Problem z przeglądarkami IE oraz Opera / start.qone8.com

[dariomachinist]

Proszę o pomoc z danym laptopem. Główny problem jest z przeglądarkami internetowymi - zarówno IE jak i Opera nie wyświetla stron internetowych, prosi o podanie loginu i hasła -

"musisz się zalogować na "proxy.ec.local.3129" - to okno w Operze.

"Connecting to kamov112.ec.local. - to okno w IE

W IE w zakładce Tools - Manage add-ons a następnie Search Providers był start.qone8.com - usunąłem to ale nic nie pomogło.

Mówię z góry, że uruchomiony był AdwCleaner - logi dodaję. Na ten problem jednak nic nie pomógł.

 

 Results of screen317's Security Check version 0.99.87  
 Windows 7 Service Pack 1 x64 (UAC is enabled)  
 Internet Explorer 11  
``````````````Antivirus/Firewall Check:``````````````
 WMI entry may not exist for antivirus; attempting automatic update.
`````````Anti-malware/Other Utilities Check:`````````
 Adobe Flash Player 15.0.0.152  
````````Process Check: objlist.exe by Laurent````````  
`````````````````System Health check`````````````````
 Total Fragmentation on Drive C:  
````````````````````End of Log``````````````````````
 

Addition.txtPobieranie informacji ...

FRST.txtPobieranie informacji ...

Shortcut.txtPobieranie informacji ...

Extras.TxtPobieranie informacji ...

OTL.TxtPobieranie informacji ...

AdwCleanerR0.txtPobieranie informacji ...

AdwCleanerS0.txtPobieranie informacji ...

gmer.txtPobieranie informacji ...

[picasso]

  Cytat

Główny problem jest z przeglądarkami internetowymi - zarówno IE jak i Opera nie wyświetla stron internetowych, prosi o podanie loginu i hasła -

 

"musisz się zalogować na "proxy.ec.local.3129" - to okno w Operze.

 

"Connecting to kamov112.ec.local. - to okno w IE

Brak oznak czynnej infekcji, a start.qone8.com to błaha infekcja i nie może powodować takich objawów. Do usunięcia jedynie puste odpadki, co również nie powinno mieć związku z opisywanymi objawami. Komunikaty świadczą, że jest ustawione jakieś proxy, tylko że w raportach brak detekcji czynnego proxy w IE, a zawartość Opery kompletnie nieznana (żadne z narzędzi jej nie skanuje). I skoro brak jawnego proxy IE, aż dwie przeglądarki są dotknięte (odrębny system proxy) i nie tylko, gdyż BITS także zgłasza problem połączenia:

 

Application errors:

==================

Error: (09/23/2014 03:19:36 AM) (Source: CVHSVC) (EventID: 100) (User: )

Description: Tylko informacje.

(Patch task for {90140011-0066-0415-0000-0000000FF1CE}): DownloadLatest Failed: Obecnie nie ma aktywnych połączeń sieciowych. Usługa inteligentnego transferu w tle (BITS) ponowni próbę po podłączeniu karty.

 

... to się zastanawiam nad ustawieniami routera, obecnie wykryte DNS puli prywatnej:

 

Tcpip\Parameters: [DhcpNameServer] 10.65.4.24 10.112.102.120 10.65.4.26

 

Czy masz dostęp do konfiguracji routera?

