Dotkliwy wirus

[Rayso97]

Witam. Około miesiąc temu zaraziłem swój komputer bardzo nieciekawym wirusem, którego w żaden sposób i za pomocą żadnego programu nie mogę usunąć.
Pod spodem opiszę wszystkie jego skutki oraz próby usunięcia go, proszę o dokładne przeczytanie, jeśli naprawdę chcesz mi pomóc.
Skutki wirusa:
-Otwieranie kart oraz okien każdej przeglądarki internetowej, próbowałem z Chromem, IE, Mozillą i nawet Vivaldi, działa on wszędzie
-Zużycie dysku, procesora oraz sieci 100% - Co udało mi się usunąć i aktualnie tego nie ma
-Zaśmiecenie komputera róznymi programami, bibliotekami, ikonami i wpisami w rejestrze - Większość usunąłem ale cały czas powstają kolejne
-I teraz najgorsze, objaw który pokazał się dopiero teraz, wirus podmienia każdy plik, który próbuje ściągnąć na archiwum w którym jest aktywator tego samego wirusa. Archiwum te posiada losową nazwę i zawsze waży między 1,30-1,60mb. Sprawdza się nawet w przypadku ściągnięcia załącznika z maila, nie tylko plików ze stron.
Próby naprawy:
Skan i oczyszczenie komputera programami: AdwCleaner, Malwarebytes Anti-Malware, OTL, ComboFix, Roguekiller
Ręczne czyszczenie rejestru
Odinstalowanie wszystkich programów, które nie są podstawowymi windowsa lub dobrze mi znanymi
Czyszczenie oraz reinstall przeglądarek, reinstall flash playera.
Przywrócenie systemu - Niestety każdy punkt przywracania był już po zainfekowaniu.

Przeszukiwałem internet godzinami w języku polskim i angielskim i nie znalazłem niczego, co mogłoby mi pomóc, a format komputera to dla mnie ostateczność. Zresztą obawiam się że wirus przeniesie się na USB z windowsem.  Proszę was o pomoc. Poniżej wysyłam log z OTL'a i Combofixa.

COMBOFIX LOG.txt

OTL.Txt

Extras.Txt

[Twój_Anioł_Stróż]

Masz FRST?

Otwórz Notatnik i wklej w nim:

Cytuj

Task: {C4B52028-A78A-45FB-9B6F-768F3AE6D43E} - System32\Tasks\Scheduled Update S-1-8-22 => C:\Windows\explorer.exe hxxp://ifmaxi.ru <==== UWAGA

C:\Users\AdamG\AppData\Local\Microsoft\Start Menu\Вoйти в Интeрнeт.lnk
InternetURL: C:\Users\AdamG\Favorites\Links\Интернет.url -> URL: hxxp://tizmo.ru/?utm_source=favorites03&utm_content=aea8d3344cf60282e12da408b8f78494&utm_term=C74DD1FD4FD537772BB215FE052237FD&utm_d=20171027
C:\Users\AdamG\Favorites\Links\Интернет.url
Tcpip\..\Interfaces\{C795B877-EDBF-4CB6-86C7-98A7B9FA6ECC}: [NameServer] 35.177.46.238,178.132.6.57,46.101.28.31,82.202.226.203,193.238.153.54,10.0.0.1
VirusTotal: C:\Windows\system32\drivers\FctdwR3QEejU.sys
RemoveDirectory: C:\Disk
RemoveDirectory: C:\Windat
C:\Users\AdamG\Desktop\osu!\repair osu!.lnk
C:\Users\AdamG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PotPlayer\PotPlayer.lnk
C:\Users\AdamG\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\PotPlayer\Uninstall PotPlayer.lnk
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
GroupPolicy: Ograniczenia - Windows Defender <==== UWAGA
GroupPolicy\User: Ograniczenia <==== UWAGA
S3 asmthub3; system32\DRIVERS\asmthub3.sys [X]
S3 asmtxhci; system32\DRIVERS\asmtxhci.sys [X]
S3 catchme; \??\C:\ComboFix\catchme.sys [X]
S3 VGPU; System32\drivers\rdvgkmd.sys [X]
EmptyTemp:

>>Menu Notatnika >> Plik >>
>>Zapisz jako >>
Nazwa pliku: fixlist
Zapisz jako typ: Dokumenty tekstowe
Kodowanie: UTF -8
>>Zapisz
Plik umieść w folderze C:\Users\AdamG\Downloads
Uruchom FRST i kliknij przycisk Fix (NAPRAW).
Daj ten log.

 

Zrób logi FRST.

.

Edytowane 28 listopada 2017 przez Twój_Anioł_Stróż

[Rayso97]

Zrobiłem wszystko. Oto log:

Fixlog.txt

[Twój_Anioł_Stróż]

Cytuj

VirusTotal: C:\Windows\system32\drivers\FctdwR3QEejU.sys => nie znaleziono

Dziwne, bo w logach to było.

 

Jak oceniasz sytuację?

[Rayso97]

Korzytalem w międzyczasie z różnych programów typu jakieś HitmanyPro itp i mogły usunąć niektóre rzeczy. Pozatym pozbyłem się już wszystkiego oprócz podmiany ściąganych plików na archiwum z wirusem.

Temat do zamknięcia. Użytkownik Miszel03 z Fixitpc.pl podołał zadaniu.