Desactivar Proxy en W10

Buenas, creo que tengo un malware. Un compañero de trabajo me instalo W10 conectandose al internet de alli, que sabe tener problemas con el proxy, y ahora no puedo desactivarlo. Al buscarlo en la configuracion y desactivarlo desde la “configuracion manual de proxy” no me deja guardar la opcion. Lo he solucionado en firefox detectando auntomaticamente la configuracion proxy. Tambien en chrome corriendo un script que me permitio modificar la configuracion LAN del proxy (a la que tampoco podia acceder) con este video: https://www.youtube.com/watch?v=_drbSMByPs8 y pense que estaba todo solucionado sin aun poder guardar la configuracion proxt que antes mencione. Pero ahora, al querer trabar con python desde la consola de windows, me tira un error de conexion proxy y aun no puedo cambiarla. IMAGEN Se pinta de gris cuando quiero desactivarlo. Que puedo hacer para solucionarlo? He leido que es un malware, pero no estoy seguro de ello. Muchas gracias

Hola @juanmac

Busquemos primero si en tu equipo hay infecciones:

Realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga, instala y/o actualiza a las siguientes herramientas:

3.- Ejecutas respetando el orden los pasos con todos los programas cerrados incluido los navegadores

CCleaner

Usando su opción Limpiador de acuerdo su Manual:

  • Para borrar Cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.

  • NO necesitamos este reporte

AdwCleaner

Lo ejecutas.

  • Pulsa en el botón Escanear y espera a que se realice el proceso. Luego pulsa sobre el botón Limpiar.
  • Espera a que se complete. Si te pidiera reiniciar el sistema Aceptas.
  • Guarda el reporte que le aparecerá para copiarlo y pegarlo en tu próxima respuesta.
  • El informe también puede encontrarse en “C:\AdwCleaner\AdwCleaner.txt”

ZHPCleaner

  • Siguiendo su manual, lo instalas y ejecutas. Cuando termine, elimina todo lo que encuentre.

Malwarebytes

  • No olvides actualizarlo.
  • Lee detenidamente su Manual
  • Realiza un Análisis Personalizado marcando todas las unidades
  • Pulsa en “Eliminar Seleccionados” para enviar lo encontrado a la cuarentena.
  • Reinicias el Sistema.
  • En el apartado del manual “Historial” >> Registros de Aplicación >> Scan Log/Registro de Análisis encontrarás el informe del MBAM, que debes copiar y pegar en tu próxima respuesta.

4.- Nota Importante:

En tu próxima respuesta debes pegar los reportes de AdwCleaner , ZHPCleaner y Malwarebytes.

Guía: ¿Como Pegar reportes en el Foro?

Nos comentas.

Salu2

Muchas gracias por la pronta respuesta! Lamentablemente no voy a poder pasar los programas hasta el domingo que esté con la PC nuevamente. En cuanto la tenga a mano pasaré los reportes. Agradezco nuevamente.

Hola @juanmac

Por acá esperamos los resultados.

Salu2.

Buenas @SanMar Te comento que ya pase todos los programas que me dejaste y se soluciono el problema! Era el clasico malware que se comenta internet se ve. De todos modos te dejo los registros, comentandote la salvedad de que exclui de la consideracion de los programas el KMPsico para la activacion de Office.

# Malwarebytes AdwCleaner 7.4.0.0
# -------------------------------
# Build:    07-23-2019
# Database: 2019-08-21.1 (Cloud)
# Support:  https://www.malwarebytes.com/support
#
# -------------------------------
# Mode: Scan
# -------------------------------
# Start:    08-25-2019
# Duration: 00:00:14
# OS:       Windows 10 Home
# Scanned:  35493
# Detected: 7


***** [ Services ] *****

No malicious services found.

***** [ Folders ] *****

No malicious folders found.

***** [ Files ] *****

No malicious files found.

***** [ DLL ] *****

No malicious DLLs found.

***** [ WMI ] *****

No malicious WMI found.

***** [ Shortcuts ] *****

No malicious shortcuts found.

