Перейти к содержанию
Правила раздела

ошибка или вирус/майнер в COM surrogate

biden

Автор biden
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

biden

biden

Опубликовано
Опубликовано

Столкнулся с достаточно критической проблемой. При запуске компьютера запускается процесс COM surrogate с именем dllhost.exe,который нагружает память на 99%, можно без всяких препятствий выключить эту задачу через диспетчер, при этом он запускается снова, снова снимаешь задачу и он на некоторое время затихает, потом запускается снова и так в течение работы компьютера. У меня стоит платный каспер, ничего не нашел, пробовал с доктором вебом, тоже ноль результата и с curelt пробовал и с автономным дефом. Запускал в безопасном режиме, все равно запускается, повреждения через консоль винда не нашла. При этом сам процесс находится в system32 и с сертификатом майка, ничего не блокирует, на все антивирусы могу зайти, диспетчер задач постоянно держу открытым чтобы мониторить. В последнее время ничего не скачивал, что могло привести к таким последствиям. Это что то вредоносное или что то в винде полетело, нужно ли идти на тему по удалению майнера или переустанавливать винду?

 

Сообщение от модератора Mark D. Pearlstone

Тема перемещена из раздела "Компьютерная помощь"

thyrex

thyrex

Опубликовано
Опубликовано

Помощь оказываетсяв свободное от основных занятий время. Наберитесь терпения и ждите, Вам обязательно ответят.

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Sandor

Sandor

Опубликовано
Опубликовано

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
CloseProcesses:
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-2934567411-1001974574-3262235843-1004\...\MountPoints2: {1d4798a8-af4a-11ec-aee5-a0a3f0901bf1} - "D:\wpi\MInst.exe" 
HKU\S-1-5-21-2934567411-1001974574-3262235843-1004\...\MountPoints2: {79efc707-b36a-11ec-aefc-7085c299add0} - "E:\SISetup.exe" 
HKU\S-1-5-21-2934567411-1001974574-3262235843-1004\...\MountPoints2: {d4b4c2d2-af93-11ec-aeee-7085c299add0} - "D:\SETUP.EXE" 
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
C:\Users\dabez\AppData\Local\Google\Chrome\User Data\Profile 1\Extensions\ilkchkhhbglebahbnpeemimijjfopden
C:\Users\dabez\AppData\Local\Google\Chrome\User Data\Profile 10\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
C:\Users\dabez\AppData\Local\Google\Chrome\User Data\Profile 154\Extensions\gndelhfhcfbdhndfpcinebijfcjpmpec
CHR HKU\S-1-5-21-2934567411-1001974574-3262235843-1004\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [gndelhfhcfbdhndfpcinebijfcjpmpec]
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp] - <отсутствует Path/update_url>
S3 cpuz154; \??\C:\Windows\temp\cpuz154\cpuz154_x64.sys [X] <==== ВНИМАНИЕ
S3 HWiNFO_180; \??\C:\Users\dabez\AppData\Local\Temp\HWiNFO64A_180.SYS [X] <==== ВНИМАНИЕ
S3 HWiNFO_204; \??\C:\Users\dabez\AppData\Local\Temp\HWiNFO_x64_204.sys [X] <==== ВНИМАНИЕ
ShellExecuteHooks-x32: Нет имени - {D2BF470E-ED1C-487F-AAAA-2BD8835EB6CE} -  -> Нет файла
ContextMenuHandlers1: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
ContextMenuHandlers2: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
ContextMenuHandlers4: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
ContextMenuHandlers6: [Kaspersky Free 21.15] -> {AE81D5A2-A34B-4D93-8DF8-540DBCE48043} =>  -> Нет файла
FirewallRules: [{844D484E-9BC1-4C41-88A8-0A71CEE35CB8}] => (Allow) LPort=1542
FirewallRules: [{35114258-D12A-41E5-9CA6-E97A161438A7}] => (Allow) LPort=1542
FirewallRules: [{38772F3E-4F15-46CA-AB3A-B187E75C5224}] => (Allow) LPort=53
FirewallRules: [{352B5C71-5F6B-48F0-9E66-7D38260ED7B4}] => (Allow) LPort=53
ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Sandor

Sandor

Опубликовано
Опубликовано

Хорошо. Понаблюдайте некоторое время, а тема пока не закрывается.

