» »

fsazz.exe

fsazz.exe

zcetrt ::

Zdravo.

Na računalniku imam nameščen F-secure 9.32 build 112. V njegovi mapi v podmapi Anti-Virus se nahaja fsazz.exe, ki ga na drugem računalniku, ki prav tako ima nameščen F-secure, ni. Ravno ta fsazz.exe se nekaj sesuva (Windows ima obilico reportov o tem, da se je ta program sesul - "fsazz.exe stopped working and was closed
UI[9]=A problem caused the application to stop working correctly. Windows will notify you if a solution is available.").

Na spletu ne najdem informacij o tem fsazz.exe. Ob preimenovanju datoteke in ponovnem zagonu se spet pojavi.

Malo me skrbi, kaj bi to bilo, zato bi bil vesel kakšnega mnenja.

Hvala.
4.

hojnikb ::

smrdi po malware-u...
#brezpodpisa

zcetrt ::

Kako se lahko o tem prepričam? Smrdi tudi meni, zato sprašujem :)
4.

hojnikb ::

zbriši f-secure in namesti kaj drugega, ker očitno ne dela svoje naloge.
#brezpodpisa

SeMiNeSanja ::

Pošlji datoteko Anubisu v analizo in poglej, kaj bo rekel.

zcetrt ::

Anubis ne prepozna exe fila. Fsazz.exe je edina datoteka v F-secure antivirusu, ki nima pod properties navedenega copyrighta.
Ko zaženem fsazz.exe, se nekaj zažene v cmd-ju, ampak takoj zapre. Ko sem ga pognal direktno iz CMD-ja, se izpiše tole:

cpuminer-multi 1.1-git by Tanguy Pruvot

F-secure full system scan ni našel ničesar...

Kot kaže mi sistem obremenjuje le, ko je določen čas neaktiven - če pustim računalnik pri miru, začne po določenem času ventilator na polno hladit.

Zdaj pa v boj nad to sodrgo...
4.

aerie ::

To maš zgleda nek miner gor od tega lika: https://github.com/tpruvot?tab=reposito...

wanderer ::

nekdo s tvojim procesorjem rudari kripto valute... odstrani zadevo in zamenjaj antivirus

zcetrt ::

Hja, odstrani zadevo :) Kako pa?
4.

Yacked2 ::

Odstrani F-Secure, ker ti očitno ne dela in si naloži Malwarebytes program, ki deluje zelo dobro. Tudi trial verzija je dobra in preskeniraj računalnik pa ti jo bo našel in popucal.
Korak naprej ni vedno ustrezen...sploh če si na robu prepada!

zcetrt ::

Hvala za nasvet. Namestil Malwarebytes, našel neke potencialno nevarne stvari (inštalacijsko datoteko Daemon tools in nekaj dll-jev), sem odstranil vse, zbrisal fsazz.exe.

Ob ponovnem zagonu je fsazz.exe nazaj na starem mestu.
4.

crniangeo ::

torej bo treba it v safe mode, še enkrat zbrisat to datoteko , zagnat autoruns od sysinternalsa pa preverit kaj je problem
Convictions are more dangerous foes of truth than lies.

hojnikb ::

ali si pa ne beliš glave in formatiraš. Se zna zgodit, da ti bo postavitev sistema vzela manj časa kot iskanje rešitve za to nadlego (ki vprašanje če je samo ta).
#brezpodpisa

mailer ::

Prva stvar ki jo poizkusiš je kill process in potem brisanje datoteke, nato antivirus, antimalware scan. Če to ne deluje poizkusiš v safe mode. Če to ne deluje vprašaš strica Googla kaj drugi naredijo v tem primeru. :D
Asus B560-I, Intel 11500, Corsair 16GB 3200MHz

čuhalev ::

Moj trik je ta, da datoteki kot Administrator odkljukam vse lastnosti, od branja, pisanja itd. Datoteka bo pač tam, vendar je ne bo mogel nihče prepisati, zagnati ipd.

SeMiNeSanja ::

čuhalev je izjavil:

Moj trik je ta, da datoteki kot Administrator odkljukam vse lastnosti, od branja, pisanja itd. Datoteka bo pač tam, vendar je ne bo mogel nihče prepisati, zagnati ipd.

Dokaj 'umazan' trik, ki pa ti na žalost tudi onemogoči dokončno rešitev problema.
Ta datoteka je lahko zgolj 'simptom', 'vzrok' pa lahko leži povsem kje drugje.

Anubis bi moral (čez čas) vrniti analizo te datoteke, ki bi vsebovala tudi informacije o tem, katere programe še zaganja in če poskuša kaj prenašati z interneta, kot tudi od kod. Zakaj za OPa analiza ni bila uspešna ne vem - morda je pričakoval 'instantni' rezultat, vendar tega lahko dobi le v primeru, da je Anubis že opravil podrobno analizo. Sicer je treba počakati, da se ta izvede.

