yupiik
-
Postów
8 -
Dołączył
-
Ostatnia wizyta
Odpowiedzi opublikowane przez yupiik
-
-
Defender nic nie odnalazł. Z tego co rozumiem to jest jakieś inne narzędzie niezależne od programu antywirusowego i instalowane gdzieś głęboko w systemie.
Ogólnie ten szkodliwy program nie został usunięty, ciągle włącza się przy starcie ale jest nieaktywny czyli nie wykonuje swoich zadań i nie łączy się z żadnym zewnętrznym serwerem.
Ciągle nie wiem gdzie jest ten wirus ani jaki plik go uruchamia.
-
Szkoda, czyli myślimy dalej co zrobić.
Sprawdziłem tego drugiego na malware i pokazuje, że jest ok.
https://www.malwares.com/report/file?hash=ED522380DD3C85A8EC36A959124859E5
Zrobiłem skan wszystkiego co uruchamia się razem z Windowsem narzędziem Microsoft SysInternals Autoruns,
Wynik wstawiłem na OneDrive: https://1drv.ms/u/s!Ag5w1OOYOkY5gqJHoPQGxAJkChsKEw?e=co89EV
Niestety ja nie znalazłem nic podejrzanego. Zrobiłbym format, ale mam podłączonych 5 dysków i nie wiem czy się to nie wgra ponownie z któregoś nawet po pełnym formacie C:\.
Problem został rozwiązany, dzisiejszą aktualizacją
Narzędzie Windows do usuwania złośliwego oprogramowania dla komputerów z procesorem x64 — v5.101 (KB890830).
Dziękuję wszystkim za pomoc.
-
Wklejam raport z szukaj:
SpoilerFarbar Recovery Scan Tool (x64) Wersja: 11-05-2022
Uruchomiony przez yupii (12-05-2022 19:29:41)
Uruchomiony z C:\Users\yupii\Downloads
Tryb startu: Normal================== Szukaj plików: "explorer.exe" =============
C:\Windows\explorer.exe
[2022-04-10 23:03][2022-04-10 23:03] 005030064 _____ (Microsoft Corporation) B1FC3DD9CA7AEE607F56605F82C02EB8 [Plik podpisany cyfrowo]C:\Windows\WinSxS\wow64_microsoft-windows-explorer_31bf3856ad364e35_10.0.22000.593_none_5725db453380b4ba\explorer.exe
[2022-04-10 23:03][2022-04-10 23:03] 004394352 _____ (Microsoft Corporation) ED522380DD3C85A8EC36A959124859E5 [Plik podpisany cyfrowo]C:\Windows\WinSxS\wow64_microsoft-windows-explorer_31bf3856ad364e35_10.0.22000.593_none_5725db453380b4ba\r\explorer.exe
[2022-04-10 23:03][2022-04-10 23:03] 000653000 _____ () E1C44F0D898C837958EE762196E64062 [Brak podpisu cyfrowego]C:\Windows\WinSxS\wow64_microsoft-windows-explorer_31bf3856ad364e35_10.0.22000.593_none_5725db453380b4ba\f\explorer.exe
[2022-04-10 23:02][2022-03-23 15:26] 000104809 _____ () BD02A1DAAE99A990DD9068F3624F8775 [Brak podpisu cyfrowego]C:\Windows\WinSxS\amd64_microsoft-windows-explorer_31bf3856ad364e35_10.0.22000.593_none_4cd130f2ff1ff2bf\explorer.exe
[2022-04-10 23:03][2022-04-10 23:03] 005030064 _____ (Microsoft Corporation) B1FC3DD9CA7AEE607F56605F82C02EB8 [Plik podpisany cyfrowo]C:\Windows\WinSxS\amd64_microsoft-windows-explorer_31bf3856ad364e35_10.0.22000.593_none_4cd130f2ff1ff2bf\r\explorer.exe
[2022-04-10 23:03][2022-04-10 23:03] 001390929 _____ () DB336E98953FC0ACC1368EB6D0A6F87F [Brak podpisu cyfrowego]C:\Windows\WinSxS\amd64_microsoft-windows-explorer_31bf3856ad364e35_10.0.22000.593_none_4cd130f2ff1ff2bf\f\explorer.exe
[2022-04-10 23:02][2022-03-23 15:53] 000580667 _____ () DB16C94F5D1F26983E4C67C4B2C70420 [Brak podpisu cyfrowego]C:\Windows\SysWOW64\explorer.exe
[2022-04-10 23:03][2022-04-10 23:03] 004394352 _____ (Microsoft Corporation) ED522380DD3C85A8EC36A959124859E5 [Plik podpisany cyfrowo]
====== Koniec Szukaj ======Wygląda jakby coś znalazł, ale nie jestem pewny.
-
Niestety nic nie znalazł.
SpoilerTryb startu: Normal
================== Szukaj w rejestrze: "ghywmgveddbuk0" ===========
====== Koniec Szukaj ======Ten ciąg znaków nie zmienia się, wykonałem kilka resetów i włącza się z tym samym Command Line.
Dodaję ten ciąg zapisany w notatniku: command_line.txt
-
Dziękuję, uruchomiłem naprawianie załączam fix Fixlog.txt, niestety nie pomogło, po restarcie znowu się załadował, pilnowałem kiedy i wygląda na to, że ładuje się na końcu jako ostatni.
-
Myślałem, że ktoś wie co to jest i nie będzie potrzeba ale ok.
-
Witam,
Mam problem z jakimś wirusem czy cokolwiek to jest, ładuje się razem z systemem, ale nie ma go w autostarcie.
Obciąża procesor w 25%, cztery rdzenie i działa tak godzinami chyba, że włączę Menadżer zadań, natychmiast przerywa swoje zadanie, to samo jeśli uruchomię Process Explorer.
Sprawdziłem za pomocą windows gadgets, że proces obciążający to explorer.exe, właściwie to jakiś wirus, który podszywa się pod explorer.exe, antywirusy go nie wykrywają, nie wiem jak to usunąć, zwiększa pobór mocy komputera o 50W.
Tak to wygląda, kiedy menadżer zadań jest wyłączony.
Wygląda na to, że to ten proces. Ma jakąś dziwną ścieżkę, nie umiem znaleźć źródła.
Łączy się z jakimiś serwerami w USA.
Koparka podszywająca się pod proces explorer.exe
w Dział pomocy doraźnej
Opublikowano
@iJuliusz próbowałem dysk ratunkowy USB Eset i skanowanie nie przyniosło nic, z tego co zrozumiałem to FRST w środowisku Win RE służy do startowania niestartujących systemów i jest ograniczony funkcjonalnie, do tego wymaga sporo pracy a ja nie mam już takiej motywacji odkąd ten wirus jest zablokowany, ale dzięki za pomysł, może za jakiś czas (kilka dni) zdecyduję się na przeprowadzenie tego skanu.