***** [ Tasks ] *****

PUP.Optional.PrxySvrRST         C:\Windows\System32\Tasks\INSTALLSHIELD® UPDATE SERVICE SCHEDULER
PUP.Optional.PrxySvrRST         C:\Windows\System32\Tasks\OPTIMIZE THUMBNAIL CACHE FILES

***** [ Registry ] *****

PUP.Optional.PrxySvrRST         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{B6DDED2E-3C79-4E70-A297-6107684F251E} 
PUP.Optional.PrxySvrRST         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6B5E3DA7-BBC2-48FC-B001-ECA8514CEC79} 
PUP.Optional.PrxySvrRST         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B6DDED2E-3C79-4E70-A297-6107684F251E} 
PUP.Optional.PrxySvrRST         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\InstallShield® Update Service Scheduler
PUP.Optional.PrxySvrRST         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Optimize Thumbnail Cache Files

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries found.

***** [ Chromium URLs ] *****

No malicious Chromium URLs found.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries found.

***** [ Firefox URLs ] *****

No malicious Firefox URLs found.

***** [ Preinstalled Software ] *****

No Preinstalled Software found.



########## EOF - C:\AdwCleaner\Logs\AdwCleaner[S00].txt ##########
~ Run by SSD Juan (Administrator)  (25/08/2019 12:15:06)
~ Web: https://www.nicolascoolman.com
~ Blog: https://nicolascoolman.eu/
~ Facebook : https://www.facebook.com/nicolascoolman1
~ State version : 
~ Certificate ZHPCleaner: Legal
~ Type : Reparar
~ Report : C:\Users\PINOCHO\Desktop\ZHPCleaner (R).txt
~ Quarantine : C:\Users\PINOCHO\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt
~ UAC : Activate
~ Boot Mode : Normal (Normal boot)
Windows 10 Home, 64-bit  (Build 18362)

---\  Alternate Data Stream (ADS). (0)
~ No malintencionados o innecesarios artículos encontrados. (ADS)

---\  Servicios (0)
~ No malintencionados o innecesarios artículos encontrados. (Servicio)

---\  Navegadores de Internet (3)
BORRADOS dados: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride [Bad : <-loopback>]  =>Hijacker.Proxy
BORRADOS dados: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyOverride [Bad : <-loopback>]  =>Hijacker.Proxy
BORRADOS dados: [X64] HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxySettingsPerUser [Bad : 0]  =>.SUP.ProxyRestriction

---\  Hosts carpeta (1)
~ El archivo hosts es legítimo (21)

---\  Tareas automáticas programadas. (0)
~ No malintencionados o innecesarios artículos encontrados. (Tarea)

---\  Explorador ( Archivos, Carpetas ) (5)
MOVIDO carpeta: C:\Windows\SECOH-QAD.dll    =>HackTool.KMSpico
MOVIDO carpeta: C:\Windows\SECOH-QAD.exe    =>HackTool.KMSpico
MOVIDO carpeta: C:\Program Files\KMSpico\Service_KMS.exe [@ByELDI - Service_KMS]  =>HackTool.KMSpico
MOVIDO archivo: C:\Program Files\KMSpico  =>HackTool.KMSpico
MOVIDO archivo: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico  =>HackTool.KMSpico

---\  Registro ( Claves, Valores, Datos) (5)
BORRADOS dados: [X64] HKLM\SOFTWARE\Classes\htmlfile\Shell\Open\Command\\Default [Bad : [html] '%1' %*]  =>Broken.OpenCommand
BORRADOS clave*: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\2691357ABFDA49C4A8E1C8A221F7B846 [C:\Program Files (x86)\F-Secure\SAFE\ui\BrowserExtensionsReinstall.ui]  =>.SUP.BrowserExtension
BORRADOS clave*: [X64] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{8B29D47F-92E2-4C20-9EE0-F710991F5D7C}_is1 [KMSpico]  =>HackTool.KMSpico
BORRADOS valor: HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules\\{73F4F49A-2C5A-41B4-A4B9-DC5A1073FC7F} [C:\Program Files\KMSpico\Service_KMS.exe]  =>HackTool.KMSpico
BORRADOS valor: HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\firewallRules\\{F0822B33-DF96-4335-AD2B-F82155E67C70} [C:\Program Files\KMSpico\Service_KMS.exe]  =>HackTool.KMSpico

---\  Resumen de elementos en su estación de trabajo (5)
https://nicolascoolman.eu/2017/04/03/hijacker-proxy/  =>Hijacker.Proxy
https://nicolascoolman.eu/2017/01/20/logiciels-superflus/  =>.SUP.ProxyRestriction
https://nicolascoolman.eu/2017/02/16/hacktool-kmspico/  =>HackTool.KMSpico
https://nicolascoolman.eu/2017/01/27/repaquetage-et-infection/  =>Broken.OpenCommand
https://nicolascoolman.eu/2017/10/05/sup-browserextension/  =>.SUP.BrowserExtension

