Niezidentyfikowany wirus

[adrspach7]

Witam. Na wstepie przepraszam wszystkich za brak polskich znakow. Za chwile sami sie dowiedzie czym to jest spowodowane. Otoz przedwczoraj zauwazylem, ze komputer dziala duzo wolniej niz zazwyczaj. Postanowilem wiec odpalic narzedzie do czyszczenia od AVG. Niestety nic to nie dalo, wiec doinstalowalem jeszcze CCleaner. To rowniez nie przynioslo oczekiwanego rezultatu. Podczas przeszukiwania internetu zauwazylem cos dziwnego. Na dolnym pasku stanu od google chrome podczas wczytywania strony pojawil sie taki napis: oczekiwanie na tunel proxy (lub cos podobnego, dokladnie nie pamietam). Strony ladowaly sie dluzej. Pomyslalem sobie, ze to jakis wirus. Przeskanowalem wiec kompa AVG, ktory caly czas byl na pokladzie. Wynik = czysto. Doinstalowalem wiec Ad-Aware, ktory w takich sytuacjach zazwyczaj mi pomagal. Wynik = czysto. Przy czym Ad-aware chcial wywalic AVG, co tez uczynilem. Po tych zabiegach dopatrzylem sie rowniez, ze w w.w. pasku od google chrome pojawiaja sie inne hosty niz ten ktory wpisalem. To juz dalo mi powanze do myslenia, bo zaczelem podejrzewac, ze ktos moze przegladac moje informacje o logowaniu, etc. Przypomnialo mi sie, wtedy o ComboFixie. Pobralem (z duzym oporem, przegladarka jakby nie chciala wchodzic na strony z combofixem). Combofix odpalil sie (wczesniej dezaktywowalem AV, wywalilem Deamon tools i czekam. Po 30 minutach na combofixie dalej widnieje informacja, ze potrwa to ok 10min. wiec chcialem go zamknac i sprobowac jeszcze raz. Komputer calkowicie sie zawiesil. Po restarcie wykonalem jeszcze kilka prob z takim samym efektem. Odpalenie combofixa z trybu awaryjnego daje taki sam efekt. Chcialem wiec sprobowac innego AV. Wchodze na strone kasperskiego i chce pobrac traiala, a klikam pobieraj i chrome mieli i mieli, ale nie pobiera. Dalem sobie z nim spokoj. Probuje z bit defenderem. Tutaj pobral mi sie maly plik instalatora online (choc tez z oporami). Proboje go pobrac i wykakuje blad, ze bitdefender ma problem z polaczeniem sie z serwerem. Net dziala, wiec zaczelem sie zastanawiac o co chodzi. W miedzy czasie zauwazylem cos dziwnego. Combofix po odpaleniu wypakowuje pliki na dysk c. Ku mojemu zdziwnieniu folder Combofixa po wypakowaniu zmienia sie w ikone "Moj Komputer" i po klikinieciu odsyla mnie do mojego komputera. Pobralem Hijakthis i chcialem zebrac logi i komus pokazac. Okazalo sie, ze przy probie odpalenia Hijakthis mam blad (podobny jak w przypadku aplikacji niezgodnej z systemem). Odpalenie w zgodnosci z XP i na admienie nic nie dalo. Dalej bylo to samo. Juz w mega desperacji pobralem obraz kaspersky rescue disk 10 (o dziwo sie udalo). Cala noc skanowal komputer i znalazl tylko 2 pliki (jakies stare keygeny do programow w folderze z pobranymi plikami). Znalazlem podobne narzedzie, ale od bitdefendera, uczynilem to samo. Tutaj znalazl mi 6 problemow. Wszystkie to tak jak w przypadku kasperskiego keygeny lub cracki. Po tym probowalem odpalic system, zeby sprawdzic jak to wyglada. Dalej bylo to samo. Co dziwne w ustawieniach sieci protokolu IPv4 system sam zmienia mi dnsy na inne (zawsze byl automat). Niestety nie podam Wam teraz tych danych bo siedze na przegladarce od bitdefender rescue disk (stad brak polskich znakow). W miedzy czasie udalo mi sie cos pogrzebac i zainstalowac Bitdefendera IS na kompa. Jemu rowniez nic nie przeszkadza. Ostatnia proba przed napisaniem tego postu to pobranie Hijakthis na smartfona. Zmiana nazwy z HijakThis.exe na czesc.jpg Wgranie przez bluetootha tego pliku na komputer i zmiana nazwy na komputerze z czesc.jpg. na czesc.exe. I tutaj zaskoczenie. Hijakthis odpalil. Ponizej log z niego:

LOG z HijakThis

 

Logi z OTL:

Extras.txt
OTL.txt

 

Na innym forum (pclab) uzytkownik podsunal mi pomysl, ze nie pasuje mu plik router.exe w system32. Przeskanowalem go na totalvirus. I wyglada na to, ze wszystkie AV nic do niego nie maja. Oto wynik: https://www.virustotal.com/en/file/04f369dbf627ce2e426a3d4d8f9294b37f91933c70f2b2c3b7dc5c05f017d31b/analysis/1410034131/

Z gory dziekuje wszystkim za pomoc

[adrspach7]

Zapomniałem dodać... Gmer się nie odpala, Frst odpala się na 2sek, po czym spada do traya i się wyłącza ;/ pomóżcie

[picasso]

Log z HijackTis nie będzie analizowany. To przestarzałe narzędzie, które nie skanuje połowy wymaganych obszarów.

 

Gmer się nie odpala, Frst odpala się na 2sek, po czym spada do traya i się wyłącza

Przejdź do Trybu awaryjnego Windows i ponów próbę.

 

Ku mojemu zdziwnieniu folder Combofixa po wypakowaniu zmienia sie w ikone "Moj Komputer" i po klikinieciu odsyla mnie do mojego komputera.

To celowa sztuczka i ma zapobiegać przeglądnięciu zawartości katalogu.

 

 

.