Перейти к содержанию

Нужна консультация


JustUser

Рекомендуемые сообщения

Доброго времени суток!

 

Не отпускают параноидальные настроения, после того как из-за собственной дурости и невнимательности перешёл по сомнительной ссылке на не менее сомнительный сайт, присланной, как потом оказалось, со взломанного аккаунта знакомого. Стоящий антивирус на это всё никак не отреагировал.

 

Но в тот же день, узнав про взлом, я начал прочёсывать диспетчер задач на поиск сомнительных процессов. Глаз ухватился за впервые там появившийся dllhost.exe от COM Surrogat'а. Сканирование, возврат к контрольной точке и сброс на заводские настройки с форматированием ни к чему не привели - этот COM Surrogat никуда не делся. Более того, тот стал исчезать из фоновых процессов через несколько секунд после вызова диспетчера.

 

Отдавал компьютер в сервис, дабы более знающие люди помогли. По итогу, как я понял, прогнав какими-то сканерами там ничего не нашли, но восьмёрку на всякий случай переустановили. Заверили, что даже если вирус был, то теперь точно нет.

 

Только в это слабо верится, так как злосчастный COM Surrogat, да и не в одном экземпляре так никуда из диспетчера и не делся. Всё так же висит пару секунд, а потом исчезает. Смотрел в безопасном режиме - там картина примерно та же, разве что висит в фоновых процессах постоянно и не прячется. Был момент, когда одновременное количество этих процессов достиг штуки четырёх за раз (сделать скриншот тогда не додумался, к сожалению). Чем вызвано - не знаю, потому повторить не могу.

 

На вид, вроде бы, ничего и не происходит. Система, не тормозит, антивирус по прежнему молчит, рекламы нет никакой, браузеры и скачка в них работают как надо.

 

Но паранойю подпитывает, что центр обновления Windows отказывается искать эти самые обновления - активность какая-то, вроде и идёт, но всё безрезультатно на протяжении долгого времени (нет ни ошибок, ни обновлений, просто поиск без намёка на конец). К тому же, нашёл на жёстком диске скрытый раздел на умопомрачительные 40 Мб. Для чего он, и как давно образовался мне лично решительно непонятно.

 

Собственноручно разобраться в потоке информации, который гугл выдаёт на соответствующий вопрос мне не удаётся. Вроде, dllhost.exe процесс системный, но его не должно быть видно совсем среди задач. У одних людей всё чинится заменой кодеков, другие же под присмотром вытаскивают троянов из системы.

 

В общем, категорически нужна помощь в том, чтобы разобраться, какого лешего происходит с компьютером и в ту ли сторону копаю вообще.

 

Заранее благодарен.

cureit log.txt

CollectionLog-2016.11.03-14.30.zip

post-41949-0-21433600-1478186294_thumb.png

post-41949-0-05693500-1478186301_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте!

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.

Компьютер перезагрузится.

 

Скрипт закроет уязвимости в IE.

Больше в логах ничего плохого, вполне ожидаемо.

 

злосчастный COM Surrogat

Вас пугает слово "Суррогат"? :)

Вполне нормальный процесс.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Благодарю, успокоили.

 

А на счёт суррогата - нет, имя процесса меня волнует в последнюю очередь. Просто обстоятельства его обнаружения в диспетчере задач, и все интересности, найденные о нём в сети, заставляют сейчас вешать на него все возможные и невозможные беды. Просто странно, что вот до недавнего времени, я в глаза не видел его.

 

П.С.

Скрипт выполнил. Новых логов никаких не вижу, так что к этому посту прикреплять, боюсь, нечего ¯\_(ツ)_/¯

Ссылка на комментарий
Поделиться на другие сайты

Можете проверить уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на комментарий
Поделиться на другие сайты

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17416 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

 

 

Прочтите и примите к сведению Рекомендации после удаления вредоносного ПО

Ссылка на комментарий
Поделиться на другие сайты

Тогда для начала обновлениями и займусь.

Возможно этот центр обновлений как-нибудь оклемается, если оставить его наедине с собой на достаточно долгое время.

 

Спасибо большое. И извиняюсь за, видимо, зря потраченное время.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Muhamor
      От Muhamor
      собственно зашифровало нужные файлы. Прошу помощи. 
      Addition.txt FRST.txt бухгал. письма на передвижку.docx.rar
    • tr01
      От tr01
      Добрый день
      Подскажите, пожалуйста, сможете ли вы помочь в ситуации, если сервер в зломали и упаковали файлы в архив rar?После этого был Backdoor, но вроде бы уже удален антивирусом, восстановить файлы с диска не получается (затерты архивами). 
      Addition.txt FRST.txt отчет.txt пароль к архиву - копия (72) — копия — копия.txt
    • Vopj
      От Vopj
      В определенный момент начала возникать большая нагрузка на CPU, возник сильный перегрев. RogueKiller обнаружил PuzzleMedia, CureIt не запускается ввобще, к сожалению по причине отсутствующих навыков, самостоятельно разобраться не получилось, прошу помощи.
      CollectionLog-2024.11.13-21.04.zip
    • KakoeImyaSdelat
      От KakoeImyaSdelat
      Добрый день, программа "RogueKiller" выявляет майнер "PuzzleMedia" и у меня самостоятельно удалить не получается. Ощущение, что вирусы блокируют некоторые сайты, помогите, пожалуйста
       
    • KL FC Bot
      От KL FC Bot
      Желание оставаться анонимным в Интернете существует столько же лет, сколько и сам Интернет. Раньше пользователи считали, что, скрываясь за никнеймом, можно писать гадости про соседа на местных форумах — и никто не узнает об этом. Сейчас таких троллей можно вычислить на раз-два. С тех пор технологии совершили квантовый скачок: появились распределенные сети, анонимные браузеры и прочие инструменты для личной конфиденциальности. Один из них, Tor Browser*, особенно активно продвигал десять лет назад бывший агент АНБ Эдвард Сноуден.
      А может ли сегодня Tor обеспечить полную анонимность — или можно уже не заморачиваться и переходить на классический браузер вроде Google Chrome?
      Как деанонимизируют пользователей Tor
      Если вы впервые слышите про Tor и не представляете, как он работает, ознакомьтесь с нашим винтажным материалом. Там мы ответили на самые популярные вопросы: как в браузере обеспечивается анонимность, кому она нужна и чем обычно занимаются в теневом Интернете. Если коротко, то анонимизация трафика пользователей Tor обеспечивается за счет распределенной сети серверов, которые называют узлами. Весь сетевой трафик многократно шифруется, проходя через несколько сетевых узлов на пути между двумя коммуницирующими компьютерами. Ни один сетевой узел не знает одновременно и адрес отправки пакета данных, и адрес получателя, к тому же узлам недоступно содержимое пакета. Теперь, когда короткий экскурс закончен, мы сосредоточимся на реальной угрозе безопасности адептов анонимного Интернета.
      В сентябре немецкие спецслужбы установили личность одного из пользователей Tor. Как им это удалось? Главным ключом в деанонимизации стали данные, полученные в результате так называемого временнóго анализа.
       
      View the full article
×
×
  • Создать...