Svcsys64.exe - wirus?

Zauważyłem w katalogu taki plik:
C:\Users\nazwa uzytkownika\AppData\Roaming\Sys64\wlansinf\svcsys64.exe

Malwarebytes nie zgłasza problemu, ale nawet google nie wyszukuje co to jest…

Wyślij ten plik na virustotal

  1. Sprawdź czy to coś uruchamia się jako usługa albo sterownik przy starcie kompa
  2. Jeśli tak to znajdź wpis w rejestrze, który to uruchamia i spróbuj to wyłączyć - zobaczysz czy coś się odezwie - jakiś komunikat o błędzie. Odpowiedni wpis powinien być w kluczu: Komputer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
    Najłatwiej to zrobić za pomocą programu AutoRuns z pakietu Sysinternals (zakładka Services albo Drivers): nie usuwasz wpisu z rejestru tylko odznaczasz ptaszka przy wpisie - wpis stanie się nieczynny. Po wszystkim można z powrotem zaznaczyć.
  3. Spróbuj otworzyć plik w jakimś edytorze Hex albo nawet zwykłym notatniku: jeśli to jest „porządny plik” to w końcówce powinna być nazwa producenta/właściciela i będzie jakaś wskazówka.

Plik zajmuje 735MB…

  1. W CCleaner pokazuje to jako usługi systemu windows
  2. Przejrzałem ten plik pod Total Commanderem przez F3 i nie znalazłem żadnej czytelnej frazy

Sprawdź czy jest coś uruchomione w tle (Sysinternals - Process Explorer) i pożera moc procesora (koparki kryptowalut tak mają). Odznacz to zaplanowane zadanie w Autoruns (zakładka Scheduled Tasks), zrestartuj kompa i zobacz co się stanie.

Możesz spróbować obliczyć SHA256 dla pliku, może użytkownik premium już wgrał identyczny plik.

Podobno wystarczy Total Commander:

ale co mi to da ?

Jak plik binarny ma tak duży rozmiar (735MB) to jest na 99,99% wirus.
Sam „prawdziwy plik” ma pewnie do kliku megabajtów, reszta to wydmuszka dodawana, żeby skanery antywirusowe tego nie skanowały i nie przesyłały z automatu próbek do producenta antywirusa. Utrudnia również analizę w przypadku skanerów online/sandboxów/vm.

To, czy jest sztucznie ten plik „wypchany” możesz sprawdzić kompresując go np. do pliku ZIP. Jeżeli będzie miał znacznie mniejszy rozmiar (ułamek oryginalnego rozmiaru), to znaczy że zrobiono to celowo i plik jest złośliwy.

A może spakuj i wtedy wrzuć na virustotal.

Przeskanuj GridinSoft Anti-Malware i ustaw skanowanie > Ustawienia> Skanowanie > Korzystaj z reguł heurystycznych na MAX. Tryb skanowania> Zwykłe skanowanie. Jak nic nie wykryje to jest nie wirus. Korzystam z tego skanera i jest bardzo agresywny.