Перейти к содержанию

ошибка или вирус/майнер в COM surrogate


Рекомендуемые сообщения

Столкнулся с достаточно критической проблемой. При запуске компьютера запускается процесс COM surrogate с именем dllhost.exe,который нагружает память на 99%, можно без всяких препятствий выключить эту задачу через диспетчер, при этом он запускается снова, снова снимаешь задачу и он на некоторое время затихает, потом запускается снова и так в течение работы компьютера. У меня стоит платный каспер, ничего не нашел, пробовал с доктором вебом, тоже ноль результата и с curelt пробовал и с автономным дефом. Запускал в безопасном режиме, все равно запускается, повреждения через консоль винда не нашла. При этом сам процесс находится в system32 и с сертификатом майка, ничего не блокирует, на все антивирусы могу зайти, диспетчер задач постоянно держу открытым чтобы мониторить. В последнее время ничего не скачивал, что могло привести к таким последствиям. Это что то вредоносное или что то в винде полетело, нужно ли идти на тему по удалению майнера или переустанавливать винду?

 

Сообщение от модератора Mark D. Pearlstone

Тема перемещена из раздела "Компьютерная помощь"

Ссылка на комментарий
Поделиться на другие сайты

7 часов назад, Mark D. Pearlstone сказал:

все же правильно сделал или надо новую тему создавать где изначально лог прикреплён?

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-2934567411-1001974574-3262235843-1004\...\MountPoints2: {1d4798a8-af4a-11ec-aee5-a0a3f0901bf1} - "D:\wpi\MInst.exe" 
    HKU\S-1-5-21-2934567411-1001974574-3262235843-1004\...\MountPoints2: {79efc707-b36a-11ec-aefc-7085c299add0} - "E:\SISetup.exe" 
    HKU\S-1-5-21-2934567411-1001974574-3262235843-1004\...\MountPoints2: {d4b4c2d2-af93-11ec-aeee-7085c299add0} - "D:\SETUP.EXE" 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    C:\Users\dabez\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ilkchkhhbglebahbnpeemimijjfopden
    C:\Users\dabez\AppData\Local\Google\Chrome\User Data\Profile 10\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
    C:\Users\dabez\AppData\Local\Google\Chrome\User Data\Profile 154\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
    CHR HKU\S-1-5-21-2934567411-1001974574-3262235843-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
    CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
    S3 cpuz154; \??\C:\Windows\temp\cpuz154\cpuz154_x64.sys [X] <==== ВНИМАНИЕ
    S3 HWiNFO_180; \??\C:\Users\dabez\AppData\Local\Temp\HWiNFO64A_180.SYS [X] <==== ВНИМАНИЕ
    S3 HWiNFO_204; \??\C:\Users\dabez\AppData\Local\Temp\HWiNFO_x64_204.sys [X] <==== ВНИМАНИЕ
    ShellExecuteHooks-x32: Нет имени - {D2BF470E-ED1C-487F-AAAA-2BD8835EB6CE} -  -> Нет файла
    ContextMenuHandlers1: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
    ContextMenuHandlers2: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
    ContextMenuHandlers4: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
    ContextMenuHandlers6: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
    FirewallRules: [{844D484E-9BC1-4C41-88A8-0A71CEE35CB8}] => (Allow) LPort=1542
    FirewallRules: [{35114258-D12A-41E5-9CA6-E97A161438A7}] => (Allow) LPort=1542
    FirewallRules: [{38772F3E-4F15-46CA-AB3A-B187E75C5224}] => (Allow) LPort=53
    FirewallRules: [{352B5C71-5F6B-48F0-9E66-7D38260ED7B4}] => (Allow) LPort=53
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Хорошо. Понаблюдайте некоторое время, а тема пока не закрывается.

 

Сделайте завершающие шаги:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Скриптом мы почистили только мусор. Вероятно была попытка обновления, т.к. указанные в первом сообщении процессы являются системными.

