Вирус COM Surrogate

@EnderGlob · Регистрация: 28.02.2016

Author24 — интернет-сервис помощи студентам

Здравствуйте, сегодня при установке одной программы словил троян COM Surrogate. Пытался удалить сам, не получилось. Откат системы также не помог. Приклепляю логи.

@shestale · 28.02.2016, 18:28

Ни какого трояна не видно.
Подготовьте лог AdwCleaner.

@EnderGlob · 28.02.2016, 23:05 **[ТС]**

Ну, в диспетчере задач при включении появляются два - три процесса COM Surrogate, которые через 5-10 секунд исчезают из листа. Используют файлы dllhost.exe, четыре таких находятся в папке WinSxS. Плюс не могу открыть Гугл Хром. Все это появилось после установки драйверов с помощью одной программы, хотя запускал ее уже не в первый раз.

@shestale · 29.02.2016, 06:53

Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите.
+
Подготовьте логи Farbar Recovery Scan Tool

@EnderGlob · 29.02.2016, 16:36 **[ТС]**

Прикрепляю

@shestale · 29.02.2016, 17:25

Сообщение от shestale

Удалите в AdwCleaner все найденные объекты

А лог где?

@EnderGlob · 29.02.2016, 19:28 **[ТС]**

Вот, плюс предыдущий лог AdwCleaner был не тот, шлю нынешний

@shestale · 29.02.2016, 19:32

Еще раз почистите и выложите лог С3.

@EnderGlob · 29.02.2016, 19:36 **[ТС]**

Сканирование ничего не нашло, пишет угроз не обнаружено. Файл, который я выложил был сделан как раз перед предыдущей чисткой.

@shestale · 29.02.2016, 19:38

Подготовьте логи Farbar Recovery Scan Tool
Должно быть 2 лога.

@EnderGlob · 29.02.2016, 19:42 **[ТС]**

Шлю заново сделанные

@shestale · 29.02.2016, 19:55

Выполните скрипт в Farbar Recovery Scan Tool

Windows Batch file

start
CreateRestorePoint:
AlternateDataStreams: C:\ProgramData\TEMP:D8999815
AlternateDataStreams: C:\Users\Все пользователи\TEMP:D8999815
CHR HKLM\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [eahebamiopdhefndnmappcihfajigkka] - hxxps://chrome.google.com/webstore/detail/eahebamiopdhefndnmappcihfajigkka
CHR HKLM-x32\...\Chrome\Extension: [fdjdjkkjoiomafnihnobkinnfjnnlhdg] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fopefgobkmblbipkdebgnnlclchlakom] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [jaeahnnfohikjnejpokeaaiinijhpfop] - hxxps://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [mdeldjolamfbcgnndjmjjiinnhbnbnla] - hxxp://clients2.google.com/service/update2/crx
EmptyTemp:
Reboot:
end

+
Почистите кэш и куки в браузерах.

@EnderGlob · 29.02.2016, 20:17 **[ТС]**

Все сделал, Хром заработал, кеш и куки почистил, прикрепляю логи.

@shestale · 01.03.2016, 07:09

Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24
Лог, который откроется в блокноте, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам.

@EnderGlob · 01.03.2016, 17:12 **[ТС]**

SecurityCheck by glax24 & Severnyj v.1.4.0.35 [23.01.16]
WebSite: SafeZone.cc
DateLog: 01.03.2016 16:51:20
Path starting: C:\Users\Пользователь\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe
Log directory: C:\SecurityCheck\
IsAdmin: True
User: Пользователь
VersionXML: 2.53is-25.02.2016
___________________________________________________________________________

