Skocz do zawartości

Koparka podszywająca się pod proces explorer.exe


Rekomendowane odpowiedzi

Witam,

Mam problem z jakimś wirusem czy cokolwiek to jest, ładuje się razem z systemem, ale nie ma go w autostarcie.

Obciąża procesor w 25%, cztery rdzenie i działa tak godzinami chyba, że włączę Menadżer zadań, natychmiast przerywa swoje zadanie, to samo jeśli uruchomię Process Explorer.

Sprawdziłem za pomocą windows gadgets, że proces obciążający to explorer.exe, właściwie to jakiś wirus, który podszywa się pod explorer.exe, antywirusy go nie wykrywają, nie wiem jak to usunąć, zwiększa pobór mocy komputera o 50W.

1985743109_Zrzutekranu2022-05-09121654.png.60d3ea05e649627c11a615cdee5929cf.pngTak to wygląda, kiedy menadżer zadań jest wyłączony.

2021039058_2022-05-09(2).thumb.png.92a03db71d1ae95c04cfe0f0929bd1cd.png   Wygląda na to, że to ten proces. Ma jakąś dziwną ścieżkę, nie umiem znaleźć źródła.

 

1725435017_2022-05-09(1).thumb.png.bad1552fb3c003a1c3ec1b2eb8f569e6.png Łączy się z jakimiś serwerami w USA.

 

55270071_2022-05-09(3).thumb.png.67b63d8c8759812c4d8ef67361516133.png

 

 

Odnośnik do komentarza
Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W logach nie ma niczego podejrzanego.

 

Tylko kosmetyka:

Uruchom FRST.
Skopiuj to poniższe: (ale nigdzie nie wklejaj tego!)

Spoiler

START::
S3 cpuz153; \??\C:\WINDOWS\temp\cpuz153\cpuz153_x64.sys [X]
S3 GSDriver; \SystemRoot\System32\drivers\GSDriver64.sys [X]
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:
END::


W FRST kliknij na Fix (NAPRAW).

 

jessi

Odnośnik do komentarza

Witaj @yupiik

 

Możesz poszukać w rejestrze część dodanej wartości do explorer.exe

 

Uruchom FRST i wpisz w jego okienko część zaznaczoną na obrazku, to na końcu to zapewne 0 "zero"

ciąg jest losowy, możesz spróbować również z kilkoma pierwszymi literami (5 lub 6)

po wpisaniu kliknij Szukaj w rejestrze

obraz.png.6c71a5d4f68dc3c53ac6af4ab99d824f.png

 

Wynik wstaw na forum

 

Dodatkowo skopiuj zawartość tej komendy, od miejsca za zaznaczoną ramką od "X" do ostatniego "=" ( Agw=)

wklej to do pustego Notatnika, zapisz i wstaw tu w pliku na forum

Ciąg znaków wygląda na base64, będzie tam zakodowana komenda, adres strony, bądź nazwa pliku, może być cokolwiek

 

To może nakierować na źródło problemu.

 

Pozdrawiam serdecznie

Juliusz

Odnośnik do komentarza

Wklejam raport z szukaj:

 

Spoiler

Farbar Recovery Scan Tool (x64) Wersja: 11-05-2022
Uruchomiony przez yupii (12-05-2022 19:29:41)
Uruchomiony z C:\Users\yupii\Downloads
Tryb startu: Normal

================== Szukaj plików: "explorer.exe" =============

C:\Windows\explorer.exe
[2022-04-10 23:03][2022-04-10 23:03] 005030064 _____ (Microsoft Corporation) B1FC3DD9CA7AEE607F56605F82C02EB8 [Plik podpisany cyfrowo]

C:\Windows\WinSxS\wow64_microsoft-windows-explorer_31bf3856ad364e35_10.0.22000.593_none_5725db453380b4ba\explorer.exe
[2022-04-10 23:03][2022-04-10 23:03] 004394352 _____ (Microsoft Corporation) ED522380DD3C85A8EC36A959124859E5 [Plik podpisany cyfrowo]

C:\Windows\WinSxS\wow64_microsoft-windows-explorer_31bf3856ad364e35_10.0.22000.593_none_5725db453380b4ba\r\explorer.exe
[2022-04-10 23:03][2022-04-10 23:03] 000653000 _____ () E1C44F0D898C837958EE762196E64062 [Brak podpisu cyfrowego]

C:\Windows\WinSxS\wow64_microsoft-windows-explorer_31bf3856ad364e35_10.0.22000.593_none_5725db453380b4ba\f\explorer.exe
[2022-04-10 23:02][2022-03-23 15:26] 000104809 _____ () BD02A1DAAE99A990DD9068F3624F8775 [Brak podpisu cyfrowego]

C:\Windows\WinSxS\amd64_microsoft-windows-explorer_31bf3856ad364e35_10.0.22000.593_none_4cd130f2ff1ff2bf\explorer.exe
[2022-04-10 23:03][2022-04-10 23:03] 005030064 _____ (Microsoft Corporation) B1FC3DD9CA7AEE607F56605F82C02EB8 [Plik podpisany cyfrowo]

