Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

[Rozwiązano] Wirus zmienia proxy na 127.0.0.1:1080

superbzyku 26 Wrz 2018 09:30 468 3
  • #1 26 Wrz 2018 09:30
    superbzyku
    Poziom 10  

    Cześć,

    Komputer co jakiś czas zmienia proxy na 127.0.0.1:1080. Program avast znalazł i usunął infekcję, ale problem zmieniającego się adresu nie ustał... Po przeszukaniu forum wiedzę, że temat wałkowany wielokrotnie. Niestety sam nie potrafię dobie poradzić z przygotowaniem odpowiedniego pliku fix. Czy mógłbym prosić kolegów o pomoc?

    0 3
  • Pomocny post
    #2 26 Wrz 2018 10:39
    RADU23
    Moderator - Komputery Serwis

    Otwórz notatnik i wklej zawartość:

    Cytat:
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-1043476970-1046668634-2492239096-1000\...\MountPoints2: {4953a1a6-e6b7-11e6-a9b1-5cf9dddd9b74} - G:\weasis-win32.exe
    HKU\S-1-5-21-1043476970-1046668634-2492239096-1000\...\MountPoints2: {d890499a-6c44-11e7-b0c4-5cf9dddd9b74} - G:\HiSuiteDownLoader.exe
    HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 1 <==== UWAGA (Ograniczenia - ProxySettings)
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-1043476970-1046668634-2492239096-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.pl/
    HKU\S-1-5-21-1043476970-1046668634-2492239096-1000\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.dell.com
    FF Plugin: @microsoft.com/GENUINE -> disabled [Brak pliku]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [Brak pliku]
    S3 dbx; system32\DRIVERS\dbx.sys [X]
    ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} => -> Brak pliku
    ContextMenuHandlers5: [igfxcui] -> {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4} => -> Brak pliku
    Task: {6E307DE9-9B4A-4ED4-9362-37736147E4D8} - System32\Tasks\{796EC079-E2CA-4F26-A294-4AEDC8FD7CDD} => C:\Windows\system32\pcalua.exe -a D:\MetronViewer.exe -d D:\


    Plik zapisz pod nazwą fixlist.txt i umieść w folderze, gdzie masz FRST.exe.
    Uruchom FRST i kliknij w Fix/Napraw.

    Następnie wykonaj skanowanie MBAM oraz ADWcleaner i usuń to co wykryją =>
    https://www.malwarebytes.org/dl-confirm/
    http://www.bleepingcomputer.com/download/adwcleaner/

    0
  • #3 26 Wrz 2018 11:44
    Kolobos
    Spec od komputerów

    Odinstaluj: Google Toolbar for Internet Explorer

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    2018-06-11 08:26 - 2018-06-11 08:26 - 002657808 ___RH () C:\ProgramData\C7B630E7\C7B63064.dll
    HKLM-x32\...\Run: [] => [X]
    HKU\S-1-5-21-1043476970-1046668634-2492239096-1000\...\MountPoints2: {4953a1a6-e6b7-11e6-a9b1-5cf9dddd9b74} - G:\weasis-win32.exe
    HKU\S-1-5-21-1043476970-1046668634-2492239096-1000\...\MountPoints2: {d890499a-6c44-11e7-b0c4-5cf9dddd9b74} - G:\HiSuiteDownLoader.exe
    HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings: [ProxySettingsPerUser] 1 <==== UWAGA (Ograniczenia - ProxySettings)
    RemoveProxy:
    HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia <==== UWAGA
    CHR HKLM\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
    CHR HKLM-x32\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
    C:\ProgramData\C7B630E7\
    R2 C7B630E7; C:\ProgramData\C7B630E7\C7B63064.dll [2657808 2018-06-11] () [Brak podpisu cyfrowego]

    Po wykonaniu usun katalog C:\FRST i to wszystko.

    0
  • #4 28 Wrz 2018 08:38
    superbzyku
    Poziom 10  

    Dziękuję, wskazana lista komend pomogła :)

    0