Перейти к содержанию
Правила раздела

Нужна консультация

JustUser

Автор JustUser,
в Помощь в удалении вирусов

 Share Подписчики 1

Рекомендуемые сообщения

JustUser

JustUser 0

Опубликовано
Опубликовано

Доброго времени суток!

 

Не отпускают параноидальные настроения, после того как из-за собственной дурости и невнимательности перешёл по сомнительной ссылке на не менее сомнительный сайт, присланной, как потом оказалось, со взломанного аккаунта знакомого. Стоящий антивирус на это всё никак не отреагировал.

 

Но в тот же день, узнав про взлом, я начал прочёсывать диспетчер задач на поиск сомнительных процессов. Глаз ухватился за впервые там появившийся dllhost.exe от COM Surrogat'а. Сканирование, возврат к контрольной точке и сброс на заводские настройки с форматированием ни к чему не привели - этот COM Surrogat никуда не делся. Более того, тот стал исчезать из фоновых процессов через несколько секунд после вызова диспетчера.

 

Отдавал компьютер в сервис, дабы более знающие люди помогли. По итогу, как я понял, прогнав какими-то сканерами там ничего не нашли, но восьмёрку на всякий случай переустановили. Заверили, что даже если вирус был, то теперь точно нет.

 

Только в это слабо верится, так как злосчастный COM Surrogat, да и не в одном экземпляре так никуда из диспетчера и не делся. Всё так же висит пару секунд, а потом исчезает. Смотрел в безопасном режиме - там картина примерно та же, разве что висит в фоновых процессах постоянно и не прячется. Был момент, когда одновременное количество этих процессов достиг штуки четырёх за раз (сделать скриншот тогда не додумался, к сожалению). Чем вызвано - не знаю, потому повторить не могу.

 

На вид, вроде бы, ничего и не происходит. Система, не тормозит, антивирус по прежнему молчит, рекламы нет никакой, браузеры и скачка в них работают как надо.

 

Но паранойю подпитывает, что центр обновления Windows отказывается искать эти самые обновления - активность какая-то, вроде и идёт, но всё безрезультатно на протяжении долгого времени (нет ни ошибок, ни обновлений, просто поиск без намёка на конец). К тому же, нашёл на жёстком диске скрытый раздел на умопомрачительные 40 Мб. Для чего он, и как давно образовался мне лично решительно непонятно.

 

Собственноручно разобраться в потоке информации, который гугл выдаёт на соответствующий вопрос мне не удаётся. Вроде, dllhost.exe процесс системный, но его не должно быть видно совсем среди задач. У одних людей всё чинится заменой кодеков, другие же под присмотром вытаскивают троянов из системы.

 

В общем, категорически нужна помощь в том, чтобы разобраться, какого лешего происходит с компьютером и в ту ли сторону копаю вообще.

 

Заранее благодарен.

cureit log.txt

CollectionLog-2016.11.03-14.30.zip

post-41949-0-21433600-1478186294_thumb.png

post-41949-0-05693500-1478186301_thumb.png

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Здравствуйте!

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
RebootWindows(false);
end.
Компьютер перезагрузится.

 

Скрипт закроет уязвимости в IE.

Больше в логах ничего плохого, вполне ожидаемо.

 

злосчастный COM Surrogat

Вас пугает слово "Суррогат"? :)

Вполне нормальный процесс.

  • Согласен 1
Ссылка на сообщение
Поделиться на другие сайты
JustUser

JustUser 0

Опубликовано
  • Автор
Опубликовано

Благодарю, успокоили.

 

А на счёт суррогата - нет, имя процесса меня волнует в последнюю очередь. Просто обстоятельства его обнаружения в диспетчере задач, и все интересности, найденные о нём в сети, заставляют сейчас вешать на него все возможные и невозможные беды. Просто странно, что вот до недавнего времени, я в глаза не видел его.

 

П.С.

