Proxy féreg kiirtása

 ( neutrino | 2018. június 12., kedd - 8:30 )

Sziasztok,

Pár napja a Win 10-es gépem elkezdett furcsán viselkedni. A böngésző irdalmatlan lassú volt, a voip szakadozott. Resource monitorban láttam, hogy nincs kimenő TCP kapcsolat sehol, ha mégis van akkor az ipv4 loopback-re megy. Ez felettébb gyanús lett és megnéztem a rendszerbeállitásokat, ahol legnagyobb meglepetésemre a következő volt beállitva mint proxy: 127.0.0.1:8080. Kitöröltem, viszont 2 perc múlva újra bekerült.

Ezután jött a vírusirtás:
-adwcleaner
-malwarebytes
-awast full system scan

Egyedül az adwcleaner talál egy ProxysrvRTS nevű férget, amit sikeresen le is irtott. Reboot után a rendszer pár percig ment, utána ismét kaptam a szokásos "The proxy server has refused the connection" üzenetet. A proxy beállitások közé (Internet options) ismét visszamászott a 127.0.0.1:8080.

Ezután jött a registry túrás, kézzel átirtam a szükséges kulcsokat (MigrateProxy, ProxyEnable ...stb) 0-ra. Pár perc után visszairta a rohadék. Ekkor gondoltam megcsípem a processt, ami átirja a registry kulcsokat. Sajnos rundll32.exe az, viszon azt nem tudtam kideriteni, hogy mi hivja meg.

Az összes féregkereső negativ eredményt adott ezután

Mivel próbálkoznátok még a windows install előtt?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Én el tudom képzelni, hogy a reinstall se oldja meg, mert lehet, hogy nem is a géped a fertőzött, hanem a router és a géped onnan letölti a PAC fájlt: https://en.wikipedia.org/wiki/Web_Proxy_Auto-Discovery_Protocol

Elvileg így kikapcsolható: https://www.youtube.com/watch?v=8FdTcLgKh8U

Ha nem ez a helyzet, akkor ezekkel próbálkoznék:
- https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
- https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

Köszönöm, ha hazaérek megpróbálkozom ezzel.

A router egy TP-LINK Archer C5 v2 AC1200, ez elvileg nem érintett a legutóbbi hisztiben. A router full reseten is túl vagyok már, viszont csak a windows 10-es gépemen jelentkezik a hiba, a többi csatlakozó kliens (Rpi, 2 db Win 7 laptop, 1 Winphone, 2 Android) hibátlanul működik.
-------------------------
Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @ présház

Elég a router full reset, hogy tiszta legyen?


Normális HUP-ot használok!

Házi körülmények közt mást nem tudok tenni. Sajna a TP-Link C5 v2 nem támogatott dd-wrt oldalról, csak a v1.
-------------------------
Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @ présház

Nekem is volt kb. egy hónapja ilyenem.
A regeditezés mellett az C:\Program Files (x86)\Common Files\InstallShield\updateservice\ISUSPM.exe fájl eltávolítása oldotta meg.

(Megj.: indulás után alt tabozáskor látszott mindig a listában az isuspm)

https://answers.microsoft.com/en-us/windows/forum/windows_10-networking/removing-a-proxy-virus-1270018080/ccf3081a-e282-4796-b1b6-770bf5c39c1a?page=2

Ez volt a megoldás köszi, úgy néz ki most nem irja vissza semmi a proxybeállításokat.

Gyanakodtam erre is, mert a network monitorban feltünően sok kapcsolat volt ami az isuspm.exe-re mutatott.

-------------------------
Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @ présház

Sub

--
"Nem akkor van baj amikor nincs baj, hanem amikor van!"
Népi bölcsesség

Azt is nezd meg, mi hallgatozik a 8080-as porton!
Attol meg, hogy a webes forgalmadat nem tereli el a tovabbiakban, mindenfele vicces dolgot csinalhat, ha ottmarad. Azt tudod, hogy szedted ossze?

--
If you get a good wife, you'll become happy; if you get a bad one, you'll become a philosopher. -Socrates

Nem hallgatózik azon a porton már semmi.

Nincs ötletem hogy jutott be, az elmúlt napokban nem telepitettem semmit.
-------------------------
Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @ présház

Ilyenkor esetleg még a gmer-t is megpróbálhatod futtatni. Elég mélyen rejtőző trójai ugrott már elő neki...