logo elektroda
logo elektroda
X
logo elektroda
Szukanie Zaawansowane
logo elektroda
REKLAMA
REKLAMA
Adblock/uBlockOrigin/AdGuard mogą powodować znikanie niektórych postów z powodu nowej reguły.

Wirus.Floxif zainfekował pliki, nie działające aplikacje - błąd 0x0000005

dev998 16 Mar 2021 14:49 645 17
REKLAMA
Zgłoś naruszenie prawa
Odpowiedz | Nowy temat
  • #1 19322142
    dev998
    Poziom 7  
    Posty: 19
    Ocena: 3
    Witam mam problem, z dnia na dzień nagle system się rozsypał, przy próbie otwarcia jakiegokolwiek programu czy gry wyskakuje "Application was unable to start correctly (0xc0000005)" Problem jest na tyle poważny że robiłem już reinstall systemu z formatowaniem partycji i nic nie pomogło, na świeżym systemie po kilku minutach korzystania robi się to samo więc przywróciłem system kopią obrazu EasyUS Todo Backup.. Przeskanowałem system mbamem który pousuwał kilka wirusów z nazwą Wirus.Floxif, odłączyłem 2 dyski żeby infekcja się nie rozprzestrzeniła i nie wiem już co robić.
    Załączniki:
    • Addition.txt (42.29 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • FRST.txt (32.1 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • REKLAMA
  • Pomocny post
    #2 19322199
    Kolobos
    Spec od komputerów
    Posty: 85152
    Pomógł: 17160
    Ocena: 10423
    To nie jest powazna infekcja i nigdzie sie nie rozprzestrzenia. Infekuje tylko pare plikow, ktore staja sie backdoorami. Mbam to wykrywa i usuwa.
    Jedyny slad po tej infekcji to pusty wpis:
    AppInit_DLLs-x32: C:\PROGRA~1\COMMON~1\System\symsrv.dll => Brak pliku <==== UWAGA

    Odinstaluj:
    CCleaner
    Driver Booster 8
    WiseCleaner

    Wszystkie trzy sa calkowicie zbedne.