---\ Limpieza adicional. (6)
~ Clave de registro Tracing borrados (6)
~ Quitar los antiguos informes de ZHPCleaner. (0)

---\ Resultado de la reparación.
~ Reparación llevada a cabo con éxito
~ falta este navegador! (Google Chrome)
~ falta este navegador! (Opera Software)

---\ STATISTIQUES
~ Items escaneado : 884
~ Items encontrado : 0
~ artículos cancelados : 0
~ Items opciones : 6/13
~ Ahorro de espacio (bytes) : 0
~ End of clean in 00h00mn22s

---\  Reporte (2)
ZHPCleaner-[S]-25082019-12_10_03.txt
ZHPCleaner-[R]-25082019-12_15_28.txt
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 25/8/19
Hora del análisis: 12:20
Archivo de registro: e96a0d46-c74b-11e9-b21f-107d1a1bcbe2.json

-Información del software-
Versión: 3.8.3.2965
Versión de los componentes: 1.0.613
Versión del paquete de actualización: 1.0.12177
Licencia: Prueba

-Información del sistema-
SO: Windows 10 (Build 18362.295)
CPU: x64
Sistema de archivos: NTFS
Usuario: DESKTOP-LUOQD41\SSD Juan

-Resumen del análisis-
Tipo de análisis: Análisis personalizado
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 518591
Amenazas detectadas: 6
Amenazas en cuarentena: 4
Tiempo transcurrido: 40 min, 35 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 0
(No hay elementos maliciosos detectados)

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 6
Generic.Malware/Suspicious, C:\USERS\PINOCHO\APPDATA\ROAMING\ZHP\QUARANTINE\ZHPCLEANER\KMSPICO\AUTOPICO.EXE, En cuarentena, [0], [392686],1.0.12177
Generic.Malware/Suspicious, C:\USERS\PINOCHO\APPDATA\ROAMING\ZHP\QUARANTINE\ZHPCLEANER\SERVICE_KMS.EXE, En cuarentena, [0], [392686],1.0.12177
HackTool.Agent.KMS, C:\USERS\PINOCHO\APPDATA\ROAMING\ZHP\QUARANTINE\ZHPCLEANER\KMSPICO\KMSELDI.EXE, En cuarentena, [7673], [700614],1.0.12177
Generic.Malware/Suspicious, E:\PROGRAM FILES\KMSPICO\SERVICE_KMS.EXE, Sin acciones por parte del usuario, [0], [392686],1.0.12177
HackTool.Agent.KMS, E:\PROGRAM FILES\KMSPICO\KMSELDI.EXE, Sin acciones por parte del usuario, [7673], [700614],1.0.12177
PUP.Optional.InstallCore, E:\USERS\JUAN\DOWNLOADS\INSTALLSHIELD_0308952142.EXE, En cuarentena, [447], [615418],1.0.12177

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)


(end)

Si tenes algun comentario mas para hacerme, recomensacion o accion necesaria son mas que bienvenidas. Abrazo.

Hola @juanmac

Prueba un par de reinicios para confirmar si se soluciono completamente el problema.


Para eliminar las herramientas utilizadas:

Descargas >> Delfix, a tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7 /8 /10,presiona clic derecho y selecciona >> “Ejecutar como Administrador”)
  • Marca las casilla Remove disinfection tools y Purgue Sistem Restore
  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.

Nos comentas si todo esta en orden para dar por Solucionado el tema.

Salu2.

Bueno ya realice todo lo que me pediste y la pc esta funcionando perfecto. Quiero agradecer al foro, a toda la gente que aporta aca y especialmente a vos en este caso @SanMar, porque no es la primera vez que soluciono problemas con uds. Muchisimas gracias y sigan asi que la web los necesita! Abrazo.

Hola @juanmac

Gracias a ti por tus comentarios…:clap::blush:

Para eliminar las herramientas utilizadas:

Descargas >> Delfix, a tu escritorio.

  • Doble clic para ejecutarlo.(Si usas Windows Vista/7 /8 /10,presiona clic derecho y selecciona >> “Ejecutar como Administrador”)
  • Marca las casilla Remove disinfection tools y Purgue Sistem Restore
  • Pulsar en Run.

Se abrirá el informe (DelFix.txt), guárdalo por si fuera necesario y cierra la herramienta.


Para otros problemas, ya sabes donde encontrarnos. :wink:

Tema Solucionado

Salu2.