 

 

PS. I doczyszczanie szczątków / wpisów pustych. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
HKU\S-1-5-21-2002578763-3834841585-2894884081-1001\...\Run: [Yahoo! Search] => C:\Users\Media\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrlte.exe
ShellIconOverlayIdentifiers: 00avast -> {472083B0-C522-11CF-8763-00608CC02F24} => No File
HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
StartMenuInternet: IEXPLORE.EXE - C:\Program Files (x86)\Internet Explorer\iexplore.exe
SearchScopes: HKLM - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzuzy0C0ByBtD0DtC0D0EyDtAyB0C0CyByDtN0D0Tzu0CtByEyCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=409711820
SearchScopes: HKLM-x32 - Backup.Old.DefaultScope {6A1806CD-94D4-4689-BA73-E35EA1EA9990}
SearchScopes: HKLM-x32 - {6A1806CD-94D4-4689-BA73-E35EA1EA9990} URL = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=iron2&chnl=iron2&cd=2XzuyEtN2Y1L1Qzuzy0C0ByBtD0DtC0D0EyDtAyB0C0CyByDtN0D0Tzu0CtByEyCtN1L2XzutBtFtCtFtCtFtAtCtB&cr=409711820
SearchScopes: HKCU - Backup.Old.DefaultScope {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
SearchScopes: HKCU - {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
Toolbar: HKLM - No Name - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} - No File
Toolbar: HKLM - No Name - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No File
Toolbar: HKCU - No Name - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File
Task: {09A8B45B-7A9A-4643-B4CF-170ADEA6FEF6} - System32\Tasks\Yahoo! Search Udpater => C:\Users\Media\AppData\Local\Pay-By-Ads\Yahoo! Search\1.3.12.4\dsrsetup.exe
Task: {6635039E-DAC2-4CB3-BDD1-3A6F867632D2} - System32\Tasks\{056BAE49-F8DC-4862-9C64-15F59F42B98A} => Firefox.exe http://www.skype.com/go/downloading?source=lightinstaller&ver=5.0.0.156.259&LastError=404
Task: {6A6E99E6-FC82-4032-B5BC-05B4D3378AED} - System32\Tasks\{46CC9C09-E919-463A-A857-61A3308DFB56} => Iexplore.exe http://ui.skype.com/ui/0/5.10.0.115.259/pl/abandoninstall?source=lightinstaller&page=tsInstall
Task: {781A960F-3EE6-4A8A-BFB8-7152AC60798E} - System32\Tasks\{690B0C16-D596-459D-8425-6CB21E062768} => Firefox.exe
Task: {B5B25082-C247-45C0-9D78-EECEB5156843} - System32\Tasks\{1A73E328-0D25-49CB-918C-66C56858E2F4} => Firefox.exe
Task: {C8DAA606-8DFB-43FA-85E6-554CF52F5069} - System32\Tasks\{31FA67F2-EA51-4C07-892D-7BDA956E97F3} => Firefox.exe
Task: {F3050076-CBE2-4D42-BF21-E91BDFA777AD} - System32\Tasks\{110C1679-876F-49D3-8503-C1AF2959DCF7} => Chrome.exe
CustomCLSID: HKU\S-1-5-21-2002578763-3834841585-2894884081-1001_Classes\CLSID\{FE498BAB-CB4C-4F88-AC3F-3641AAAF5E9E}\InprocServer32 -> C:\Users\Media\AppData\Local\Google\Update\1.3.24.7\psuser_64.dll No File
S2 Nero BackItUp Scheduler 4.0; C:\Program Files (x86)\Common Files\Nero\Nero BackItUp 4\NBService.exe [X]
U3 BcmSqlStartupSvc; No ImagePath
U2 CLKMSVC10_3A60B698; No ImagePath
U2 CLKMSVC10_C3B3B687; No ImagePath
U2 DriverService; No ImagePath
U2 IAStorDataMgrSvc; No ImagePath
U2 iATAgentService; No ImagePath
U2 idealife Update Service; No ImagePath
U3 IGRS; No ImagePath
U2 IviRegMgr; No ImagePath
U2 nvUpdatusService; No ImagePath
U2 Oasis2Service; No ImagePath
U2 PCCarerService; No ImagePath
U2 ReadyComm.DirectRouter; No ImagePath
U2 RichVideo; No ImagePath
U2 RtLedService; No ImagePath
U2 SeaPort; No ImagePath
U2 SoftwareService; No ImagePath
U3 SQLWriter; No ImagePath
U2 Stereo Service; No ImagePath
C:\Users\Media\AppData\Local\Google
C:\Users\Media\Downloads\*(*)*.exe
Reg: reg delete "HKCU\Software\Microsoft\Internet Explorer\Search" /f
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\GIMP Packages" /f
Reg: reg delete "HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Skype Packages" /f
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. System zostanie zresetowany. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

 

 

 

.

