Podezření na zavirované PC

Zpráva

Petr32 · #1 Příspěvek od **Petr32** » 14 led 2017 19:43

Dobrý den, mám podezření že mám zavirovaný PC něčím na což běžný antivirus nestačí. Spočívá to v tom, že když zapnu správce úloh(Dále jen SU), tak asi na 1 sec zamrzne a hned se vypne. Když proces opakuji 2x - 3x SU již naběhne bez problému. Mám pocit jako že virus se vypne/schová když SU zapnu a pak se zase zapne když SU vypnu... Také mi přijde podezřelý proces COM surrogate (četl jsem že to může být velice nebezpečný virus, ale i normální proces...), který tam chvíli je(někdy i 2x nebo 3x což je mi také podezřelé), ale pak zmizí a zobrazí se zase až když vypnu a zapnu SU. Možná jsem jen naivní a to s tím SU je jen nějaký bug v OS, protože nepociťuji jiné problémy z PC(i když o to viru možná jde a jen krade citlivá data, čehož se právě bojím), ale raději bych poprosil o pomoc odborníka. Zasílám log z FRST64 a prosím o pomoc.

FRST Log> http://pastebin.com/6iDgguwK
Addition.txt je v příloze
Screen Surrogatu 2x v SU> http://imgur.com/a/AcHjw

Windows 10 64bit
ESET Smart Security 9

#2 Příspěvek od **Rudy** » 14 led 2017 20:06

Zdravím!
Spusťte tuto utilitu:

Stáhněte AdwCleaner https://toolslib.net/downloads/viewdown ... dwcleaner/
Uložte na plochu
Ukončete všechny programy
Klikněte nejprve na >Scan<(hledání) a pak na >Clean< (mazání).
Proběhne skenováni a pak se objeví log, který sem vložte.

Petr32 · #3 Příspěvek od **Petr32** » 14 led 2017 21:13

Něco to našlo, už to je úspěch. Bohužel zmiňované problémy přetrvávají

Nejsem si jist jestli jsem měl vypnou i antivirus, mohu sken zopakovat pokud je to potřeba.

AdwCleaner Log> http://pastebin.com/43Cr4hRV

#4 Příspěvek od **Rudy** » 14 led 2017 21:20

Dejte nový log FRST.

Petr32 · #5 Příspěvek od **Petr32** » 14 led 2017 21:25

FRST> http://pastebin.com/DHqSkkvf
Addition v příloze

#6 Příspěvek od **Rudy** » 14 led 2017 22:21

Otevřte poznámkový blok a zkopírujte do něj:

Start
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Restriction <======= ATTENTION
C:\Program Files (x86)\Bonjour
C:\Program Files\Bonjour
C:\Users\Petr\AppData\Local\Temp
Task: {292BCEAC-5C94-41F5-93AD-B2A639A4D5E7} - System32\Tasks\IntelMemoryDiagnostic => C:\Users\Petr\AppData\Roaming\d3dx10.exe <==== ATTENTION
Task: {44445CA9-BA61-4A0C-9ADF-FFC3002B56BB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {50814C14-1C63-45F5-9E4F-CCB4700DA1B9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {86810F50-C723-4CB6-9CF9-B7A3697615C7} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {9C1CC9A5-D64E-4AD4-8AAD-52D861D5BC21} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {BFB7F2F5-B9C2-44E8-B532-70DE4591B47F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {E5134012-4989-4673-BD9E-293B79C0C7FE} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {F22C6D85-12E1-4FA5-B7C5-2A9FC32827D7} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION

EmptyTemp:
End

Uložte na plochu jako fixlist.txt. Spusťte znovu FRST a klikněte na >Fix<. Po skončení akce se objeví log, který sem zkopírujte.

Petr32 · #7 Příspěvek od **Petr32** » 14 led 2017 22:43

Fixlog> http://pastebin.com/danF1kFP

Mám pocit že to vypínaní task manageru přestalo

Ten "COM Surrogate" tam furt je 2x a když otevřu Task manager tak po chvíli zmizne, ale to je možná normální(nerozumím tomu).

Petr32 · #8 Příspěvek od **Petr32** » 14 led 2017 22:47

Aha tak to nepřestalo...

COM surrogate tam teď byl dokonce 3x

zde> http://thetechterminus.com/how-to-remov ... m-windows/ jsem našel zajímavý návod, ale nechci ho dělat bez vašeho doporučení(asi je to velký zásah do systému), co si o tom myslíte?

#9 Příspěvek od **Rudy** » 15 led 2017 11:18

Udělejte kompletní sken MBAM: http://www.malwarebytes.org/mbam.php a dejte log. Předem nic nemažte.

Petr32 · #10 Příspěvek od **Petr32** » 15 led 2017 11:33

Stačí dát ten sken hrozeb nebo vlastní sken a heldat i rootkity?

#11 Příspěvek od **Rudy** » 15 led 2017 12:40

Když kompletní, tak všechno.

Petr32 · #12 Příspěvek od **Petr32** » 15 led 2017 14:19

Log> http://pastebin.com/RJWaMi23

Bohužel zmiňované problémy přetrvávají

#13 Příspěvek od **Rudy** » 15 led 2017 17:00

Vyhledejte v systému soubor dllhost.exe. Ten systémový by měl být jen v system32. Pokud se objeví někde jinde, dejte mi sem cestu k tomu souboru.

Petr32 · #14 Příspěvek od **Petr32** » 15 led 2017 17:31

Opravdu to našlo 4...

C:\Windows\System32

C:\Windows\SysWOW64
C:\Windows\WinSxS\wow64_microsoft-windows-com-surrogate-core_31bf3856ad364e35_10.0.14393.0_none_6cb3a5d221ab784a
C:\Windows\WinSxS\amd64_microsoft-windows-com-surrogate-core_31bf3856ad364e35_10.0.14393.0_none_625efb7fed4ab64f

#15 Příspěvek od **Rudy** » 15 led 2017 19:06

V 64b systému mohou být tato soubory i jinde. Zkuste tento postup: http://odstranitvirus.cz/reimage/stazen ... surrogate/ .

VIRY.CZ

Podezření na zavirované PC

Podezření na zavirované PC

Re: Podezření na zavirované PC

Re: Podezření na zavirované PC

Re: Podezření na zavirované PC

Re: Podezření na zavirované PC

Re: Podezření na zavirované PC

Re: Podezření na zavirované PC

Re: Podezření na zavirované PC

Re: Podezření na zavirované PC

Re: Podezření na zavirované PC

Re: Podezření na zavirované PC

Re: Podezření na zavirované PC

Re: Podezření na zavirované PC

Re: Podezření na zavirované PC

Re: Podezření na zavirované PC