ошибка или вирус/майнер в COM surrogate

[biden]

Столкнулся с достаточно критической проблемой. При запуске компьютера запускается процесс COM surrogate с именем dllhost.exe,который нагружает память на 99%, можно без всяких препятствий выключить эту задачу через диспетчер, при этом он запускается снова, снова снимаешь задачу и он на некоторое время затихает, потом запускается снова и так в течение работы компьютера. У меня стоит платный каспер, ничего не нашел, пробовал с доктором вебом, тоже ноль результата и с curelt пробовал и с автономным дефом. Запускал в безопасном режиме, все равно запускается, повреждения через консоль винда не нашла. При этом сам процесс находится в system32 и с сертификатом майка, ничего не блокирует, на все антивирусы могу зайти, диспетчер задач постоянно держу открытым чтобы мониторить. В последнее время ничего не скачивал, что могло привести к таким последствиям. Это что то вредоносное или что то в винде полетело, нужно ли идти на тему по удалению майнера или переустанавливать винду?

 

Сообщение от модератора Mark D. Pearlstone

Тема перемещена из раздела "Компьютерная помощь"

[Mark D. Pearlstone]

Порядок оформления запроса о помощи

[biden]

Вот логи, просто думал, что не факт, что это вирус

CollectionLog-2025.04.13-15.41.zip

[biden]

7 часов назад, Mark D. Pearlstone сказал:

Порядок оформления запроса о помощи

все же правильно сделал или надо новую тему создавать где изначально лог прикреплён?

[thyrex]

Помощь оказываетсяв свободное от основных занятий время. Наберитесь терпения и ждите, Вам обязательно ответят.

[Sandor]

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[biden]

Сделано

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-2934567411-1001974574-3262235843-1004\...\MountPoints2: {1d4798a8-af4a-11ec-aee5-a0a3f0901bf1} - "D:\wpi\MInst.exe" 
  HKU\S-1-5-21-2934567411-1001974574-3262235843-1004\...\MountPoints2: {79efc707-b36a-11ec-aefc-7085c299add0} - "E:\SISetup.exe" 
  HKU\S-1-5-21-2934567411-1001974574-3262235843-1004\...\MountPoints2: {d4b4c2d2-af93-11ec-aeee-7085c299add0} - "D:\SETUP.EXE" 
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
  C:\Users\dabez\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ilkchkhhbglebahbnpeemimijjfopden
  C:\Users\dabez\AppData\Local\Google\Chrome\User Data\Profile 10\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  C:\Users\dabez\AppData\Local\Google\Chrome\User Data\Profile 154\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
  CHR HKU\S-1-5-21-2934567411-1001974574-3262235843-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
  CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
  S3 cpuz154; \??\C:\Windows\temp\cpuz154\cpuz154_x64.sys [X] <==== ВНИМАНИЕ
  S3 HWiNFO_180; \??\C:\Users\dabez\AppData\Local\Temp\HWiNFO64A_180.SYS [X] <==== ВНИМАНИЕ
  S3 HWiNFO_204; \??\C:\Users\dabez\AppData\Local\Temp\HWiNFO_x64_204.sys [X] <==== ВНИМАНИЕ
  ShellExecuteHooks-x32: Нет имени - {D2BF470E-ED1C-487F-AAAA-2BD8835EB6CE} -  -> Нет файла
  ContextMenuHandlers1: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
  ContextMenuHandlers2: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
  ContextMenuHandlers4: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
  ContextMenuHandlers6: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
  FirewallRules: [{844D484E-9BC1-4C41-88A8-0A71CEE35CB8}] => (Allow) LPort=1542
  FirewallRules: [{35114258-D12A-41E5-9CA6-E97A161438A7}] => (Allow) LPort=1542
  FirewallRules: [{38772F3E-4F15-46CA-AB3A-B187E75C5224}] => (Allow) LPort=53
  FirewallRules: [{352B5C71-5F6B-48F0-9E66-7D38260ED7B4}] => (Allow) LPort=53
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[biden]

После перезагрузки процесс пока не запускался

Fixlog.txt

[Sandor]

Хорошо. Понаблюдайте некоторое время, а тема пока не закрывается.

 

Сделайте завершающие шаги:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[biden]

Вроде пока всё хорошо. А что это было, если не секрет?

SecurityCheck.txt

[Sandor]

Скриптом мы почистили только мусор. Вероятно была попытка обновления, т.к. указанные в первом сообщении процессы являются системными.

 

Исправьте по возможности:

 

Notepad++ (64-bit x64) v.8.7.5 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2016 - ru-ru v.16.0.14332.20255
LibreOffice 24.2.7.2 v.24.2.7.2 Внимание! Скачать обновления
Приложение NVIDIA 11.0.2.312 v.11.0.2.312 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.98.2 Внимание! Скачать обновления
AnyDesk v.ad 9.5.0 Внимание! Скачать обновления
FileZilla 3.67.0 v.3.67.0 Внимание! Скачать обновления
WinRAR 6.02 v.6.02 Внимание! Скачать обновления
Telegram Desktop 3.3.0 v.3.3.0 Внимание! Скачать обновления
WhatsApp 2.2147.16 v.2.2147.16 Классическая версия приложения больше не поддерживается разработчиком.. Установите программу из Microsoft Store.
Discord v.1.0.9004 Внимание! Скачать обновления
Zoom Workplace v.6.3.11 (60501) Внимание! Скачать обновления
Proton VPN v.3.2.0 Внимание! Скачать обновления
RustDesk v.1.3.9.29063609 Внимание! Программа удаленного доступа!
Java 8 Update 431 (64-bit) v.8.0.4310.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u441-windows-x64.exe - Windows Offline (64-bit))^
Adobe Acrobat Reader DC MUI v.21.007.20099 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Mozilla Firefox (x64 ru) v.115.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Yandex v.25.2.3.809 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

Читайте Рекомендации после удаления вредоносного ПО

[biden]

Понял, спасибо большое за помощь