Windows 8.1(6.3.9600) (x64) CoreSingleLanguage Lang: Russian(0419)
Дата установки ОС: 14.11.2013 14:42:45
Статус лицензии: Windows(R), CoreSingleLanguage edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [232.5 Гб] Занято: [131.7 Гб] Свободно: [100.8 Гб]
——————————————————————————————— [ Windows ] ———————————————————————————————
Internet Explorer 11.0.9600.18205
Контроль учётных записей пользователя включен
Загружать автоматически обновления и устанавливать по заданному расписанию
Дата установки обновлений: 2016-02-28 16:11:05
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
———————————————————————————— [ Antivirus_WMI ] ————————————————————————————
Windows Defender (выключен и обновлен)
Kaspersky Anti-Virus (включен и обновлен)
——————————————————————————— [ FirewallWindows ] ———————————————————————————
Брандмауэр Windows (MpsSvc) - Служба работает
——————————————————————————— [ AntiSpyware_WMI ] ———————————————————————————
Kaspersky Anti-Virus (включен и обновлен)
Windows Defender (выключен и обновлен)
—————————————————————— [ AntiVirusFirewallInstall ] ———————————————————————
Kaspersky Anti-Virus v.16.0.0.614
——————————————————————————— [ OtherUtilities ] ————————————————————————————
WinRAR 5.01 (64-bit) v.5.01.0 Внимание! Скачать обновления
Менеджер браузеров v.2.1.2.600
WinRAR 5.30 (32-разрядная) v.5.30.0 Внимание! Скачать обновления
————————————————————————————————— [ P2P ] —————————————————————————————————
µTorrent v.3.4.2.38397 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
———————————————————————————————— [ Java ] —————————————————————————————————
Java 8 Update 31 (64-bit) v.8.0.310 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u74-windows-x64.exe)^
Java 8 Update 45 (64-bit) v.8.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u74-windows-x64.exe)^
Java 8 Update 31 v.8.0.310 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u74-windows-i586.exe)^
Java 8 Update 45 v.8.0.450 Внимание! Скачать обновления
^Удалите старую версию и установите новую (jre-8u74-windows-i586.exe)^
——————————————————————————— [ AdobeProduction ] ———————————————————————————
Adobe AIR v.20.0.0.260
Adobe Flash Player 20 NPAPI v.20.0.0.306
Adobe Flash Player 20 PPAPI v.20.0.0.306
Adobe Reader XI (11.0.14) - Russian v.11.0.14
——————————————————————————————— [ Browser ] ———————————————————————————————
Yandex v.15.12.1.6758 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
Google Chrome v.48.0.2564.116
Mozilla Firefox 44.0.2 (x86 ru) v.44.0.2
Opera Stable 35.0.2066.37 v.35.0.2066.37 Внимание! Скачать обновления
^Проверьте обновления через меню О программе!^
——————————————————————————— [ RunningProcess ] ————————————————————————————
C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.44.0.2.5884
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 16.0.0\avp.exe v.16.0.0.625
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 16.0.0\avpui.exe v.16.0.0.625
———————————————————————————— [ UnwantedApps ] —————————————————————————————
Google Toolbar for Internet Explorer v.1.0.0 << Скрыта Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности.
————————————————————————————— [ End of Log ] ——————————————————————————————

Все обновил. В итоге, это был вирус или неполадка в системе?

@shestale · 01.03.2016, 17:24

Сообщение от EnderGlob

Все обновил.

А как вы обновили, ссылок же не видно. Или вы обновлялись через хтмл лог?

Сообщение от EnderGlob

В итоге, это был вирус или неполадка в системе?

Кроме адвари мы у вас ни чего не удаляли.
+
Выполните рекомендации после удаления вредоносного ПО

@EnderGlob · 02.03.2016, 16:05 **[ТС]**

Да, ссылки открывал через html версию.
Но. Утром, когда играл в игры в ВК, видеокарта нагрелась до 72 градусов, хотя прежде доходило максимум до 55 - 60. Также в самой игре часть меню начала "мерцать", то есть пропадали ее куски на пару секунд. Может ли это быть связано с тем, что вирус я подцепил от программы, которая обновляла драйвера (DriverPack)? Просто после того происшествия в диспетчере задач появилось множество дополнительных процессов, до этого (как я понял) они были скрыты.

@shestale · 02.03.2016, 16:55

Сообщение от EnderGlob

Может ли это быть связано с тем, что вирус я подцепил от программы, которая обновляла драйвера (DriverPack)?

Вероятнее всего это кривые драйвера, которые вы установили при обновлении через DriverPack.
Рекомендую драйвера устанавливать только с офф.сайтов тех устройств, драйвера которых вы обновляете.

@EnderGlob · 03.03.2016, 17:17 **[ТС]**

Удалил несколько лишних программ, сейчас зашел в SpeedFan. Показывает температуру ЦПУ в районе 65 - 80 градусов =/ Мне на отдел форума по видеокартам?

@shestale · 03.03.2016, 17:19

Да, или начните с этого:

Сообщение от shestale

Вероятнее всего это кривые драйвера, которые вы установили при обновлении через DriverPack.

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	28.02.2016, 18:28	2
	Ни какого трояна не видно. Подготовьте лог AdwCleaner. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	29.02.2016, 06:53	4
	Удалите в AdwCleaner все найденные объекты, кроме папок от Mail.Ru, если пользуетесь его сервисами, а если не пользуетесь, тогда тоже удалите. + Подготовьте логи Farbar Recovery Scan Tool 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	29.02.2016, 17:25	6
	Сообщение от shestale Удалите в AdwCleaner все найденные объекты А лог где? 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	29.02.2016, 19:32	8
	Еще раз почистите и выложите лог С3. 0

@EnderGlob 0 / 0 / 0 Регистрация: 28.02.2016 Сообщений: 11
	29.02.2016, 19:36 [ТС]	9
	Сканирование ничего не нашло, пишет угроз не обнаружено. Файл, который я выложил был сделан как раз перед предыдущей чисткой. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	29.02.2016, 19:38	10
	Подготовьте логи Farbar Recovery Scan Tool Должно быть 2 лога. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	01.03.2016, 07:09	14
	Для закрытия уязвимостей вашей системы, сделайте лог SecurityCheck by glax24 Лог, который откроется в блокноте, скопируйте и вставьте в пост, сам файл выкладывать не обязательно, затем скачайте и установите все обновления по ссылкам. 0

