Перейти к содержанию

ошибка или вирус/майнер в COM surrogate


Рекомендуемые сообщения

Столкнулся с достаточно критической проблемой. При запуске компьютера запускается процесс COM surrogate с именем dllhost.exe,который нагружает память на 99%, можно без всяких препятствий выключить эту задачу через диспетчер, при этом он запускается снова, снова снимаешь задачу и он на некоторое время затихает, потом запускается снова и так в течение работы компьютера. У меня стоит платный каспер, ничего не нашел, пробовал с доктором вебом, тоже ноль результата и с curelt пробовал и с автономным дефом. Запускал в безопасном режиме, все равно запускается, повреждения через консоль винда не нашла. При этом сам процесс находится в system32 и с сертификатом майка, ничего не блокирует, на все антивирусы могу зайти, диспетчер задач постоянно держу открытым чтобы мониторить. В последнее время ничего не скачивал, что могло привести к таким последствиям. Это что то вредоносное или что то в винде полетело, нужно ли идти на тему по удалению майнера или переустанавливать винду?

 

Сообщение от модератора Mark D. Pearlstone

Тема перемещена из раздела "Компьютерная помощь"

Ссылка на комментарий
Поделиться на другие сайты

7 часов назад, Mark D. Pearlstone сказал:

все же правильно сделал или надо новую тему создавать где изначально лог прикреплён?

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    CloseProcesses:
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-2934567411-1001974574-3262235843-1004\...\MountPoints2: {1d4798a8-af4a-11ec-aee5-a0a3f0901bf1} - "D:\wpi\MInst.exe" 
    HKU\S-1-5-21-2934567411-1001974574-3262235843-1004\...\MountPoints2: {79efc707-b36a-11ec-aefc-7085c299add0} - "E:\SISetup.exe" 
    HKU\S-1-5-21-2934567411-1001974574-3262235843-1004\...\MountPoints2: {d4b4c2d2-af93-11ec-aeee-7085c299add0} - "D:\SETUP.EXE" 
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
    C:\Users\dabez\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ilkchkhhbglebahbnpeemimijjfopden
    C:\Users\dabez\AppData\Local\Google\Chrome\User Data\Profile 10\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
    C:\Users\dabez\AppData\Local\Google\Chrome\User Data\Profile 154\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
    CHR HKU\S-1-5-21-2934567411-1001974574-3262235843-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
    CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
    S3 cpuz154; \??\C:\Windows\temp\cpuz154\cpuz154_x64.sys [X] <==== ВНИМАНИЕ
    S3 HWiNFO_180; \??\C:\Users\dabez\AppData\Local\Temp\HWiNFO64A_180.SYS [X] <==== ВНИМАНИЕ
    S3 HWiNFO_204; \??\C:\Users\dabez\AppData\Local\Temp\HWiNFO_x64_204.sys [X] <==== ВНИМАНИЕ
    ShellExecuteHooks-x32: Нет имени - {D2BF470E-ED1C-487F-AAAA-2BD8835EB6CE} -  -> Нет файла
    ContextMenuHandlers1: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
    ContextMenuHandlers2: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
    ContextMenuHandlers4: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
    ContextMenuHandlers6: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
    FirewallRules: [{844D484E-9BC1-4C41-88A8-0A71CEE35CB8}] => (Allow) LPort=1542
    FirewallRules: [{35114258-D12A-41E5-9CA6-E97A161438A7}] => (Allow) LPort=1542
    FirewallRules: [{38772F3E-4F15-46CA-AB3A-B187E75C5224}] => (Allow) LPort=53
    FirewallRules: [{352B5C71-5F6B-48F0-9E66-7D38260ED7B4}] => (Allow) LPort=53
    ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты

Хорошо. Понаблюдайте некоторое время, а тема пока не закрывается.

 

Сделайте завершающие шаги:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на комментарий
Поделиться на другие сайты

Скриптом мы почистили только мусор. Вероятно была попытка обновления, т.к. указанные в первом сообщении процессы являются системными.