Vsekakor mislim, da bo Google primeren vir informacij za razkriti in odpraviti to nadlogo, ki verjetno sama po sebi ni škodljiva, vsekakor pa ne sodi na računalnik, če nisi eksplicitno dovolil, da se namesti in izkorišča tvoj procesor, ko je računalnik v idle.

zcetrt ::

Hvala za vse nasvete. Jutri se lotim naprej.

Anubis javi tole: "Unfortunately your file could not be executed.

It seems the file you provided is a Windows executable (PE) file, but the program failed to load/start in our analysis system. A typical reason for this error is that some of the required library files (dlls) are missing in our system or the program was not intended to be run in the operating system we are using.

According to the Unix file command your file is of the following type:
PE32+ executable (console) x86-64, for MS Windows"

Žal nimam kaj dosti izkušenj. Moje videnje zadeve je, da fsazz sam zase niti ni problematičen. Problem je nekaj drugega, kar ga izkorišča. Če ga poženem sam, javi napako, ker mu ne podam url-ja za uploadanje rezultatov. Kot proces ga ne vidim nikdar. Katera stvar ga upravlja, ne vem. Anubisu tako lahko dam v analizo le fsazz.

fsazz je, kot kaže, neko random ime, ki simulira sistem poimenovanja datotek f-securea. fs* imen je tam polno. Google ne ve preaktično nič o fsazz.
4.

zcetrt ::

Zdravo. Tudi z vašo pomočjo se zdi, da mi je uspelo zalego zatreti. Postopek je bil sledeč:
- fsazz.exe se zaganja, ko je ralunalnik v idle. To se da videti v resource monitorju.
- fsazz-ju sem vzel vsa dovoljenja in ga označil kot "read only"
- računalnik sem dal v idle (lock), ventilator ni bil več na polnih vrtljajih, je pa deloval bolj, kot bi se spodobilo.
- resource monitor pokaže, da je procesor obremenjeval updater.exe, ki se prav tako nahaja v F-secure mapi. Kot kaže updater.exe želi zagnati minerja, a mu to ne uspe več.
- po izbrisu updater.exe se fsazz po ponovnem zagonu ne pojavlja več, prav tako se procesor ne obremenjuje več v idlu. Primerjava datotek f-secure mape pokaže, da čist sistem nima nekaj logov in dll-jev.

fsazz.exe je kot kaže bil popolnoma legitimen miner, ki pa se ne bi smel zaganjati. Zaganjal ga je updater.exe. Updater.exe sem naložil na Anubis in dobil report, če bi ga kdo pogledal, mu ga lahko pošljem.
4.

MrStein ::

Za take primere je dobro PC pregledati s kakim "off line" pregledovarlnikom, kot:
- DrWeb CureIT
- McAfee Stinger
- lahko tudi "online" skenerje drugih proizvajalcev (niso nič "online", le apdejte po zagonu naložijo z interneta): HouseCall, ESET "online", Kaspersky "online" itd...

Tole pa ni več preveč relevantno, ampak bom pustil vseeno:

Za preverti sumljive fajle:
https://www.virustotal.com/
http://virusscan.jotti.org/
http://www.virscan.org/

Sicer je verjetno to "čist navaden program", ki ga nek skrit nadzorni program upravlja. (točno, kot je potem OP napisal)
Motiti se je človeško.
Motiti se pogosto je neumno.
Vztrajati pri zmoti je... oh, pozdravljen!

Seljak ::

Ker sem tudi sam danes ugotovil,da se dogaja nekaj čudnega sem se odločil,da raziščem čemu moj procesor brez kakršnega koli razloga deluje na 50% in igre blokirajo,čeprav prej niso. No v procesih sem našel na prvem mestu cpuminer. Tudi,če ga odstraniš je ta nadloga tako narejena,da se sama brani,kar pomeni,da se spet in spet pojavlja. Potem sem našel stran,kjer je lepo opisano kako se ta nesnaga odstrani : http://www.bleepingcomputer.com/virus-r... Upam,da sem morda komu pomagal z nasvetom oz. linkom.

BorutK-73 ::

Si posodabljal MicroTorrent program?

Zgodovina sprememb…

Seljak ::

Ne,sem imel starejšo različico in izklopljeno posodabljanje. Vem tudi,da so ga nekateri ravno z utorrentom fasali.

zcetrt ::

Tudi jaz močno sklepam, da sem zalego staknil z uTorrentom. Ker sistem je bil svež in nalagal sem programe nanj, vključno z uTorrentom.
4.


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

.zip datoteka in virus

Oddelek: Informacijska varnost
162022 (1818) hojnikb
»

Trojan.Gpcoder.G (strani: 1 2 )

Oddelek: Pomoč in nasveti
98199881 (193069) Cold1
»

Internet Explorer auto run on startup

Oddelek: Pomoč in nasveti
8993 (760) amigo_no1
»

problem z računalnikom!!

Oddelek: Pomoč in nasveti
112268 (2067) mjk
»

antivirus (strani: 1 2 3 )

Oddelek: Programska oprema
10711766 (9129) frikihamster

Več podobnih tem