Скрипт выполнил. Новых логов никаких не вижу, так что к этому посту прикреплять, боюсь, нечего ¯\_(ツ)_/¯

Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

Можете проверить уязвимые места:

  • Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.
Ссылка на сообщение
Поделиться на другие сайты
Sandor

Sandor 1 253

Опубликовано
Опубликовано

------------------------------- [ Windows ] -------------------------------

Internet Explorer 11.0.9600.17416 Внимание! Скачать обновления

^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^

 

 

Прочтите и примите к сведению Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты
JustUser

JustUser 0

Опубликовано
  • Автор
Опубликовано

Тогда для начала обновлениями и займусь.

Возможно этот центр обновлений как-нибудь оклемается, если оставить его наедине с собой на достаточно долгое время.

 

Спасибо большое. И извиняюсь за, видимо, зря потраченное время.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Share
Подписчики 1
Перейти к списку тем

  • Похожий контент

    • Ruby_Heart
      подозреваю на своем компьютере вирус, который заменяет системные файлы, а также запускает без моего ведома виртуальную машину. Доктор веб и kaspersky rescue tool ничего не находят. Прикладываю отчеты FRST.
      От Ruby_Heart
      Здравствуйте, подозреваю на своем компьютере вирус, который делает ботнет из компьютера, он заменяет системные файлы,   плодит бесконечные desktop.ini, мимикрирует под службы( intel, realtek ,microsoft), а также запускает без моего ведома виртуальную машину. Виртуалку удалось отключить только путем отключения виртуализации в биос. Доктор веб и kaspersky rescue tool ничего не находят. Прикладываю отчеты FRST. Заметил такую вещь, что когда пытался восстановиться с точки восстановления - это стало невозможно, он ссылался на битый С: раздел, после рекомендованного chkdsk точка пропала.
      Addition_02-07-2022 15.03.02.txt drivers.txt FRST_02-07-2022 15.03.02.txt
    • Max8160
      COM Surrogate (dllhost.exe)
      От Max8160
      Доброе время суток. Что это за странный процесс dllhost обозначенный странным и нехорошим названием Surrogate? Более того в реестре он создал подозрительные ветки с ключом {AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}. Этот процесс на всех версиях Windows и является ли это вирусом. Знаю одно: без него я не могу просматривать фото и картинки.
       
    • Сергей Грязев
      Множество дубликатов программ и служб Windows
      От Сергей Грязев
      После установки вируса компьютер обрел рекламные и загружающие процессор приложения, в том числе вирус открывал столь много установщиков, что компьютер зависал. После полной диагностики и очистки утилитами Cureit и Malwarebytes у ПК остался симптом, который проявляется в создании множества дубликатов процессов svchost, runtimebrocker, nvidia, dllhost и пр. Прикладываю скриншот и логи.CollectionLog-2019.02.17-09.27.zip 
    • Александр Заводов
      Svchost грузит цп
      От Александр Заводов
      Такая проблема, сначала в процессах появился svchost, который грузил цп, и открывался от имени администратора, проблему осложняло то, что вирус не давал открыть avz, cmd и даже если в браузере всплывало слово avz браузер закрывался, сам вирус запускается минут через 5 после запуска ноута, сами процессы которыми владеет вирус находятся в папке syswow64, я прочитал что это системная папка, но желание удалить вирус было сильнее,  удаление файла svchost не помогло, вирус открылся в другом файле adminbits.exe, я и его удалил, после он поселился в control.exe, и я понял что он так и будет прыгать с процесса на процесс, сейчас успел до его запуска сделать логи, надеюсь поможете, а то сам с ним не могу справится.
      CollectionLog-2018.01.28-19.00.zip
    • Djinn
      Вирус: COM Surrogate
      От Djinn
      У меня сидит в диспетчере задач несколько процессов COM Surogate. Ни один антивирус его не находит, даже Касперский. Какие есть решения?
       
       
       Вот на этом скриншоте один процесс, а бывает и так, что их 3-6.

×
×
  • Создать...