[dariomachinist]

Dziękuję za odpowiedź. Nie mam dostępu do routera, jest to sieć firmowa, laptop otrzymałem jako służbowy. Pomyślałem o mozliwej infekcji bo był używany i nie znam jego historii a mój osobisty laptop bez problemu działał z tą siecią.

 

Log z First dołączony.

Fixlog.txtPobieranie informacji ...

[picasso]

Fix wykonany.

 

  Cytat

Nie mam dostępu do routera, jest to sieć firmowa, laptop otrzymałem jako służbowy. Pomyślałem o mozliwej infekcji bo był używany i nie znam jego historii a mój osobisty laptop bez problemu działał z tą siecią.

Może ten laptop ma jakieś firmowe blokady, czy on na pewno ma się łączyć z siecią, czy w Twoich rękach kiedykolwiek to robił? Na wszelki wypadek sprawdzę czy są jakieś polityki proxy ustawione. Otwórz Notatnik i wklej w nim:

 

Reg: reg query "HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings" /s
Reg: reg query "HKCU\Software\Policies\Microsoft\Windows\CurrentVersion\Internet Settings" /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt.

 

 

 

.

[dariomachinist]

Laptop bardzo możliwe, że pracował wcześniej z inną siecią, nigdy w miejscu w jakim teraz jestem. Blokad firmowych nie powinien mieć żadnych.

Fixlog.txtPobieranie informacji ...

[picasso]

Nic tu nie ma. Prócz przeglądarek, czy inne programy związane z połączeniem (np. Skype) też się nie łączą? Może jeszcze spróbuj: Panel sterowania > Sieć i Internet > Centrum sieci i udostępniania > Skonfiguruj nowe połączenie lub nową sieć.

[dariomachinist]

Skype łączy się prawidłowo, na tym laptopie jest też zainstalowana Ipla - też działa ok. Spróbuję to co napisałaś, spróbuję także innej przeglądarki Chrome czy FF.

 

Zainstalowałem FF i działa prawidłowo, po instalacji antywirusa (bo nie było żadnego) AVG wykrył takie rzeczy:

 

[picasso]

Skoro dwie przeglądarki na trzy mają problem, a inne programy realizujące funkcje sieciowe się łączą, to mi jednak wygląda na proxy po stronie IE, co mogłoby dotknąć także i Operę. Wg śladów w logu Opera wygląda na tę nową linię na silniku Blink, więc tak jak Google Chrome korzysta z proxy IE. Tylko w raportach nic nie widać. Otwórz Panel sterowania > Sieć i Internet > Opcje internetowe > Połączenia:

 

- Czy coś stoi w oknie połączeń?

- Czy w "Ustawienia sieci LAN" jest ustawione "Automatycznie wykryj ustawienia"?

 

 

  Cytat

po instalacji antywirusa (bo nie było żadnego) AVG wykrył takie rzeczy

To nic szczególnego i bez wpływu na obecny stan systemu, o ile te pliki ponownie nie zostaną uruchomione. To pobrane pliki "downloaderów" portalowych lub instalatory programów zawierające adware. Oczywiście do wyrzucenia. Więcej na temat tych zjawisk: KLIK.

 

 

 

.

[dariomachinist]

 

Pliki z alertu AVG zostały usunięte.

[picasso]

Podaj mi dodatkowy skan. Otwórz Notatnik i wklej w nim:

 

CMD: netsh winhttp show proxy
Reg: reg query "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings" /s
Reg: reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /s

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Dostarcz wynikowy fixlog.txt.

 

 

 

.

[dariomachinist]

Wykonane.

Fixlog.txtPobieranie informacji ...

