Sam włącza się serwer proxy dla lan - brak internetu

**Posty:** 369 · przez **Mati92** 19 Lip 2018, 08:17

Witam załogę. Mam pewien problem z automatycznym włączaniem serwera proxy sieci LAN.
Sprawa wygląda tak. Po jakimś czasie użytkowania lub po restarcie (nie zawsze) włącza się ta opcja w ustawieniach sieci LAN (IP: 127.0.0.1) i powoduję brak dostępu do internetu. Trzeba wejść w PA i znów to wyłączyć po czym internet powraca. Niestety jest to komputer firmowy u znajomego i takie zachowanie zdecydowanie nie powinno się pojawiać.

Wyczytałem u "wujka google", że to może być przyczyna infekcji.

Wykonałem następujące czynności:

- skan AdwCleaner - znalazł kilka infekcji po czym je usunąłem.
- skan Junkware Removal Tool - ta sama akcja.
- skan ComboFix - coś tam znalazł i usunął

Po każdym zabiegu restart. Na koniec ogarnąłem pliki i rejestr za pomocą CCleaner.
Niestety problem pojawia się ponownie.

Załączam logi z FRST.

**Posty:** 4765 · przez **ordynat** 19 Lip 2018, 09:39

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

RemoveDirectory: C:\ProgramData\E6EEB919
R2 E6EEB919; C:\ProgramData\E6EEB919\E6EEB964.dll [2944016 2018-07-17] () [Brak podpisu cyfrowego]
HKU\S-1-5-19\...\Winlogon: [Shell] C:\Windows\explorer.exe [2868224 2009-07-14] (Microsoft Corporation) <==== UWAGA
HKU\S-1-5-20\...\Winlogon: [Shell] C:\Windows\explorer.exe [2868224 2009-07-14] (Microsoft Corporation) <==== UWAGA
HKU\S-1-5-18\...\Winlogon: [Shell] C:\Windows\explorer.exe [2868224 2009-07-14] (Microsoft Corporation) <==== UWAGA
Startup: C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\adobe_upd.jse [2018-07-17] ()
Startup: C:\Users\pc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\sk32.jse [2018-07-17] ()
ProxyEnable: [.DEFAULT] => Proxy [funkcja włączona]
ProxyServer: [.DEFAULT] => 127.0.0.1:1080
ProxyServer: [S-1-5-21-3899965285-328459648-1318158005-1000] => ftp=127.0.0.1:1080;http=127.0.0.1:1080;https=127.0.0.1:1080
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 GDPkIcpt; \??\C:\Windows\system32\drivers\PktIcpt.sys [X]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).

Autor postu otrzymał pochwałę

**Posty:** 369 · przez **Mati92** 20 Lip 2018, 07:35

Operacja wykonana. Niestety problem nie zniknął.
Jakieś pomysły ?

Przesyłam log po naprawie.

**Posty:** 4765 · przez **ordynat** 20 Lip 2018, 08:39

"HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable" => pomyślnie usunięto
"HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer" => pomyślnie usunięto
"HKU\S-1-5-21-3899965285-328459648-1318158005-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyServer" => pomyślnie usunięto

Teoretycznie szkodliwe ustawienia proxy zostały usunięte.
Zrób nowe logi FRST -zobaczymy, czy w rzeczywistości też ich już nie ma?

.

**Posty:** 369 · przez **Mati92** 20 Lip 2018, 10:05

Przesyłam logi do kontroli. AdwCleaner nic już nie wykrywa. Dodatkowo jak powęszyłem to dowiedziałem się faktów takich, że jakiś magik instalował windowsa na dodatek z pochodzenia nielegalnego. Oczywiście mój błąd, nie sprawdziłem aktualizacji windowsa gdzie ostatnia była robiona w 2015r. Wykonałem aktualizacje i wydaje się, że wszystko działa jak należy. Zobaczymy w poniedziałek jak przyjdą do pracy co się wydarzy. Jak będzie to samo to przystąpię do reinstalacji systemu i ogarnięcia wszystkiego tak jak to powinno funkcjonować.

Pozdrawiam i dzięki za pomoc.

**Posty:** 4765 · przez **ordynat** 20 Lip 2018, 11:01

Uruchom FRST. NA klawiaturze naciśnij jednocześnie CTRL+Y.Otworzy się Notatnik - wklej do niego:

ProxyServer: [S-1-5-21-3899965285-328459648-1318158005-1000] => 127.0.0.1:1080
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

Na klawiaturze naciśnij jednocześnie CTRL+S. W FRST kliknij na Fix (NAPRAW).