    Wykonaj Fixlist.txt dla FRST:
    CloseProcesses:
    AlternateDataStreams: C:\Temp:$DATA​ [16]
    AlternateDataStreams: C:\Users\DevSec\Application Data:6699d3ee8dd9cf775caae782c8f44f03 [394]
    AlternateDataStreams: C:\Users\DevSec\AppData\Roaming:6699d3ee8dd9cf775caae782c8f44f03 [394]
    Hosts:
    HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ograniczenia <==== UWAGA
    HKU\S-1-5-21-2393855316-3825729017-1342979858-1002\...\MountPoints2: {450f8355-6b9f-11eb-9242-309c230a1163} - "E:\HiSuiteDownLoader.exe"
    HKU\S-1-5-21-2393855316-3825729017-1342979858-1002\...\MountPoints2: {5207fafe-6477-11eb-923e-309c230a1163} - "E:\HiSuiteDownLoader.exe"
    HKU\S-1-5-21-2393855316-3825729017-1342979858-1002\...\MountPoints2: {5207fb1f-6477-11eb-923e-309c230a1163} - "E:\HiSuiteDownLoader.exe"
    HKU\S-1-5-21-2393855316-3825729017-1342979858-1002\...\MountPoints2: {56892d39-5cc5-11eb-923a-309c230a1163} - "E:\HiSuiteDownLoader.exe"
    HKU\S-1-5-21-2393855316-3825729017-1342979858-1002\...\MountPoints2: {6f3053b7-543e-11eb-9236-309c230a1163} - "E:\HiSuiteDownLoader.exe"
    HKU\S-1-5-21-2393855316-3825729017-1342979858-1002\...\MountPoints2: {d0e4e247-2c23-11eb-9211-309c230a1163} - "E:\HiSuiteDownLoader.exe"
    HKU\S-1-5-21-2393855316-3825729017-1342979858-1002\...\MountPoints2: {d2dd5dd6-5352-11eb-9235-309c230a1163} - "E:\HiSuiteDownLoader.exe"
    HKU\S-1-5-21-2393855316-3825729017-1342979858-1002\...\MountPoints2: {e88f6bb0-4b70-11eb-9232-309c230a1163} - "E:\HiSuiteDownLoader.exe"
    AppInit_DLLs-x32: C:\PROGRA~1\COMMON~1\System\symsrv.dll => Brak pliku <==== UWAGA
    GroupPolicy: Ograniczenia ? <==== UWAGA
    Policies: C:\ProgramData\NTUSER.pol: Ograniczenia <==== UWAGA
    Task: {1E2E9E84-1841-4E74-8396-04E62A0287E6} - System32\Tasks\CCleanerSkipUAC => C:\Program Files\CCleaner\CCleaner.exe [26781880 2020-11-10] (Piriform Software Ltd -> Piriform Software Ltd)
    Task: {2FC42567-0332-4FA3-92B9-C3810A824C3E} - System32\Tasks\CCleaner Update => C:\Program Files\CCleaner\CCUpdate.exe [686384 2020-11-10] (Piriform Software Ltd -> Piriform Software Ltd)
    Task: {48931636-B9BA-4362-9EEE-21BD63EC25D3} - System32\Tasks\Driver Booster SkipUAC (DevSec) => F:\Programy\Driver Booster\8.0.2\DriverBooster.exe
    Task: {62488A4C-BC42-4FAB-BECC-74227EAA09D1} - System32\Tasks\WiseCleaner\WRCSkipUAC => F:\Programy\Wise Registry Cleaner\WiseRegCleaner.exe
    Task: {654670AD-C26F-490C-B30C-5F33FA68913D} - System32\Tasks\Driver Booster Update => F:\Programy\Driver Booster\8.0.2\AutoUpdate.exe
    CHR HKLM\...\Chrome\Extension: [cifnddnffldieaamihfkhkdgnbhfmaci]
    CHR HKLM-x32\...\Chrome\Extension: [cifnddnffldieaamihfkhkdgnbhfmaci]
    S3 Browser; C:\Windows\System32\svchost.exe [51696 2020-09-10] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
    S3 Browser; C:\Windows\SysWOW64\svchost.exe [45448 2020-09-10] (Microsoft Windows Publisher -> Microsoft Corporation) <==== UWAGA (Brak ServiceDLL)
    S4 Origin Client Service; "F:\Programy\Origin\OriginClientService.exe" [X]
    S3 Origin Web Helper Service; "F:\Programy\Origin\OriginWebHelperService.exe" [X]
    S3 iobit_monitor_server; Brak ImagePath
    S3 igfx; \SystemRoot\System32\DriverStore\FileRepository\iigd_dch.inf_amd64_139e2b12c5e53bc5\igdkmd64.sys [X]
    2021-03-14 12:17 - 2021-03-14 12:17 - 000000000 ____D C:\AdwCleaner
  • #3 19322308
    dev998
    Poziom 7  
    Posty: 19
    Ocena: 3
    Okej, zrobiłem co kazałeś. Tylko skoro to nie jest poważna infekcja to czemu uniemożliwia mi uruchamianie aplikacji z tym błędem 0x0000005 ? Czy po wykonaniu tego fixa mogę podłączyć spokojnie resztę dysków ? Bo mam dysk twardy F:/ na którym mam zainstalowane programy a na D:/ wszystkie gry i niechciałbym żeby coś się zepsuło


    @Edit
    Podłączyłem resztę dysków no i niestety dalej nie mogę uruchomić żadnej aplikacji :/
  • #4 19322423
    Kolobos
    Spec od komputerów
    Posty: 85152
    Pomógł: 17160
    Ocena: 10423
    Jestes pewien, ze na innych dyskach nie ma np. Sality albo Viruta?

    Zrob skan przy pomocy Cureit z poziomu systemu i napisz czy cos wykryl.

    Mozesz tez zamiescic nowe logi z FRST. Ale infekcji plikow w nich nie bedzie widac.
  • #5 19322463
    dev998
    Poziom 7  
    Posty: 19
    Ocena: 3
    No niby nic nie widać, skanowałem antywirusami i nic nie wykrywa..

    Nowe skany FRST
    Załączniki:
    • Addition.txt (34.38 KB) Musisz być zalogowany, aby pobrać ten załącznik.
    • FRST.txt (28.02 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • REKLAMA
  • Pomocny post
    #6 19322475
    Kolobos
    Spec od komputerów
    Posty: 85152
    Pomógł: 17160
    Ocena: 10423
    Comodo najlepiej odinstaluj i tak jest bezuzyteczny.

