yupiik Opublikowano 9 Maja 2022 Zgłoś Udostępnij Opublikowano 9 Maja 2022 Witam, Mam problem z jakimś wirusem czy cokolwiek to jest, ładuje się razem z systemem, ale nie ma go w autostarcie. Obciąża procesor w 25%, cztery rdzenie i działa tak godzinami chyba, że włączę Menadżer zadań, natychmiast przerywa swoje zadanie, to samo jeśli uruchomię Process Explorer. Sprawdziłem za pomocą windows gadgets, że proces obciążający to explorer.exe, właściwie to jakiś wirus, który podszywa się pod explorer.exe, antywirusy go nie wykrywają, nie wiem jak to usunąć, zwiększa pobór mocy komputera o 50W. Tak to wygląda, kiedy menadżer zadań jest wyłączony. Wygląda na to, że to ten proces. Ma jakąś dziwną ścieżkę, nie umiem znaleźć źródła. Łączy się z jakimiś serwerami w USA. Odnośnik do komentarza
jessica Opublikowano 9 Maja 2022 Zgłoś Udostępnij Opublikowano 9 Maja 2022 Na wszelki wypadek: Zrób logi z FRST https://www.fixitpc.pl/topic/61-diagnostyka-ogólne-raporty-systemowe/?tab=comments#comment-160527 jessi Odnośnik do komentarza
yupiik Opublikowano 9 Maja 2022 Autor Zgłoś Udostępnij Opublikowano 9 Maja 2022 Myślałem, że ktoś wie co to jest i nie będzie potrzeba ale ok. Addition.txt FRST.txt Shortcut.txt Odnośnik do komentarza
jessica Opublikowano 9 Maja 2022 Zgłoś Udostępnij Opublikowano 9 Maja 2022 W logach nie ma niczego podejrzanego. Tylko kosmetyka: Uruchom FRST. Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!) Spoiler START:: S3 cpuz153; \??\C:\WINDOWS\temp\cpuz153\cpuz153_x64.sys [X] S3 GSDriver; \SystemRoot\System32\drivers\GSDriver64.sys [X] Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"} EmptyTemp: END:: W FRST kliknij na Fix (NAPRAW). jessi Odnośnik do komentarza
yupiik Opublikowano 9 Maja 2022 Autor Zgłoś Udostępnij Opublikowano 9 Maja 2022 Dziękuję, uruchomiłem naprawianie załączam fix Fixlog.txt, niestety nie pomogło, po restarcie znowu się załadował, pilnowałem kiedy i wygląda na to, że ładuje się na końcu jako ostatni. Odnośnik do komentarza
iJuliusz Opublikowano 9 Maja 2022 Zgłoś Udostępnij Opublikowano 9 Maja 2022 Witaj @yupiik Możesz poszukać w rejestrze część dodanej wartości do explorer.exe Uruchom FRST i wpisz w jego okienko część zaznaczoną na obrazku, to na końcu to zapewne 0 "zero" ciąg jest losowy, możesz spróbować również z kilkoma pierwszymi literami (5 lub 6) po wpisaniu kliknij Szukaj w rejestrze Wynik wstaw na forum Dodatkowo skopiuj zawartość tej komendy, od miejsca za zaznaczoną ramką od "X" do ostatniego "=" ( Agw=) wklej to do pustego Notatnika, zapisz i wstaw tu w pliku na forum Ciąg znaków wygląda na base64, będzie tam zakodowana komenda, adres strony, bądź nazwa pliku, może być cokolwiek To może nakierować na źródło problemu. Pozdrawiam serdecznie Juliusz Odnośnik do komentarza
yupiik Opublikowano 9 Maja 2022 Autor Zgłoś Udostępnij Opublikowano 9 Maja 2022 Niestety nic nie znalazł. Spoiler Tryb startu: Normal ================== Szukaj w rejestrze: "ghywmgveddbuk0" =========== ====== Koniec Szukaj ====== Ten ciąg znaków nie zmienia się, wykonałem kilka resetów i włącza się z tym samym Command Line. Dodaję ten ciąg zapisany w notatniku: command_line.txt Odnośnik do komentarza