 

Сделайте завершающие шаги:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Sandor

Sandor

Опубликовано
Опубликовано

Скриптом мы почистили только мусор. Вероятно была попытка обновления, т.к. указанные в первом сообщении процессы являются системными.

 

Исправьте по возможности:

 

Notepad++ (64-bit x64) v.8.7.5 Внимание! Скачать обновления
Microsoft Office профессиональный плюс 2016 - ru-ru v.16.0.14332.20255
LibreOffice 24.2.7.2 v.24.2.7.2 Внимание! Скачать обновления
Приложение NVIDIA 11.0.2.312 v.11.0.2.312 Внимание! Скачать обновления
Microsoft Visual Studio Code (User) v.1.98.2 Внимание! Скачать обновления
AnyDesk v.ad 9.5.0 Внимание! Скачать обновления
FileZilla 3.67.0 v.3.67.0 Внимание! Скачать обновления
WinRAR 6.02 v.6.02 Внимание! Скачать обновления
Telegram Desktop 3.3.0 v.3.3.0 Внимание! Скачать обновления
WhatsApp 2.2147.16 v.2.2147.16 Классическая версия приложения больше не поддерживается разработчиком.. Установите программу из Microsoft Store.
Discord v.1.0.9004 Внимание! Скачать обновления
Zoom Workplace v.6.3.11 (60501) Внимание! Скачать обновления
Proton VPN v.3.2.0 Внимание! Скачать обновления
RustDesk v.1.3.9.29063609 Внимание! Программа удаленного доступа!
Java 8 Update 431 (64-bit) v.8.0.4310.10 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u441-windows-x64.exe - Windows Offline (64-bit))^
Adobe Acrobat Reader DC MUI v.21.007.20099 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - Проверить обновления!^
Mozilla Firefox (x64 ru) v.115.0.3 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Yandex v.25.2.3.809 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

Читайте Рекомендации после удаления вредоносного ПО

biden

biden

Опубликовано
  • Автор
Опубликовано

Снова, здравствуйте! Крашнутый процесс не запускался 2 дня, потом снова началось, также как и было до этого. Может можно понять что именно крякнулось или что может инициализировать запуск данной программы?

CollectionLog-2025.04.18-18.11.zip

Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!

 

Я по-прежнему не вижу ничего вредоносного в логах.

Обновления системы установлены все?

 

Посоветуйтесь ещё в соседнем разделе. Ссылку на эту тему там укажите.