    Sprawdz te pliki na virustotal/jotti:
    HKLM-x32\...\Run: [FxSound] => C:\Program Files (x86)\DFX\dfx.exe [1780728 2021-01-22] (FxSound, LLC -> ) [Brak podpisu cyfrowego]
    HKLM-x32\...\Run: [FxSound Enhancer] => C:\Program Files (x86)\DFX\dfx.exe [1780728 2021-01-22] (FxSound, LLC -> ) [Brak podpisu cyfrowego]
    HKLM-x32\...\Run: [IseUI] => C:\Program Files (x86)\COMODO\Internet Security Essentials\vkise.exe [4266135 2019-01-29] (COMODO) [Brak podpisu cyfrowego]
    HKU\S-1-5-21-2393855316-3825729017-1342979858-1002\...\Run: [OscarEditor] => F:\Programy\OSCAR Editor X7\OscarEditor.exe [3345408 2012-08-17] () [Brak podpisu cyfrowego]

    Nastepnie te:
    HHKU\S-1-5-21-2393855316-3825729017-1342979858-1002\...\Run: [Gyazo] => C:\Program Files (x86)\Gyazo\GyStation.exe [915848 2020-07-09] (Nota Inc. -> Nota Inc.)
    HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe [9277520 2020-09-11] (Realtek Semiconductor Corp. -> Realtek Semiconductor)
    HKLM\...\Run: [COMODO Autostart {D5EFF3B3-E126-4AF6-BCE9-852A72129E10}] => C:\Program Files\COMODO\COMODO Internet Security\cis.exe [13190952 2020-12-24] (Comodo Security Solutions, Inc. -> COMODO)

    Znowu widac infekcje:
    AppInit_DLLs-x32: C:\PROGRA~1\COMMON~1\System\symsrv.dll => C:\Program Files\Common Files\system\symsrv.dll [69337 2021-03-16] (Microsoft Corporation) [Brak podpisu cyfrowego] <==== UWAGA

    Ale tutaj wystarczy jeden zainfekowany plik, wiec to nic dziwnego.

    Fixlist.txt do wykonania:
    C:\PROGRA~1\COMMON~1\System\symsrv.dll
    AppInit_DLLs-x32: C:\PROGRA~1\COMMON~1\System\symsrv.dll => C:\Program Files\Common Files\system\symsrv.dll [69337 2021-03-16] (Microsoft Corporation) [Brak podpisu cyfrowego] <==== UWAGA

    Jezeli cureit to wykrywa i usuwa to przeskanuj z poziomu LiveCD/LiveUSB, bez wlaczania systemu.
  • #7 19322493
    dev998
    Poziom 7  
    Posty: 19
    Ocena: 3
    Nie wiem jak sprawdzić te pliki na virustotal więc po prostu usunąłem te programy, comodo też.

    Fixlist wykonany, ponowny skan CureIt nic nie wykrywa

    To co teraz jak dalej te cholerne aplikacje się nie uruchamiają

    @Edit
    No chyba jest jakiś postęp bo przynajmniej instalka BattleNet już ruszyła ale niestety tylko ona
  • #8 19322523
    Kolobos
    Spec od komputerów
    Posty: 85152
    Pomógł: 17160
    Ocena: 10423
    Nie miales niczego usuwac. Pliki sprawdzasz przeciagajac je na strone.

    Wszystko co sie nie uruchamia sprawdz na stronie.
  • REKLAMA
  • #9 19322530
    leonov
    Poziom 43  
    Posty: 8907
    Pomógł: 1038
    Ocena: 2233
    To jest ciekawe.
    dev998 napisał:
    na świeżym systemie po kilku minutach korzystania robi się to samo
    A czy po czystej instalacji systemu, ale bez dostępu do sieci (odłączona fizycznie), dzieje się tak samo ?
  • #10 19322535
    Kolobos
    Spec od komputerów
    Posty: 85152
    Pomógł: 17160
    Ocena: 10423
    @leonov autor zapewne uruchamia jeden z zainfekowanych plikow i dlatego ponownie infekuje system.
  • #11 19322539
    dev998
    Poziom 7  
    Posty: 19
    Ocena: 3
    Kolobos napisał:
    Nie miales niczego usuwac. Pliki sprawdzasz przeciagajac je na strone.

    Wszystko co sie nie uruchamia sprawdz na stronie.


    No to się pośpieszyłem trochę, ale nie wszystkie jeszcze usunąłem ale posprawdzałem te aplikacje na virustotal i są czyste
  • REKLAMA
  • #12 19322582
    Kolobos
    Spec od komputerów
    Posty: 85152
    Pomógł: 17160
    Ocena: 10423
    Mbam i Cureit cos wykrywaja?
  • #13 19322632
    dev998
    Poziom 7  
    Posty: 19
    Ocena: 3
    Kolobos napisał:
    Mbam i Cureit cos wykrywaja?


    Mbam i CureIT nic już nie wykrywają. Poza tym udało się już zainstalować Battlenet i uruchomić Hots'a bezproblemowo, czyli chyba jest już w miarę ok. Inne gry, nie wszystkie dalej się nie chcą uruchomić ale wydaje mi się że reinstall to naprawi.