jessica Opublikowano 12 Maja 2022 Zgłoś Udostępnij Opublikowano 12 Maja 2022 Skoro nie ma tego w Rejestrze, to może plik "explorer.exe" jest fałszywy. Uruchom FRST. W polu SZUKAJ wklej: Cytat explorer.exe kliknij na przycisk "Szukaj Plików". Raport z tego będzie tam, gdzie jest FRST. Pokaż ten raport jessi Odnośnik do komentarza
yupiik Opublikowano 12 Maja 2022 Autor Zgłoś Udostępnij Opublikowano 12 Maja 2022 Wklejam raport z szukaj: Spoiler Farbar Recovery Scan Tool (x64) Wersja: 11-05-2022 Uruchomiony przez yupii (12-05-2022 19:29:41) Uruchomiony z C:\Users\yupii\Downloads Tryb startu: Normal ================== Szukaj plików: "explorer.exe" ============= C:\Windows\explorer.exe [2022-04-10 23:03][2022-04-10 23:03] 005030064 _____ (Microsoft Corporation) B1FC3DD9CA7AEE607F56605F82C02EB8 [Plik podpisany cyfrowo] C:\Windows\WinSxS\wow64_microsoft-windows-explorer_31bf3856ad364e35_10.0.22000.593_none_5725db453380b4ba\explorer.exe [2022-04-10 23:03][2022-04-10 23:03] 004394352 _____ (Microsoft Corporation) ED522380DD3C85A8EC36A959124859E5 [Plik podpisany cyfrowo] C:\Windows\WinSxS\wow64_microsoft-windows-explorer_31bf3856ad364e35_10.0.22000.593_none_5725db453380b4ba\r\explorer.exe [2022-04-10 23:03][2022-04-10 23:03] 000653000 _____ () E1C44F0D898C837958EE762196E64062 [Brak podpisu cyfrowego] C:\Windows\WinSxS\wow64_microsoft-windows-explorer_31bf3856ad364e35_10.0.22000.593_none_5725db453380b4ba\f\explorer.exe [2022-04-10 23:02][2022-03-23 15:26] 000104809 _____ () BD02A1DAAE99A990DD9068F3624F8775 [Brak podpisu cyfrowego] C:\Windows\WinSxS\amd64_microsoft-windows-explorer_31bf3856ad364e35_10.0.22000.593_none_4cd130f2ff1ff2bf\explorer.exe [2022-04-10 23:03][2022-04-10 23:03] 005030064 _____ (Microsoft Corporation) B1FC3DD9CA7AEE607F56605F82C02EB8 [Plik podpisany cyfrowo] C:\Windows\WinSxS\amd64_microsoft-windows-explorer_31bf3856ad364e35_10.0.22000.593_none_4cd130f2ff1ff2bf\r\explorer.exe [2022-04-10 23:03][2022-04-10 23:03] 001390929 _____ () DB336E98953FC0ACC1368EB6D0A6F87F [Brak podpisu cyfrowego] C:\Windows\WinSxS\amd64_microsoft-windows-explorer_31bf3856ad364e35_10.0.22000.593_none_4cd130f2ff1ff2bf\f\explorer.exe [2022-04-10 23:02][2022-03-23 15:53] 000580667 _____ () DB16C94F5D1F26983E4C67C4B2C70420 [Brak podpisu cyfrowego] C:\Windows\SysWOW64\explorer.exe [2022-04-10 23:03][2022-04-10 23:03] 004394352 _____ (Microsoft Corporation) ED522380DD3C85A8EC36A959124859E5 [Plik podpisany cyfrowo] ====== Koniec Szukaj ====== Wygląda jakby coś znalazł, ale nie jestem pewny. Odnośnik do komentarza
jessica Opublikowano 12 Maja 2022 Zgłoś Udostępnij Opublikowano 12 Maja 2022 Cytat C:\Windows\explorer.exe [2022-04-10 23:03][2022-04-10 23:03] 005030064 _____ (Microsoft Corporation) B1FC3DD9CA7AEE607F56605F82C02EB8 [Plik podpisany cyfrowo] C:\Windows\SysWOW64\explorer.exe [2022-04-10 23:03][2022-04-10 23:03] 004394352 _____ (Microsoft Corporation) ED522380DD3C85A8EC36A959124859E5 [Plik podpisany cyfrowo] Oba pliki Systemowe mają podpis cyfrowy. Pozostałe znalezione pliki, to tylko kopie. Trochę zastanawia fakt, że liczba kontrolna MD5 ( ED522380DD3C85A8EC36A959124859E5) drugiego pliku w ogóle nie występuje w wyszukiwaniu przez Google, a powinna występować, jeśli to jest typowy plik Microsoftu. Ale nie podmienimy tego pliku, bo jego kopia czyli Cytat C:\Windows\WinSxS\wow64_microsoft-windows-explorer_31bf3856ad364e35_10.0.22000.593_none_5725db453380b4ba\explorer.exe [2022-04-10 23:03][2022-04-10 23:03] 004394352 _____ (Microsoft Corporation) ED522380DD3C85A8EC36A959124859E5 [Plik podpisany cyfrowo] ma identyczną MD5, jak ten nietypowy. Jednym słowem - nic tu nie zmienimy. jessi Odnośnik do komentarza