 

Исправьте по возможности:

 

Notepad++ (64-bit x64) v.8.7.5 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2016 - ru-ru v.16.0.14332.20255
LibreOffice 24.2.7.2 v.24.2.7.2 Внимание! Скачать обновления
Приложение NVIDIA 11.0.2.312 v.11.0.2.312 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.98.2 Внимание! Скачать обновления
AnyDesk v.ad 9.5.0 Внимание! Скачать обновления
FileZilla 3.67.0 v.3.67.0 Внимание! Скачать обновления
WinRAR 6.02 v.6.02 Внимание! Скачать обновления
Telegram Desktop 3.3.0 v.3.3.0 Внимание! Скачать обновления
WhatsApp 2.2147.16 v.2.2147.16 Классическая версия приложения больше не поддерживается разработчиком.. Установите программу из Microsoft Store.
Discord v.1.0.9004 Внимание! Скачать обновления
Zoom Workplace v.6.3.11 (60501) Внимание! Скачать обновления
Proton VPN v.3.2.0 Внимание! Скачать обновления
RustDesk v.1.3.9.29063609 Внимание! Программа удаленного доступа!
Java 8 Update 431 (64-bit) v.8.0.4310.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u441-windows-x64.exe - Windows Offline (64-bit))^
Adobe Acrobat Reader DC MUI v.21.007.20099 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Mozilla Firefox (x64 ru) v.115.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Yandex v.25.2.3.809 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

Читайте Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Снова, здравствуйте! Крашнутый процесс не запускался 2 дня, потом снова началось, также как и было до этого. Может можно понять что именно крякнулось или что может инициализировать запуск данной программы?

CollectionLog-2025.04.18-18.11.zip

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Я по-прежнему не вижу ничего вредоносного в логах.

Обновления системы установлены все?

 

Посоветуйтесь ещё в соседнем разделе. Ссылку на эту тему там укажите.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • biden
      Автор biden
      Столкнулся с достаточно критической проблемой. При запуске компьютера запускается процесс COM surrogate с именем dllhost.exe,который понарастающе нагружает память на 99%, если отключить этот процесс, он запускается снова, потом не включается до определенного момента, потом снова запускается. Я так понимаю, что в процессе работы в компьютере при открытии определенных вещей (каких не выяснил) инициализируется запуск этого процесса, но что то идет не так и он просто нагружает мне память и компьютер умирает. Если компьютер просто включен или на нем работает одна определённая программа, в которой не запускается этот процесс, то и сам процесс соответственно тоже не запускается. Сначала думал, что это майнер поэтому обратился на другую тему, просматривал в журнале событий, вроде чего то критического, из-за чего это может быть, не наблюдал. Можно ли определить из-за чего это всё происходит и как это можно устранить?
    • lostintired
      Автор lostintired
      Здравствуйте!
       
      Обращаюсь за помощью в полном удалении вредоносного ПО. Ранее на компьютере был обнаружен вирус, связанный с процессом CAAService.exe, который осуществлял майнинг. На тот момент мне удалось остановить вредоносную активность, и майнинг-процессы больше не наблюдаются.
      Однако, несмотря на это, файл CAAService.exe продолжает самовосстанавливаться по следующему пути: "C:\ProgramData\CAAService\CAAService.exe"
       
