Dotkliwy wirus

[Rayso97]

Witam. Około miesiąc temu zaraziłem swój komputer bardzo nieciekawym wirusem, którego w żaden sposób i za pomocą żadnego programu nie mogę usunąć.
Pod spodem opiszę wszystkie jego skutki oraz próby usunięcia go, proszę o dokładne przeczytanie, jeśli naprawdę chcesz mi pomóc.
Skutki wirusa:
-Otwieranie kart oraz okien każdej przeglądarki internetowej, próbowałem z Chromem, IE, Mozillą i nawet Vivaldi, działa on wszędzie
-Zużycie dysku, procesora oraz sieci 100% - Co udało mi się usunąć i aktualnie tego nie ma
-Zaśmiecenie komputera róznymi programami, bibliotekami, ikonami i wpisami w rejestrze - Większość usunąłem ale cały czas powstają kolejne
-I teraz najgorsze, objaw który pokazał się dopiero teraz, wirus podmienia każdy plik, który próbuje ściągnąć na archiwum w którym jest aktywator tego samego wirusa. Archiwum te posiada losową nazwę i zawsze waży między 1,30-1,60mb. Sprawdza się nawet w przypadku ściągnięcia załącznika z maila, nie tylko plików ze stron.
Próby naprawy:
-Skan i oczyszczenie komputera programami: AdwCleaner, Malwarebytes Anti-Malware, OTL, ComboFix, Roguekiller
-Ręczne czyszczenie rejestru
-Odinstalowanie wszystkich programów, które nie są podstawowymi windowsa lub dobrze mi znanymi
-Czyszczenie oraz reinstall przeglądarek, reinstall flash playera.
-Przywrócenie systemu - Niestety każdy punkt przywracania był już po zainfekowaniu.

Przeszukiwałem internet godzinami w języku polskim i angielskim i nie znalazłem niczego, co mogłoby mi pomóc, a format komputera to dla mnie ostateczność. Zresztą obawiam się że wirus przeniesie się na USB z windowsem. Proszę was o pomoc. Poniżej Logi z OTL'a, Combofixa i FRST.

Addition.txt

FRST.txt

Shortcut.txt

Edytowane 28 Listopada 2017 przez Miszel03
Kasuje raporty OTL i log ComboFix. //Miszel03

[Miszel03]

Raporty OTL kasuję - to przestarzałe narzędzie diagnostyczne.

Kasuję również log z ComboFix, który tutaj w ogóle nie będzie brany pod uwagę - jego używanie przez zwykłych użytkowników jest niebezpieczne - KLIK. 
 

---

 

Problem reklam, przekierowywań leży najprawdopodobniej w ustawieniu serwerów DNS z poziomu Windows - są zagraniczne, więc prawdopodobnie zainfekowane.
Oprócz tego widoczny jest wpis w Harmonogramie zadań uruchamiający strony z reklamami, niechcianą treścią. 
 
Sprzątane będę również resztki po wcześniej odinstalowanym oprogramowaniu i usuwane polityki grup - prawdopodobne pozostałości po innych infekcjach. 
 
1. Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:
 

CloseProcesses:
CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia GroupPolicy: Ograniczenia - Windows Defender GroupPolicy\User: Ograniczenia Tcpip\..\Interfaces\{C795B877-EDBF-4CB6-86C7-98A7B9FA6ECC}: [NameServer] 35.177.46.238,178.132.6.57,46.101.28.31,82.202.226.203,193.238.153.54,10.0.0.1
HKU\S-1-5-21-2338321336-1237434166-982625386-1000\Software\Microsoft\Internet Explorer\Main,Start Page = 
S3 asmthub3; system32\DRIVERS\asmthub3.sys [X]
S3 asmtxhci; system32\DRIVERS\asmtxhci.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
Task: {C4B52028-A78A-45FB-9B6F-768F3AE6D43E} - System32\Tasks\Scheduled Update S-1-8-22 => C:\Windows\explorer.exe hxxp://ifmaxi.ru C:\Users\AdamG\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
MSCONFIG\startupreg: Plumbytes Anti-Malware => "C:\Program Files\Plumbytes Software\Plumbytes Anti-Malware\Plumbytes.exe" /tray
MSCONFIG\startupreg: MailRuUpdater => C:\Users\AdamG\AppData\Local\Mail.Ru\MailRuUpdater.exe
C:\Users\AdamG\Desktop\osu!\repair osu!.lnk
C:\Users\AdamG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PotPlayer\PotPlayer.lnk
C:\Users\AdamG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PotPlayer\Uninstall PotPlayer.lnk
DeleteKey: HKCU\Software\Mozilla
DeleteKey: HKCU\Software\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\mozilla.org
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
C:\Users\AdamG\AppData\Local\Mozilla
C:\Users\AdamG\AppData\Roaming\Mozilla
C:\Users\AdamG\AppData\Roaming\Profiles
VirusTotal: C:\Windows\system32\drivers\FctdwR3QEejU.sys
CMD: ipconfig /flushdns
CMD: netsh advfirewall reset
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 
Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt
 
2. Ponów całościowy skan za pomocą Malwarebytes AntiMalware. Jeśli coś wykryje to niczego nie usuwaj, a dostarcz raport. 
 
3. Zrób nowy log FRST z opcji Skanuj (Scan) wraz z Addition, ale już bez Shortcut. Dołącz też plik fixlog.txt.

[Miszel03]

O, widzę, że założyłeś na różnych forach - KLIK. Przeczytaj mój post na tamtym forum. 

[Rayso97]

Malwarebytes nie wykryło nic.

Poniżej logi z FRST:

 

Sprawdziłem teraz i podmiana ściągania została zlikwidowana. Aktualnie nie widzę już żadnego śladu po tym wirusie. Bardzo dziękuję za pomoc. Jesteś cudotwórcą
Mógłbyś podać mi jakieś źródła gdzie mógłbym nauczyć się drogi eliminownia takich błędów przez FRST?

Addition.txt

FRST.txt

Fixlog.txt

[Miszel03]

Wszystko pomyślnie wykonane. Widoczne infekcje usunięte.
 
Skoro piszesz, że problemu ustąpiły to będziemy kończyć.
Zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. 
 

Mógłbyś podać mi jakieś źródła gdzie mógłbym nauczyć się drogi eliminownia takich błędów przez FRST?

 
Poprawne interpretowanie raportów systemowych nie tylko za pośrednictwem FRST wymaga kompleksowej wiedzy o samym systemie operacyjnym i oprogramowaniu.
To wymaga czasu i doświadczenia. Jak zaczynałem walczyć ze złośliwym oprogramowaniem to analizowałem jego sposób działania i gdzie co się lubi lokować na maszynie wirtualnej. W ten sam sposób uczę się naprawiać uszkodzony system itd.
 
Właściwie to ja nadal się uczę - pod okiem wyróżnionej przez Microsoft picasso.
Istnieje szkoła UNITE Against Malware gdzie uczą znajomości systemu, zasad działania złośliwego oprogramowania, ale taka nauka trwa najczęściej długo...nawet do 2 lat i więcej (choć niektórym udaję się szybciej skończyć szkole). Wymagana jest znajomość angielskiego na wysokim poziomie.