C:\Windows\WinSxS\amd64_microsoft-windows-explorer_31bf3856ad364e35_10.0.22000.593_none_4cd130f2ff1ff2bf\r\explorer.exe
[2022-04-10 23:03][2022-04-10 23:03] 001390929 _____ () DB336E98953FC0ACC1368EB6D0A6F87F [Brak podpisu cyfrowego]

C:\Windows\WinSxS\amd64_microsoft-windows-explorer_31bf3856ad364e35_10.0.22000.593_none_4cd130f2ff1ff2bf\f\explorer.exe
[2022-04-10 23:02][2022-03-23 15:53] 000580667 _____ () DB16C94F5D1F26983E4C67C4B2C70420 [Brak podpisu cyfrowego]

C:\Windows\SysWOW64\explorer.exe
[2022-04-10 23:03][2022-04-10 23:03] 004394352 _____ (Microsoft Corporation) ED522380DD3C85A8EC36A959124859E5 [Plik podpisany cyfrowo]


====== Koniec  Szukaj ======

 

Wygląda jakby coś znalazł, ale nie jestem pewny.

Odnośnik do komentarza
Cytat

C:\Windows\explorer.exe
[2022-04-10 23:03][2022-04-10 23:03] 005030064 _____ (Microsoft Corporation) B1FC3DD9CA7AEE607F56605F82C02EB8 [Plik podpisany cyfrowo]

 

C:\Windows\SysWOW64\explorer.exe
[2022-04-10 23:03][2022-04-10 23:03] 004394352 _____ (Microsoft Corporation) ED522380DD3C85A8EC36A959124859E5 [Plik podpisany cyfrowo]

Oba pliki Systemowe mają podpis cyfrowy.

Pozostałe znalezione pliki, to tylko kopie.

 

Trochę zastanawia fakt, że liczba kontrolna MD5 ( ED522380DD3C85A8EC36A959124859E5) drugiego pliku w ogóle nie występuje w wyszukiwaniu przez Google, a powinna występować, jeśli to jest typowy plik Microsoftu.

Ale nie podmienimy tego pliku, bo jego kopia

czyli

Cytat

C:\Windows\WinSxS\wow64_microsoft-windows-explorer_31bf3856ad364e35_10.0.22000.593_none_5725db453380b4ba\explorer.exe
[2022-04-10 23:03][2022-04-10 23:03] 004394352 _____ (Microsoft Corporation) ED522380DD3C85A8EC36A959124859E5 [Plik podpisany cyfrowo]

ma identyczną MD5, jak ten nietypowy.

Jednym słowem - nic tu nie zmienimy.

 

jessi

Odnośnik do komentarza

Szkoda, czyli myślimy dalej co zrobić.

Sprawdziłem tego drugiego na malware i pokazuje, że jest ok.

https://www.malwares.com/report/file?hash=ED522380DD3C85A8EC36A959124859E5

 

 

Zrobiłem skan wszystkiego co uruchamia się razem z Windowsem narzędziem Microsoft SysInternals Autoruns,

Wynik wstawiłem na OneDrive: https://1drv.ms/u/s!Ag5w1OOYOkY5gqJHoPQGxAJkChsKEw?e=co89EV

Niestety ja nie znalazłem nic podejrzanego. Zrobiłbym format, ale mam podłączonych 5 dysków i nie wiem czy się to nie wgra ponownie z któregoś nawet po pełnym formacie C:\.

 

 

 

 

Problem został rozwiązany, dzisiejszą aktualizacją

Narzędzie Windows do usuwania złośliwego oprogramowania dla komputerów z procesorem x64 — v5.101 (KB890830).

 

Dziękuję wszystkim za pomoc.

 

Odnośnik do komentarza

Defender nic nie odnalazł. Z tego co rozumiem to jest jakieś inne narzędzie niezależne od programu antywirusowego i instalowane gdzieś głęboko w systemie.

 

Ogólnie ten szkodliwy program nie został usunięty, ciągle włącza się przy starcie ale jest nieaktywny czyli nie wykonuje swoich zadań i nie łączy się z żadnym zewnętrznym serwerem.

Ciągle nie wiem gdzie jest ten wirus ani jaki plik go uruchamia.

Odnośnik do komentarza

@iJuliusz próbowałem dysk ratunkowy USB Eset i skanowanie nie przyniosło nic, z tego co zrozumiałem to FRST w środowisku Win RE służy do startowania niestartujących systemów i jest ograniczony funkcjonalnie, do tego wymaga sporo pracy a ja nie mam już takiej motywacji odkąd ten wirus jest zablokowany, ale dzięki za pomysł, może za jakiś czas (kilka dni) zdecyduję się na przeprowadzenie tego skanu.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...