080
    RemoveProxy:

    Po naprawie internet odpala się na kilkanaście minut, po czym znów Proxy przestawione.

    Czy mógłbym prosić kogoś mądrzejszego o sprawdzenie logów i ewentualnie podesłanie fixa?

    0 1
  • Pomocny post
    #2 23 Sie 2018 10:05
    Kolobos
    Spec od komputerów

    To proxy ustawiala ta infekcja:
    S2 9AE7ABDB; C:\PROGRA~2\9AE7ABDB\9AE7AB32.DLL [X]
    Ale juz nie jest aktywna, chyba, ze ktos ponownie uruchomi falszywa fakture otrzymana mailem...

    Wykonaj taki Fixlist.txt:
    CloseProcesses:
    CustomCLSID: HKU\S-1-5-21-727040953-1122322883-1383505795-1002_Classes\CLSID\{010833F3-751A-402F-9FCC-C365B6A12E41}\localserver32 -> C:\Users\Hotel\Downloads\BESTplayer.exe => Brak pliku
    CustomCLSID: HKU\S-1-5-21-727040953-1122322883-1383505795-1002_Classes\CLSID\{7D4733C0-C43B-4A81-AF43-F9B20D1F8348}\InprocServer32 -> C:\Users\Hotel\AppData\Roaming\Octoshape\Octoshape Streaming Services\sua-1101262-0-apoctoshape.dll (Octoshape ApS)
    ContextMenuHandlers1: [ScanNow] -> {41F8EF51-8CD0-4df4-A13A-0E09A7E98AB3} => -> Brak pliku
    Task: {574E13ED-C51D-457A-BECF-21DFE7FB03E6} - System32\Tasks\{A36071BB-F8AC-4BB5-84EA-B9DCBEAB5AA2} => C:\Windows\system32\pcalua.exe -a C:\Windows\system32\bdeadmin.cpl -c BDE Administrator
    Task: {80AA8F18-9D8F-42A4-9E71-CD4B4E741BD1} - System32\Tasks\{A746C35B-6E7B-4225-9923-31D9FFBA8B30} => C:\Windows\system32\pcalua.exe -a "F:\gs kaspersky\setup.exe" -d "F:\gs kaspersky"
    Task: {B3E70B24-E26F-4BC1-85D0-1DFD5D0EBE93} - System32\Tasks\Opera scheduled Autoupdate 1417129543 => C:\Program Files\Opera\launcher.exe [2018-07-25] (Opera Software)
    Task: {D0160D88-4677-4732-B75D-2B93A9059731} - System32\Tasks\{876975C2-CCC3-419D-9ED6-6A52D4C1C1A6} => C:\Windows\system32\pcalua.exe -a C:\Users\Hotel\Downloads\LISTY_OBECNOSCI_WWW.exe -d C:\Users\Hotel\Downloads
    Task: {FCD60CD2-5325-4B8C-B77D-42653C023DBD} - System32\Tasks\{27D0BB27-9B58-4A4C-8D15-9104679E7A60} => C:\Windows\system32\pcalua.exe -a C:\Users\Hotel\Desktop\ajp5.exe -d C:\Users\Hotel\Desktop
    Task: {FD7F7434-7A0F-4C09-96F3-5FE87DE73338} - System32\Tasks\{974EDF69-33F3-4AD1-8CB7-DCAD3D24611B} => C:\DMPlaza\DMStart.exe [2010-05-31] (Plaza)
    HKU\S-1-5-19\...\RunOnce: [] => [X]
    HKU\S-1-5-20\...\RunOnce: [] => [X]
    HKU\S-1-5-21-727040953-1122322883-1383505795-1002\...\MountPoints2: {40e297cd-e9b8-11e5-8f4b-7071bc542d83} - F:\LGAutoRun.exe
    HKU\S-1-5-21-727040953-1122322883-1383505795-1002\...\MountPoints2: {64137b9f-5973-11e3-b790-7071bc542d83} - F:\Startme.exe
    HKU\S-1-5-21-727040953-1122322883-1383505795-1002\...\MountPoints2: {8303301b-ab5f-11e7-992d-7071bc542d83} - E:\Lenovo_Suite.exe
    HKU\S-1-5-21-727040953-1122322883-1383505795-1002\...\MountPoints2: {84c84627-ce41-11e6-b823-7071bc542d83} - F:\HiSuiteDownLoader.exe
    HKU\S-1-5-21-727040953-1122322883-1383505795-1002\...\MountPoints2: {a68761a2-af06-11e4-8438-7071bc542d83} - F:\SISetup.exe
    HKU\S-1-5-21-727040953-1122322883-1383505795-1002\...\MountPoints2: {a7bc375a-f9a6-11e3-ac06-7071bc542d83} - F:\LaunchU3.exe -a
    HKU\S-1-5-21-727040953-1122322883-1383505795-1002\...\MountPoints2: {cd7b936e-7a76-11e5-a02e-7071bc542d83} - F:\Startme.exe
    HKU\S-1-5-21-727040953-1122322883-1383505795-1002\...\MountPoints2: {f135e9f5-63a5-11e1-b362-7071bc542d83} - F:\LaunchU3.exe -a




    HKU\S-1-5-18\...\RunOnce: [] => [X]
    HKU\S-1-5-18\...\RunOnce: [SPReview] => "C:\Windows\System32\SPReview\SPReview.exe" /sp:1 /errorfwlink:"hxxp://go.microsoft.com/fwlink/?LinkID=122915" /build:7601
    GroupPolicy\User: Ograniczenia ? <==== UWAGA
    CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia <==== UWAGA
    ProxyEnable: [S-1-5-21-727040953-1122322883-1383505795-1002] => Proxy [funkcja włączona]
    ProxyServer: [S-1-5-21-727040953-1122322883-1383505795-1002] => 127.0.0.1:1080
    AutoConfigURL: [S-1-5-21-727040953-1122322883-1383505795-1002] => 127.0.0.1:1080
    HKU\.DEFAULT\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage
    HKU\S-1-5-19\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage
    HKU\S-1-5-20\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://securityresponse.symantec.com/avcenter/fix_homepage
    RemoveProxy:
    CHR HKLM\...\Chrome\Extension: [efaidnbmnnnibpcajpcglclefindmkaj] - hxxps://clients2.google.com/service/update2/crx
    CHR HKLM\...\Chrome\Extension: [mchjnmdbdlkdbfliogedbnpnanfjnolk] - hxxps://chrome.google.com/webstore/detail/mchjnmdbdlkdbfliogedbnpnanfjnolk
    OPR Extension: (Go HD 1.1) - C:\Users\Hotel\AppData\Roaming\Opera Software\Opera Stable\Extensions\bokijhalndhhhikpnaniimagniglonke [2018-08-18]
    C:\Users\Hotel\AppData\Roaming\Opera Software\Opera Stable\Extensions\bokijhalndhhhikpnaniimagniglonke
    S2 9AE7ABDB; C:\PROGRA~2\9AE7ABDB\9AE7AB32.DLL [X]
    S3 cpuz134; \??\C:\Users\Hotel\AppData\Local\Temp\cpuz134\cpuz134_x32.sys [X] <==== UWAGA
    U2 srservice; Brak ImagePath
    2018-08-23 07:30 - 2018-08-23 07:30 - 000000000 ____H C:\Users\Hotel\BIT6A1B.tmp
    2018-08-18 14:34 - 2014-12-18 19:53 - 000000000 ____D C:\AdwCleaner

    0