Zauważyłem w katalogu taki plik:
C:\Users\nazwa uzytkownika\AppData\Roaming\Sys64\wlansinf\svcsys64.exe
Malwarebytes nie zgłasza problemu, ale nawet google nie wyszukuje co to jest…
- Sprawdź czy to coś uruchamia się jako usługa albo sterownik przy starcie kompa
- Jeśli tak to znajdź wpis w rejestrze, który to uruchamia i spróbuj to wyłączyć - zobaczysz czy coś się odezwie - jakiś komunikat o błędzie. Odpowiedni wpis powinien być w kluczu: Komputer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
Najłatwiej to zrobić za pomocą programu AutoRuns z pakietu Sysinternals (zakładka Services albo Drivers): nie usuwasz wpisu z rejestru tylko odznaczasz ptaszka przy wpisie - wpis stanie się nieczynny. Po wszystkim można z powrotem zaznaczyć. - Spróbuj otworzyć plik w jakimś edytorze Hex albo nawet zwykłym notatniku: jeśli to jest „porządny plik” to w końcówce powinna być nazwa producenta/właściciela i będzie jakaś wskazówka.
Plik zajmuje 735MB…
- W CCleaner pokazuje to jako usługi systemu windows
- Przejrzałem ten plik pod Total Commanderem przez F3 i nie znalazłem żadnej czytelnej frazy
Sprawdź czy jest coś uruchomione w tle (Sysinternals - Process Explorer) i pożera moc procesora (koparki kryptowalut tak mają). Odznacz to zaplanowane zadanie w Autoruns (zakładka Scheduled Tasks), zrestartuj kompa i zobacz co się stanie.
Możesz spróbować obliczyć SHA256 dla pliku, może użytkownik premium już wgrał identyczny plik.
Podobno wystarczy Total Commander:
ale co mi to da ?
Jak plik binarny ma tak duży rozmiar (735MB) to jest na 99,99% wirus.
Sam „prawdziwy plik” ma pewnie do kliku megabajtów, reszta to wydmuszka dodawana, żeby skanery antywirusowe tego nie skanowały i nie przesyłały z automatu próbek do producenta antywirusa. Utrudnia również analizę w przypadku skanerów online/sandboxów/vm.
To, czy jest sztucznie ten plik „wypchany” możesz sprawdzić kompresując go np. do pliku ZIP. Jeżeli będzie miał znacznie mniejszy rozmiar (ułamek oryginalnego rozmiaru), to znaczy że zrobiono to celowo i plik jest złośliwy.
A może spakuj i wtedy wrzuć na virustotal.
Przeskanuj GridinSoft Anti-Malware i ustaw skanowanie > Ustawienia> Skanowanie > Korzystaj z reguł heurystycznych na MAX. Tryb skanowania> Zwykłe skanowanie. Jak nic nie wykryje to jest nie wirus. Korzystam z tego skanera i jest bardzo agresywny.