yupiik Opublikowano 12 Maja 2022 Autor Zgłoś Udostępnij Opublikowano 12 Maja 2022 Szkoda, czyli myślimy dalej co zrobić. Sprawdziłem tego drugiego na malware i pokazuje, że jest ok. https://www.malwares.com/report/file?hash=ED522380DD3C85A8EC36A959124859E5 Zrobiłem skan wszystkiego co uruchamia się razem z Windowsem narzędziem Microsoft SysInternals Autoruns, Wynik wstawiłem na OneDrive: https://1drv.ms/u/s!Ag5w1OOYOkY5gqJHoPQGxAJkChsKEw?e=co89EV Niestety ja nie znalazłem nic podejrzanego. Zrobiłbym format, ale mam podłączonych 5 dysków i nie wiem czy się to nie wgra ponownie z któregoś nawet po pełnym formacie C:\. Problem został rozwiązany, dzisiejszą aktualizacją Narzędzie Windows do usuwania złośliwego oprogramowania dla komputerów z procesorem x64 — v5.101 (KB890830). Dziękuję wszystkim za pomoc. Odnośnik do komentarza
iJuliusz Opublikowano 13 Maja 2022 Zgłoś Udostępnij Opublikowano 13 Maja 2022 Próbowałem wieloma sposobami odszyfrować base64, jaki dokleił się do explorer.exe, niestety bez skutku Czy możesz nam powiedzieć, co odnalazł Defender, o ile wykrył coś złośliwego? Odnośnik do komentarza
yupiik Opublikowano 13 Maja 2022 Autor Zgłoś Udostępnij Opublikowano 13 Maja 2022 Defender nic nie odnalazł. Z tego co rozumiem to jest jakieś inne narzędzie niezależne od programu antywirusowego i instalowane gdzieś głęboko w systemie. Ogólnie ten szkodliwy program nie został usunięty, ciągle włącza się przy starcie ale jest nieaktywny czyli nie wykonuje swoich zadań i nie łączy się z żadnym zewnętrznym serwerem. Ciągle nie wiem gdzie jest ten wirus ani jaki plik go uruchamia. Odnośnik do komentarza
iJuliusz Opublikowano 13 Maja 2022 Zgłoś Udostępnij Opublikowano 13 Maja 2022 Można jeszcze spróbować skanu FRST z poziomu Windows RE FRST w Windows RE Wstaw logi do wglądu Odnośnik do komentarza
yupiik Opublikowano 13 Maja 2022 Autor Zgłoś Udostępnij Opublikowano 13 Maja 2022 @iJuliusz próbowałem dysk ratunkowy USB Eset i skanowanie nie przyniosło nic, z tego co zrozumiałem to FRST w środowisku Win RE służy do startowania niestartujących systemów i jest ograniczony funkcjonalnie, do tego wymaga sporo pracy a ja nie mam już takiej motywacji odkąd ten wirus jest zablokowany, ale dzięki za pomysł, może za jakiś czas (kilka dni) zdecyduję się na przeprowadzenie tego skanu. Odnośnik do komentarza
iJuliusz Opublikowano 13 Maja 2022 Zgłoś Udostępnij Opublikowano 13 Maja 2022 FRST startuje w środowisku RE i podczas skanu ujawnia takie wpisy rejestru, których może nie być widać podczas skanu w zwykłym trybie Więc jak będziesz gotowy, to pisz, na pewno ktoś przeglądnie skany Pozdrawiam serdecznie Juliusz Odnośnik do komentarza
Rekomendowane odpowiedzi
Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto
Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.
Zarejestruj nowe konto
Załóż nowe konto. To bardzo proste!
Zarejestruj sięZaloguj się
Posiadasz już konto? Zaloguj się poniżej.
Zaloguj się