Proxy féreg kiirtása

Sziasztok,

Pár napja a Win 10-es gépem elkezdett furcsán viselkedni. A böngésző irdalmatlan lassú volt, a voip szakadozott. Resource monitorban láttam, hogy nincs kimenő TCP kapcsolat sehol, ha mégis van akkor az ipv4 loopback-re megy. Ez felettébb gyanús lett és megnéztem a rendszerbeállitásokat, ahol legnagyobb meglepetésemre a következő volt beállitva mint proxy: 127.0.0.1:8080. Kitöröltem, viszont 2 perc múlva újra bekerült.

Ezután jött a vírusirtás:
-adwcleaner
-malwarebytes
-awast full system scan

Egyedül az adwcleaner talál egy ProxysrvRTS nevű férget, amit sikeresen le is irtott. Reboot után a rendszer pár percig ment, utána ismét kaptam a szokásos "The proxy server has refused the connection" üzenetet. A proxy beállitások közé (Internet options) ismét visszamászott a 127.0.0.1:8080.

Ezután jött a registry túrás, kézzel átirtam a szükséges kulcsokat (MigrateProxy, ProxyEnable ...stb) 0-ra. Pár perc után visszairta a rohadék. Ekkor gondoltam megcsípem a processt, ami átirja a registry kulcsokat. Sajnos rundll32.exe az, viszon azt nem tudtam kideriteni, hogy mi hivja meg.

Az összes féregkereső negativ eredményt adott ezután

Mivel próbálkoznátok még a windows install előtt?

Hozzászólások

Én el tudom képzelni, hogy a reinstall se oldja meg, mert lehet, hogy nem is a géped a fertőzött, hanem a router és a géped onnan letölti a PAC fájlt: https://en.wikipedia.org/wiki/Web_Proxy_Auto-Discovery_Protocol

Elvileg így kikapcsolható: https://www.youtube.com/watch?v=8FdTcLgKh8U

Ha nem ez a helyzet, akkor ezekkel próbálkoznék:
- https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
- https://docs.microsoft.com/en-us/sysinternals/downloads/procmon

Köszönöm, ha hazaérek megpróbálkozom ezzel.

A router egy TP-LINK Archer C5 v2 AC1200, ez elvileg nem érintett a legutóbbi hisztiben. A router full reseten is túl vagyok már, viszont csak a windows 10-es gépemen jelentkezik a hiba, a többi csatlakozó kliens (Rpi, 2 db Win 7 laptop, 1 Winphone, 2 Android) hibátlanul működik.
-------------------------
Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @ présház

Ez volt a megoldás köszi, úgy néz ki most nem irja vissza semmi a proxybeállításokat.

Gyanakodtam erre is, mert a network monitorban feltünően sok kapcsolat volt ami az isuspm.exe-re mutatott.

-------------------------
Dropbox refer - mert kell a hely: https://db.tt/V3RtXWLl
neut @ présház

Azt is nezd meg, mi hallgatozik a 8080-as porton!
Attol meg, hogy a webes forgalmadat nem tereli el a tovabbiakban, mindenfele vicces dolgot csinalhat, ha ottmarad. Azt tudod, hogy szedted ossze?

--
If you get a good wife, you'll become happy; if you get a bad one, you'll become a philosopher. -Socrates

Ilyenkor esetleg még a gmer-t is megpróbálhatod futtatni. Elég mélyen rejtőző trójai ugrott már elő neki...