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • biden
      ошибка в COM surrogate
      Автор biden
      Столкнулся с достаточно критической проблемой. При запуске компьютера запускается процесс COM surrogate с именем dllhost.exe,который понарастающе нагружает память на 99%, если отключить этот процесс, он запускается снова, потом не включается до определенного момента, потом снова запускается. Я так понимаю, что в процессе работы в компьютере при открытии определенных вещей (каких не выяснил) инициализируется запуск этого процесса, но что то идет не так и он просто нагружает мне память и компьютер умирает. Если компьютер просто включен или на нем работает одна определённая программа, в которой не запускается этот процесс, то и сам процесс соответственно тоже не запускается. Сначала думал, что это майнер поэтому обратился на другую тему, просматривал в журнале событий, вроде чего то критического, из-за чего это может быть, не наблюдал. Можно ли определить из-за чего это всё происходит и как это можно устранить?
    • Taker1993
      [РЕШЕНО] "ошибка 0xc0000017", скорее всего вирус-майнер
      Автор Taker1993
      Добрый день. Борюсь с этим майнером уже приличное время, пробовал разные антивирусы и думал что он пропал, так как используя несколько разных антивирусов от основной части майнера я вроде избавился, но заметил ещё тогда что много ошибок в системе 0xc0000017 при исполнении команд dism в командной строке (которую я вчера исправил), при обновлении всех компонентов windows и т.п. (пробовал откатывать удаляя по гайдам папку с апдейтами используя утилиты для активации обнов - но безрезультатно), также есть ошибка с безопасностью, в начале была проблема с целостностью ядра и я удалил два мешающих файла исправив проблему, но ошибка с этим так до конца и  не решилась и он пишет про отсутствие TPM - а конкретно NET HELPMSG 2182 Problem with BITS; также есть проблема с невозможностью запуска диспетчера устройств и других подобных окон и некоторых команд в комбинации Win+R. Почему я думал, что избавился от майнера полностью: грузить систему перестало на постоянке и сильных нагрузок не было, а с остальным думал уже ничего не сделаешь и нужно переустанавливать Windows, оставил на потом, так как есть немало сторонних лицензионных программ,, которые шли вместе с ноутбуком и я боялся к ним потерять доступ, ну и так как не было точек восстановления и если даже они были я не могу к ним получить доступ, а оказывается всё-таки нет майнер на месте.
      Несколько месяцев спустя заметил, а конкретно вчера: что изменилась возможность администрирования и я не могу получить доступ к системным файлам, не мог удалить, изменять, переименовывать файлы которые вызывали нарушение целостности ядра (xusb21.sys и STTub30.sys), но по итогу через стороннюю утилиту я их удалил (один из них STTub30.sys я потом воcстановил найдя на github). Вернул также сегодня в ночь через реестр доступ к DISM и сделал успешный запуск и восстановление по команде Dism /Online /Cleanup-Image /RestoreHealth, а SFC и прежде работала, но это ничего не поменяло; вообще все последние именно операции делал по одному гайду и там после восстановления DISM советовали воспользоваться Farbar Recovery Scan Tool 64-бит, но наткнулся поздновато и это не помогло, так как нужен составленный fixlist.txt, да и Fabar раз 6 выдал ошибку при сканировании bcdedit.exe (в процессе написания текста сделал повторное сканирование c Fabar и ошибок было уже штуки 3-4 bcdedit.exe, а результаты этого сканирования прикрепил в качестве файлов Addition.txt и FRST.txt вдруг пригодятся).
      Сегодня заметил, что даже с включённым лицензионным Касперычем майнер снова поменял и ограничил что-то там в брандмауэре Windows - было уведомление (понимаю, что он уже давно в исключениях, но всё же). Ни Kaspersky Virus Removal Tool, ни Dr.Web Cruelt! ни нашли ничего, вероятно майнер добавил их уже в исключения, так как при удалении основных компонентов майнера я уже пользовался ими раньше, но до этого я пользовался AV block Remover и он удалял майнер, но спустя время он появляется снова. 
      Был бы очень рад если бы получилось решить данную проблему, Windows лицензионный шедший вместе с ноутом переустанавливать всё же не хочется и я не уверен что и там не будет ошибок в процессе.
      Заранее всем откликвнушимся большое спасибо и с пасхой!
      CollectionLog-2025.04.20-14.19.zip Addition.txt FRST.txt
    • Денису
      Вирус майнер
      Автор Денису
      Хелп плз, пару дней назад комп стал тормозить, и только спустя время, полазив по интернету и указав отличиьельные признаки узнал что подхватил вирус майнер, диспетчер задач не то что чз минуту закрывался а мгновенно, и ничего не давал скачать. Отключил интернет и решил перезапустить, и все, фените ля комедия, вылазит голубой экран с грустным смайликом, что аля в системе ошибка, проверяет до 100%, запускается перезагрузка и по новой, и остановить это получается только кнопкой на бп. Че делать то, как в систему теперь попасть
    • Gagengug
      Вирус-майнер
      Автор Gagengug
      Здравствуйте!
      Помогите пожалуйста разобраться с проблемой.
      Накачал себе вирусов-майнеров.
      Все началось с того, когда защитник начал сходить с ума от оповещений безопасности. Я быстренько скачал dr.web curiet и начал все чистить. Но после очистки заметил у себя пользователя John, которого благополучно удалил через параметры винды и думал, что на этом все. Но понял, что проблемы никуда не ушли. Ноутбук стал тупить.
      Начал исследовать всевозможные форумы и проверять ПК различными программами и понял, что результата никакого.
      Защитник винды постоянно ругается на какие-то программы, KVRT и Dr.web, то видят, то не видят ничего, а AV block сначала вообще не запускался без безопасного режима (теперь после проверки им выскакивает какая-то бяка "tasknow").
      Я уже запутался и не знаю, что делать. Не хочется чистить всю систему.
      Помогите пожалуйста решить проблему!
      Прикладываю отчеты:
      Сначала тестил логером, потом AV block, потом Farbar Recovery Scan Tool.
       
      FRST.txtAddition.txtAV_block_remove_2024.01.20-19.44.logCollectionLog-2024.01.20-19.43.zip
    • Александр Никель
      Вирус майнер
      Автор Александр Никель
      Играя в игры, заметил что начал пропадать фпс. Оказалось что у меня Майнер. Подскажите как избавиться от него 
×
×
  • Создать...