      Удалял вручную — файл вновь появляется сам, также сам себя добавляет в исключения защитника Windows. Также пытался выполнить рекомендации, приведённые в ТЕМЕ, но проблема не была полностью решена — папка и исполняемый файл восстанавливаются.
      Прошу помощи в полном удалении остаточных компонентов этой угрозы. Готов предоставить все необходимые логи и выполнить диагностику согласно требованиям форума.
      Заранее благодарю за помощь.
      CollectionLog-2025.07.18-23.17.zip
      Addition.txt FRST.txt
    • shepp0
      Автор shepp0
      Примерно неделю назад подцепил майнер xmrig. компьютер начал просто так громко шуметь, попытался удалить доктором вебом, он находит пути, но не всё там удаляет и оставляет файл updater.exe который и является замаскированным майнером xmrig, удалял вручную но в итоге после перезагрузки он просто восстанавливается по прежним путям.
      находит он по путям:
      C:\Users\Sasha\AppData\Local\Microsoft\Edge\System\update.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\Runtime_Broker.exe
      C:\Users\Sasha\AppData\Roaming\DriversUpdate\RuntimeBroker.exe



      CollectionLog-2025.07.27-13.21.zip
    • Viacheslau T
      Автор Viacheslau T
      Здравствуйте.

      На днях знакомый прислал книгу которую я искал, но как оказалось, он ее скачал с сайта-клона flibusta.su который наполнен вирусами и майнерами.
      Файл был открыт, но касперский вовремя его снес. Однако, видимо проблема прошла глубже.
      При старте пк получаю уведомления от касперского(см 1 изобр.), что "Остановлен переход на сайт", но самого перехода от моего лица не происходит.
      Перед созданием темы прогнал Dr.Web CureIt! и KVRM(2 и 3 изображ.). Первая утилита ничего не нашла, вторая выдала список ошибок обработки файлов, но возможно это связанно с тем, что эти приложения были активны.
      Пока-что не собирал логи, т.к. не до конца понимаю, если я остановлю касперкий, скрипт подтянет майнер с вирусного сайта или нет?
      Описание события:
      ```
      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: flibusta.su
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00

      Событие: Остановлен переход на сайт
      Пользователь: DESKTOP-579T290\tsvirkovv
      Тип пользователя: Инициатор
      Имя приложения: MSPCManager.exe
      Путь к приложению: C:\Program Files\WindowsApps\Microsoft.MicrosoftPCManager_3.17.10.0_x64__8wekyb3d8bbwe\PCManager
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: http://flibusta.su/favicon.ico
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: favicon.ico
      Путь к объекту: http://flibusta.su
      Причина: Базы
      Дата выпуска баз: Вчера, 09.08.2025 15:47:00
      ```
      Пожалуйста, сориентируйте порядок действий и проверок, которые нужно провести с минимальными рисками, т.к. не хотелось бы потерять систему.



    • Yann
      Автор Yann
      Добрый день!
      Проблема с вирусом/майнером, нагружал CPU до максимальных значений и система в целом была нестабильна.
      При открытии диспетчера задач несколько раз автоматически закрывал его или сбрасывал нагрузку на процессор, впрочем через другие утилиты мониторинга нагрузку можно было наблюдать постоянно.
      Попытался скачать Dr.Web что бы провести скан, поскольку защитник винды ничего не показал, но вирус не дал запустить экзешник установщика из за отсутствия прав администратора.
      После этого я не на шутку перепугался и полностью снес винду, отформатировал/удалил каждый раздел на дисках и установил новую.
      Первым же делом скачал Dr.Web, в этот раз установка прошла без проблем и я провел полный скан который ничего не нашёл, посчитав что проблемы окончены начал скачивать гугл хром, но при попытке установки его экзешника антивирус заругался на угрозу и поместил экзешник и ещё один файл,в карантин и брэндмауер указал что процесс updater.exe пытается выйти в сеть и разумеется я запретил ему это, при этом я снова получил ошибку об отсутствии необходимых прав.
      После этого система кажется стабильной, ошибки с правами и повышенной нагрузки я не наблюдаю, провел ещё проверку с помощью Kaspersky Virus Removal tool и все было чисто, но я совершенно не уверен в том что так будет всегда и хотел бы получить экспертное мнение.
      Прикладываю логи автологера и скриншот файлов попавших в карантин:

      CollectionLog-2025.08.22-04.48.zip
×
×
  • Создать...