[picasso]

Podejrzenie budzą określone wpisy Proxy Auto Detect (WPAD) strony bieżącego użytkownika:

 

 

  Pokaż ukrytą zawartość

 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad

WpadLastNetwork REG_SZ {D597BCB6-2553-4485-9F47-127D1BB2D121}
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\00-00-0c-07-ac-0a

WpadDecisionReason REG_DWORD 0x0

WpadDecisionTime REG_BINARY 5691B7793AD8CF01

WpadDecision REG_DWORD 0x1

WpadDetectedUrl REG_SZ http://wpad.ec.local/wpad.dat
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\90-f6-52-39-a4-94

WpadDecisionReason REG_DWORD 0x1

WpadDecisionTime REG_BINARY E71D7B0097D5CF01

WpadDecision REG_DWORD 0x0

WpadDetectedUrl REG_SZ
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{15E3A5F4-941C-4D1F-B54D-B22D11E3A691}

WpadDecisionReason REG_DWORD 0x1

WpadDecisionTime REG_BINARY 1DBF3F0AC62FCF01

WpadDecision REG_DWORD 0x0

WpadNetworkName REG_SZ Sie† niezidentyfikowana
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{15E3A5F4-941C-4D1F-B54D-B22D11E3A691}\90-f6-52-39-a4-94
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{4D5BA97D-DB51-485B-BFFD-D40960612B12}

WpadDecisionReason REG_DWORD 0x1

WpadDecisionTime REG_BINARY D8C54702E36ACF01

WpadDecision REG_DWORD 0x0

WpadNetworkName REG_SZ Sie† niezidentyfikowana
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{4D5BA97D-DB51-485B-BFFD-D40960612B12}\90-f6-52-39-a4-94
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{54B6A2DE-A17B-4100-9ADC-DD2BDA3F86E6}

WpadDecisionReason REG_DWORD 0x1

WpadDecisionTime REG_BINARY 14982C4E9789CF01

WpadDecision REG_DWORD 0x0

WpadNetworkName REG_SZ Sie† niezidentyfikowana
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{54B6A2DE-A17B-4100-9ADC-DD2BDA3F86E6}\90-f6-52-39-a4-94
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{6EB9184A-D2BF-493F-B047-B94F54084A10}

WpadDecisionReason REG_DWORD 0x1

WpadDecisionTime REG_BINARY 00E68A17BFB6CD01

WpadDecision REG_DWORD 0x0

WpadNetworkName REG_SZ Sie† niezidentyfikowana
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{6EB9184A-D2BF-493F-B047-B94F54084A10}\90-f6-52-39-a4-94
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{A710083E-95BC-4B67-8911-627E504AC354}

WpadDecisionReason REG_DWORD 0x1

WpadDecisionTime REG_BINARY 0A5F8C52AB3ACF01

WpadDecision REG_DWORD 0x0

WpadNetworkName REG_SZ Sie† niezidentyfikowana
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{A710083E-95BC-4B67-8911-627E504AC354}\90-f6-52-39-a4-94
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{A8EF4C23-6F1E-48B3-B7EE-D9899978A19D}

WpadDecisionReason REG_DWORD 0x1

WpadDecisionTime REG_BINARY CE4EE934B6D6CF01

WpadDecision REG_DWORD 0x0

WpadNetworkName REG_SZ MEDIA-KOMPUTER-41060
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{BE286056-93BC-438A-9A15-6BE85D0020FD}

WpadDecisionReason REG_DWORD 0x0

WpadDecisionTime REG_BINARY 5691B7793AD8CF01

WpadDecision REG_DWORD 0x1

WpadNetworkName REG_SZ ec.local

WpadDetectedUrl REG_SZ http://wpad.ec.local/wpad.dat
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{BE286056-93BC-438A-9A15-6BE85D0020FD}\00-00-0c-07-ac-0a
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{C776F851-B336-4076-A21B-412BD34AB26B}

WpadDecisionReason REG_DWORD 0x1

WpadDecisionTime REG_BINARY D6846DEC5DA6CF01

WpadDecision REG_DWORD 0x0

WpadNetworkName REG_SZ Sie† niezidentyfikowana
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{C776F851-B336-4076-A21B-412BD34AB26B}\90-f6-52-39-a4-94