 

Исправьте по возможности:

 

Notepad++ (64-bit x64) v.8.7.5 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2016 - ru-ru v.16.0.14332.20255
LibreOffice 24.2.7.2 v.24.2.7.2 Внимание! Скачать обновления
Приложение NVIDIA 11.0.2.312 v.11.0.2.312 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.98.2 Внимание! Скачать обновления
AnyDesk v.ad 9.5.0 Внимание! Скачать обновления
FileZilla 3.67.0 v.3.67.0 Внимание! Скачать обновления
WinRAR 6.02 v.6.02 Внимание! Скачать обновления
Telegram Desktop 3.3.0 v.3.3.0 Внимание! Скачать обновления
WhatsApp 2.2147.16 v.2.2147.16 Классическая версия приложения больше не поддерживается разработчиком.. Установите программу из Microsoft Store.
Discord v.1.0.9004 Внимание! Скачать обновления
Zoom Workplace v.6.3.11 (60501) Внимание! Скачать обновления
Proton VPN v.3.2.0 Внимание! Скачать обновления
RustDesk v.1.3.9.29063609 Внимание! Программа удаленного доступа!
Java 8 Update 431 (64-bit) v.8.0.4310.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u441-windows-x64.exe - Windows Offline (64-bit))^
Adobe Acrobat Reader DC MUI v.21.007.20099 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Mozilla Firefox (x64 ru) v.115.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Yandex v.25.2.3.809 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Снова, здравствуйте! Крашнутый процесс не запускался 2 дня, потом снова началось, также как и было до этого. Может можно понять что именно крякнулось или что может инициализировать запуск данной программы?

CollectionLog-2025.04.18-18.11.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Я по-прежнему не вижу ничего вредоносного в логах.

Обновления системы установлены все?

 

Посоветуйтесь ещё в соседнем разделе. Ссылку на эту тему там укажите.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • biden
      Автор biden
      Столкнулся с достаточно критической проблемой. При запуске компьютера запускается процесс COM surrogate с именем dllhost.exe,который понарастающе нагружает память на 99%, если отключить этот процесс, он запускается снова, потом не включается до определенного момента, потом снова запускается. Я так понимаю, что в процессе работы в компьютере при открытии определенных вещей (каких не выяснил) инициализируется запуск этого процесса, но что то идет не так и он просто нагружает мне память и компьютер умирает. Если компьютер просто включен или на нем работает одна определённая программа, в которой не запускается этот процесс, то и сам процесс соответственно тоже не запускается. Сначала думал, что это майнер поэтому обратился на другую тему, просматривал в журнале событий, вроде чего то критического, из-за чего это может быть, не наблюдал. Можно ли определить из-за чего это всё происходит и как это можно устранить?
    • Adozel
      Автор Adozel
      В последнее время моргал монитор пк, что напрягло. Проверяла пк на вирусы через Dr.Web CureIt! обнаружил 3, которые сразу удалила. Проверяла после через Dr.Web CureIt! и вечером через kaspersky и больше ничего не нашлось. Напрягло, что иногда цп поднималось больше обычного в программах по типу word или играх в которых не повышалось так, как раньше. И повышается энергопотребление. Также заметила, что system съедает очень много трафика (подключение через кабеля). Если раньше он особо не превышал 1 гб, то сейчас 53 гб. Также диспетчер задач часто показывает долгие скачки интернета, хотя может открыта лишь одна вкладка хрома. Не уверена, что это именно, но может быть что-то серьезное?



      CollectionLog-2025.06.11-22.35.zip
    • 26alexx
      Автор 26alexx
      Мой компьютер заразился скрытым майнером, который при обычном удалении восстанавливается за 5 секунд. Вирус назвался службой "GoogleUpdateTaskMachineQC", разместил себя в папке "C:\ProgramData\Google\Chrome", где поместил два файла "SbieDll.dll" и "updater.exe", вирус сам вносит в исключения папки для проверки: C:\ProgramData, C:\Windows и C:\Windows\System32\config\systemprofile и др. Перестал работать Центр обновления Windows. Не даёт выключать компьютер обычным способом. Только через длительное нажатие кнопки "Включения". Долго грузит "Панель задач" - 2-3 минуты. Может и ещё есть какие-то скрытые изменения. Помогите, пожалуйста, удалить этот вирус-майнер!
      CollectionLog-2025.05.11-22.59.zip
    • dmitriiytkin10iz10
      Автор dmitriiytkin10iz10
      пробовал удалить через Dr Web но он не удалился а винду сносить не хочется нужна помощь
    • Kagore345
      Автор Kagore345
      Постоянно подкачивается файл по адресу C:\ProgramData\Google\Chrome\updater.exe. Хотя у меня даже гугла нет, после удаления этой папки также подкачка осталась. Также скорее всего изменены реестры + видеокарта начала сильнее греться. Помогите пожалуйста.

      Сканил и Dr.Web, Malwarebytes и KVRT. Какие-то вирусы они удалили, но проблема с реестрами так и осталось, возможно, также не все вирусы удалили.
×
×
  • Создать...