VIRY.CZ

Pomáháme v boji s počítačovou havěti!
https://forum.viry.cz:443/

Podezření na zavirované PC

https://forum.viry.cz:443/viewtopic.php?t=151138

Stránka 1 z 3

Podezření na zavirované PC

Napsal: 14 led 2017 19:43
od Petr32
Dobrý den, mám podezření že mám zavirovaný PC něčím na což běžný antivirus nestačí. Spočívá to v tom, že když zapnu správce úloh(Dále jen SU), tak asi na 1 sec zamrzne a hned se vypne. Když proces opakuji 2x - 3x SU již naběhne bez problému. Mám pocit jako že virus se vypne/schová když SU zapnu a pak se zase zapne když SU vypnu... Také mi přijde podezřelý proces COM surrogate (četl jsem že to může být velice nebezpečný virus, ale i normální proces...), který tam chvíli je(někdy i 2x nebo 3x což je mi také podezřelé), ale pak zmizí a zobrazí se zase až když vypnu a zapnu SU. Možná jsem jen naivní a to s tím SU je jen nějaký bug v OS, protože nepociťuji jiné problémy z PC(i když o to viru možná jde a jen krade citlivá data, čehož se právě bojím), ale raději bych poprosil o pomoc odborníka. Zasílám log z FRST64 a prosím o pomoc.


FRST Log> http://pastebin.com/6iDgguwK
Addition.txt je v příloze
Screen Surrogatu 2x v SU> http://imgur.com/a/AcHjw


Windows 10 64bit
ESET Smart Security 9

Re: Podezření na zavirované PC

Napsal: 14 led 2017 20:06
od Rudy
Zdravím!
Spusťte tuto utilitu:
Stáhněte AdwCleaner https://toolslib.net/downloads/viewdown ... dwcleaner/
Uložte na plochu
Ukončete všechny programy
Klikněte nejprve na >Scan<(hledání) a pak na >Clean< (mazání).
Proběhne skenováni a pak se objeví log, který sem vložte.

Re: Podezření na zavirované PC

Napsal: 14 led 2017 21:13
od Petr32
Něco to našlo, už to je úspěch. Bohužel zmiňované problémy přetrvávají :(
Nejsem si jist jestli jsem měl vypnou i antivirus, mohu sken zopakovat pokud je to potřeba.

AdwCleaner Log> http://pastebin.com/43Cr4hRV

Re: Podezření na zavirované PC

Napsal: 14 led 2017 21:20
od Rudy
Dejte nový log FRST.

Re: Podezření na zavirované PC

Napsal: 14 led 2017 21:25
od Petr32
FRST> http://pastebin.com/DHqSkkvf
Addition v příloze

Re: Podezření na zavirované PC

Napsal: 14 led 2017 22:21
od Rudy
Otevřte poznámkový blok a zkopírujte do něj:
Start
HKLM-x32\...\Run: [] => [X]
GroupPolicy: Restriction <======= ATTENTION
C:\Program Files (x86)\Bonjour
C:\Program Files\Bonjour
C:\Users\Petr\AppData\Local\Temp
Task: {292BCEAC-5C94-41F5-93AD-B2A639A4D5E7} - System32\Tasks\IntelMemoryDiagnostic => C:\Users\Petr\AppData\Roaming\d3dx10.exe <==== ATTENTION
Task: {44445CA9-BA61-4A0C-9ADF-FFC3002B56BB} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> No File <==== ATTENTION
Task: {50814C14-1C63-45F5-9E4F-CCB4700DA1B9} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> No File <==== ATTENTION
Task: {86810F50-C723-4CB6-9CF9-B7A3697615C7} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeTime -> No File <==== ATTENTION
Task: {9C1CC9A5-D64E-4AD4-8AAD-52D861D5BC21} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> No File <==== ATTENTION
Task: {BFB7F2F5-B9C2-44E8-B532-70DE4591B47F} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> No File <==== ATTENTION
Task: {E5134012-4989-4673-BD9E-293B79C0C7FE} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> No File <==== ATTENTION
Task: {F22C6D85-12E1-4FA5-B7C5-2A9FC32827D7} - \Microsoft\Windows\Setup\GWXTriggers\ScheduleUpgradeReminderTime -> No File <==== ATTENTION

EmptyTemp:
End
Uložte na plochu jako fixlist.txt. Spusťte znovu FRST a klikněte na >Fix<. Po skončení akce se objeví log, který sem zkopírujte.

Re: Podezření na zavirované PC

Napsal: 14 led 2017 22:43
od Petr32
Fixlog> http://pastebin.com/danF1kFP

Mám pocit že to vypínaní task manageru přestalo :) Ten "COM Surrogate" tam furt je 2x a když otevřu Task manager tak po chvíli zmizne, ale to je možná normální(nerozumím tomu).

Re: Podezření na zavirované PC

Napsal: 14 led 2017 22:47
od Petr32
Aha tak to nepřestalo... :( COM surrogate tam teď byl dokonce 3x

zde> http://thetechterminus.com/how-to-remov ... m-windows/ jsem našel zajímavý návod, ale nechci ho dělat bez vašeho doporučení(asi je to velký zásah do systému), co si o tom myslíte?

Re: Podezření na zavirované PC

Napsal: 15 led 2017 11:18
od Rudy
Udělejte kompletní sken MBAM: http://www.malwarebytes.org/mbam.php a dejte log. Předem nic nemažte.

Re: Podezření na zavirované PC

Napsal: 15 led 2017 11:33
od Petr32
Stačí dát ten sken hrozeb nebo vlastní sken a heldat i rootkity?

Re: Podezření na zavirované PC

Napsal: 15 led 2017 12:40
od Rudy
Když kompletní, tak všechno.

Re: Podezření na zavirované PC

Napsal: 15 led 2017 14:19
od Petr32
Log> http://pastebin.com/RJWaMi23

Bohužel zmiňované problémy přetrvávají :(

Re: Podezření na zavirované PC

Napsal: 15 led 2017 17:00
od Rudy
Vyhledejte v systému soubor dllhost.exe. Ten systémový by měl být jen v system32. Pokud se objeví někde jinde, dejte mi sem cestu k tomu souboru.

Re: Podezření na zavirované PC

Napsal: 15 led 2017 17:31
od Petr32
Opravdu to našlo 4...

C:\Windows\System32

C:\Windows\SysWOW64
C:\Windows\WinSxS\wow64_microsoft-windows-com-surrogate-core_31bf3856ad364e35_10.0.14393.0_none_6cb3a5d221ab784a
C:\Windows\WinSxS\amd64_microsoft-windows-com-surrogate-core_31bf3856ad364e35_10.0.14393.0_none_625efb7fed4ab64f

Re: Podezření na zavirované PC

Napsal: 15 led 2017 19:06
od Rudy
V 64b systému mohou být tato soubory i jinde. Zkuste tento postup: http://odstranitvirus.cz/reimage/stazen ... surrogate/ .
Všechny časy jsou v UTC+01:00
Stránka 1 z 3

Založeno na phpBB® Forum Software © phpBB Limited

Český překlad – phpBB.cz