Seltsame Autoproxy Einträge

Hallo Board,

ich versuche seit ein paar Tagen ein mysteriöses Problem zu lösen und hoffe Ihr habt evtl. ein paar hilfreiche Hinweise.

Wir verteilen unsere unternehmensweiten Proxyeinstellungen mittels WPAD.
Unsere GPOs sind daher so konfiguriert, dass alle Clients Ihre Einstellungen automatisch vom „WPAD-Server“ beziehen sollen.

Während das bei nahezu allen Rechner problemlos funktioniert, habe ich ein einem Rechner Problem.

Dieser erhält zwar auch die obige Einstellung bekommt aber noch zusätzlich den folgenden aktivierten Eintrag:

„Automatisches Konfigurationsscript verwenden“. Als Adresse steht dann aber einfach nur „del“ (?).

Nun gut. Als Erstes vermutete ich irgendeine Software auf dem Rechner oder ggf. auch eine Malware.
Also, Rechner neu installieren – keine Änderung

Ein Problem mit dem Userprofil konnte ich ebenso bislang ausschließen, da wir
1. Nicht mit servergespeicherten Profilen arbeiten,
2. der Fehler auch nicht zu anderen Rechnern mitwandert und
3. das Profil bei der Erstanmeldung am frisch installierten System neu angelegt wurde.

Nachdem ich den Eintrag in Registry ermittelt hatte, dachte ich mir, dass mich vielleicht eine manuelle Lösung weiterhelfen würde.
Aber, IE schließen und starten – da war er wieder dieser Eintrag in der Registry.

Lokale Sicherheitsrichtlinien sind keine definiert.

Hat jemand eine Idee, woher das kommen könnte?


Für Interessierte hier der Auszug aus der Registry mit den entsprechenden Werten „AutoConfigURL“ und „ProxyServer“ sowie
eine anonymisierte Form unserer WPAD.dat

<<< Schnipp >>>
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings]
"AutoConfigURL"="del"
"GlobalUserOffline"=dword:00000000
"AutoConfigProxy"="wininet.dll"
"ProxyEnable"=dword:00000000
"MimeExclusionListForCache"="multipart/mixed multipart/x-mixed-replace multipart/x-byteranges "
"EnableAutodial"=dword:00000000
"ProxyServer"="del"
"PrivDiscUiShown"=dword:00000001
"EmailName"="IEUser@"
"SyncMode5"=dword:00000004
"WarnOnZoneCrossing"=dword:00000000
"UseSchannelDirectly"=hex:01,00,00,00
"IE5_UA_Backup_Flag"="5.0"
"EnableHttp1_1"=dword:00000001
"EnableNegotiate"=dword:00000001
"PrivacyAdvanced"=dword:00000000
"User Agent"="Mozilla/4.0 (compatible; MSIE 6.0; Win32)"
"REGDBVersion"=hex:07,00,00,00,00,00,00,00
"WarnOnPost"=hex:01,00,00,00
"NoNetAutodial"=dword:00000000
"ProxyOverride"="<local>"
"MigrateProxy"=dword:00000001
<<< Schnapp >>>


WPAD.dat:

<<< schnipp >>>
function FindProxyForURL(url, host)
{
variable strings to return
var proxy_1 = "PROXY 10.59.28.194:8080";
var proxy_2 = "PROXY 10.120.250.130:8080";
var no_proxy = "DIRECT";
if (isInNet(host, "10.1.1.0", "255.255.254.0")) { return no_proxy; }
if (isInNet(host, "10.10.10.0", "255.255.255.0")) { return no_proxy; }
if (isInNet(host, "1.2.3.4", "255.255.255.255")) { return proxy_2;}
if (shExpMatch(url, "*domainname*")) { return proxy_no; }
if (shExpMatch(url, "irgendeinlokalername*")) { return proxy_no; }
if (shExpMatch(url, "*irgendeineadresse")) { return proxy_2; }
Proxy anything else
return 1;
}
<<< Schnapp >>>


Für sachdienliche Hinweise wäre ich sehr dankbar.

Gruß

Michael