    Mam jeszcze problem ze skrótem przypiętym do paska zadań:
    (C:\Users\DevSec\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\7111c0ce965b7246)
    Gdy uruchamiam battlenet widać że skrót jakby działał ale ikonki nie ma i nie widać opcji usunięcia tego skrótu z paska, o co z tym chodzi ?

    @Edit
    Dobra nie wiem o co tu chodzi ale MBAM znowu coś wykrył.. Znowu ten floxif
    Załączniki:
    • skan.txt (2.36 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • #14 19322647
    Kolobos
    Spec od komputerów
    Posty: 85152
    Pomógł: 17160
    Ocena: 10423
    Usun to co wykryl. Uruchom ponownie system i przeskanuj jeszcze raz, pelny skan.
  • #15 19322665
    dev998
    Poziom 7  
    Posty: 19
    Ocena: 3
    Kolobos napisał:
    Usun to co wykryl. Uruchom ponownie system i przeskanuj jeszcze raz, pelny skan.

    Teraz to wykrywa.. O co tu chodzi..
    Załączniki:
    • skan2.txt (1.67 KB) Musisz być zalogowany, aby pobrać ten załącznik.
  • #16 19322673
    Kolobos
    Spec od komputerów
    Posty: 85152
    Pomógł: 17160
    Ocena: 10423
    To jest glowny plik tej infekcji: C:\PROGRAM FILES\COMMON FILES\SYSTEM\SYMSRV.DLL po kasacji i ponownym uruchomieniu pojawia sie ponownie?

    > Jezeli cureit tez to wykrywa i usuwa to przeskanuj z poziomu LiveCD/LiveUSB, bez wlaczania systemu.
  • #17 19322687
    dev998
    Poziom 7  
    Posty: 19
    Ocena: 3
    Kolobos napisał:
    To jest glowny plik tej infekcji: C:\PROGRAM FILES\COMMON FILES\SYSTEM\SYMSRV.DLL po kasacji i ponownym uruchomieniu pojawia sie ponownie?

    > Jezeli cureit tez to wykrywa i usuwa to przeskanuj z poziomu LiveCD/LiveUSB, bez wlaczania systemu.


    Tak, w cureit najpierw wylecz nic nie dało potem zmieniłem na usuń, tez nic nie dało. MBAM dodaje do kwarantanny i też nic nie pomaga, po restarcie dalej pliki wracają

    No spróbuję przez bootowalnego usb ale pobieranie z ich strony 800mb trwa 2 godziny..

    EDIT

    Witam ponownie, dopiero po kilku dniach daje znać co i jak bo nie miałem możliwości wcześniej.

    Otóż sytuacja wygląda następująco, próbowałem zmontować CureIt na USB ale niestety coś idzie nie tak bo przy bootowaniu wywala error jakby pliki były uszkodzone a nie są bo prawidłowo niby się wszystko montuje na USB przez Dr.Web LiveDisk. Komputer od kilku dni nie był ani resetowany ani wyłączony, także jeśli nawet są jakieś pliki zainfekowane czymś dalej to kiedy jestem przy komputerze skanuję i nic nie wykrywa, wszystko póki co działa (z wyjątkiem tych aplikacji i gier które już wcześniej nie działały bo dalej nie działają)

    Scaliłem. RADU23
  • #18 19331172
    safbot1st
    Poziom 43  
    Posty: 21951
    Pomógł: 2719
    Ocena: 1583
    Kolobos napisał:
    To jest glowny plik tej infekcji: C:\PROGRAM FILES\COMMON FILES\SYSTEM\SYMSRV.DLL po kasacji i ponownym uruchomieniu pojawia sie ponownie?

    Sprawdź to. Do usuwania użyj np. bootowalny Linux.
    Jesli pojawia się z powrotem sprawdź co włączasz przed pojawieniem się.
Odpowiedz | Nowy temat
Zgłoś naruszenie prawa

Podsumowanie tematu

✨ Użytkownik zgłasza problem z infekcją wirusem Floxif, który powoduje błąd 0x0000005 przy uruchamianiu aplikacji i gier. Po reinstalacji systemu i skanowaniu za pomocą Malwarebytes (MBAM) oraz CureIt, wirus został częściowo usunięty, ale problem z uruchamianiem aplikacji nadal występuje. Użytkownik odłączył dyski, aby zapobiec rozprzestrzenieniu się infekcji, a także usunął zbędne programy, takie jak CCleaner i Comodo. Pomimo prób naprawy, niektóre aplikacje wciąż nie działają, a wirus powraca po usunięciu. Użytkownik rozważa użycie bootowalnego USB do dalszego skanowania i usuwania wirusa.
Wygenerowane przez model językowy.
REKLAMA