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{D597BCB6-2553-4485-9F47-127D1BB2D121}

WpadDecisionReason REG_DWORD 0x1

WpadDecisionTime REG_BINARY E71D7B0097D5CF01

WpadDecision REG_DWORD 0x0

WpadNetworkName REG_SZ STIMO
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{D597BCB6-2553-4485-9F47-127D1BB2D121}\90-f6-52-39-a4-94
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{D8A40753-677D-4098-94C1-AF03A7B585D0}

WpadDecisionReason REG_DWORD 0x1

WpadDecisionTime REG_BINARY 5FF17039ADD6CF01

WpadDecision REG_DWORD 0x0

WpadNetworkName REG_SZ Sie† niezidentyfikowana
 

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad\{E7583339-600F-4C19-8A22-A8A7CE32BC01}

WpadDecisionReason REG_DWORD 0x1

WpadDecisionTime REG_BINARY AB85D4E4ECF4CE01

WpadDecision REG_DWORD 0x0

WpadNetworkName REG_SZ Sie† niezidentyfikowana

 

 

 

Otwórz Notatnik i wklej w nim:

 

Reg: reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Wpad" /v WpadOverride /t REG_DWORD /d 0x1 /f
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Nastąpi restart. Przedstaw fixlog.txt i powiedz czy są notowale zmiany.

 

 

 

 

.

[dariomachinist]

Jest nadal to samo.

 

W IE po braku lub błędnym podaniu loginu i hasła jest wyświetlane:

 

ERROR

Cache Dostęp zabroniony.

The following error was encountered while trying to retrieve the URL: http://www.google.pl/

Dostęp do serwera cache zabroniony.

Sorry, you are not currently allowed to request http://www.google.pl/ from this cache until you have authenticated yourself.

Please contact the cache administrator if you have difficulties authenticating yourself.

Utworzono Thu, 25 Sep 2014 02:31:02 GMT przez komov112 (squid/3.2.5)

 

Laptop dziś zaczął bardzo długo wisieć na logo uruchamiania systemu windows - wisi tak ponad 3 min zanim się uruchomi. Czy wpływ na to może mieć zainstalowany dziś AVG?

Fixlog.txtPobieranie informacji ...

[picasso]

Kolejne podejście, tym razem deaktywacja buforowania proxy. Otwórz Notatnik i wklej w nim:

 

Reg: reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v EnableAutoProxyResultCache /t REG_DWORD /d 0x0 /f
Reboot:

 

Plik zapisz pod nazwą fixlist.txt i umieść obok narzędzia FRST. Uruchom FRST i kliknij w Fix. Restart. Podaj fixlog.txt i powiedz czy są jakieś zmiany.

 

 

  Cytat

Laptop dziś zaczął bardzo długo wisieć na logo uruchamiania systemu windows - wisi tak ponad 3 min zanim się uruchomi. Czy wpływ na to może mieć zainstalowany dziś AVG?

Owszem, AVG tu pasuje, jeśli efekt pojawił się po jego instalacji.

 

 

.

[dariomachinist]

Nadal to samo. Komputer był uruchamiany razem z podpiętym kablem lan i prośba o login i hasło wyskoczyła sama zaraz po uruchomieniu komputera.

 

Po kilkukrotnym restarcie włącza się już szybciej - lekko ponad minutę wiszenia na logo windows, fałszywy alarm.

 

Edycja

 

picasso, na ten moment bardzo dziękuję za pomoc ale na koniec zmiany szefu pytał mnie jak laptop się sprawuje, jak stwierdziłem  że są z nim trochę problemy to zabrał go ze sobą aby oddać go do swojego znajomego informatyka co m.in. zakładał sieć tutaj w firmie. Mówiłem mu, że laptop jest teraz diagnozowany i problem na pewno zostanie rozwiązany ale stwierdził, że jestem mechanikiem maszyn a nie informatykiem ;-) Jeżeli problem nie zostanie rozwiązany to na pewno tutaj napiszę.

Fixlog.txtPobieranie informacji ...

Edytowane 25 Września 2014 przez dariomachinist