@EnderGlob 0 / 0 / 0 Регистрация: 28.02.2016 Сообщений: 11
	01.03.2016, 17:12 [ТС]	15
	SecurityCheck by glax24 & Severnyj v.1.4.0.35 [23.01.16] WebSite: SafeZone.cc DateLog: 01.03.2016 16:51:20 Path starting: C:\Users\Пользователь\AppData\Local\Temp\SecurityCheck\SecurityCheck.exe Log directory: C:\SecurityCheck\ IsAdmin: True User: Пользователь VersionXML: 2.53is-25.02.2016 ___________________________________________________________________________ Windows 8.1(6.3.9600) (x64) CoreSingleLanguage Lang: Russian(0419) Дата установки ОС: 14.11.2013 14:42:45 Статус лицензии: Windows(R), CoreSingleLanguage edition Постоянная активация прошла успешно. Режим загрузки: Normal Браузер по умолчанию: C:\Program Files (x86)\Google\Chrome\Application\chrome.exe Системный диск: C: ФС: [NTFS] Емкость: [232.5 Гб] Занято: [131.7 Гб] Свободно: [100.8 Гб] ——————————————————————————————— [ Windows ] ——————————————————————————————— Internet Explorer 11.0.9600.18205 Контроль учётных записей пользователя включен Загружать автоматически обновления и устанавливать по заданному расписанию Дата установки обновлений: 2016-02-28 16:11:05 Центр обновления Windows (wuauserv) - Служба работает Центр обеспечения безопасности (wscsvc) - Служба работает Удаленный реестр (RemoteRegistry) - Служба остановлена Обнаружение SSDP (SSDPSRV) - Служба работает Службы удаленных рабочих столов (TermService) - Служба остановлена Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена ———————————————————————————— [ Antivirus_WMI ] ———————————————————————————— Windows Defender (выключен и обновлен) Kaspersky Anti-Virus (включен и обновлен) ——————————————————————————— [ FirewallWindows ] ——————————————————————————— Брандмауэр Windows (MpsSvc) - Служба работает ——————————————————————————— [ AntiSpyware_WMI ] ——————————————————————————— Kaspersky Anti-Virus (включен и обновлен) Windows Defender (выключен и обновлен) —————————————————————— [ AntiVirusFirewallInstall ] ——————————————————————— Kaspersky Anti-Virus v.16.0.0.614 ——————————————————————————— [ OtherUtilities ] ———————————————————————————— WinRAR 5.01 (64-bit) v.5.01.0 Внимание! Скачать обновления Менеджер браузеров v.2.1.2.600 WinRAR 5.30 (32-разрядная) v.5.30.0 Внимание! Скачать обновления ————————————————————————————————— [ P2P ] ————————————————————————————————— µTorrent v.3.4.2.38397 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента. ———————————————————————————————— [ Java ] ————————————————————————————————— Java 8 Update 31 (64-bit) v.8.0.310 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u74-windows-x64.exe)^ Java 8 Update 45 (64-bit) v.8.0.450 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u74-windows-x64.exe)^ Java 8 Update 31 v.8.0.310 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u74-windows-i586.exe)^ Java 8 Update 45 v.8.0.450 Внимание! Скачать обновления ^Удалите старую версию и установите новую (jre-8u74-windows-i586.exe)^ ——————————————————————————— [ AdobeProduction ] ——————————————————————————— Adobe AIR v.20.0.0.260 Adobe Flash Player 20 NPAPI v.20.0.0.306 Adobe Flash Player 20 PPAPI v.20.0.0.306 Adobe Reader XI (11.0.14) - Russian v.11.0.14 ——————————————————————————————— [ Browser ] ——————————————————————————————— Yandex v.15.12.1.6758 Внимание! Скачать обновления ^Проверьте обновления через меню Дополнительно - О браузере Yandex!^ Google Chrome v.48.0.2564.116 Mozilla Firefox 44.0.2 (x86 ru) v.44.0.2 Opera Stable 35.0.2066.37 v.35.0.2066.37 Внимание! Скачать обновления ^Проверьте обновления через меню О программе!^ ——————————————————————————— [ RunningProcess ] ———————————————————————————— C:\Program Files (x86)\Mozilla Firefox\firefox.exe v.44.0.2.5884 C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 16.0.0\avp.exe v.16.0.0.625 C:\Program Files (x86)\Kaspersky Lab\Kaspersky Anti-Virus 16.0.0\avpui.exe v.16.0.0.625 ———————————————————————————— [ UnwantedApps ] ————————————————————————————— Google Toolbar for Internet Explorer v.1.0.0 << Скрыта Внимание! Панель для браузера. Может замедлять работу браузера и иметь проблемы с нарушением конфиденциальности. ————————————————————————————— [ End of Log ] —————————————————————————————— Все обновил. В итоге, это был вирус или неполадка в системе? 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	01.03.2016, 17:24	16
	Сообщение от EnderGlob Все обновил. А как вы обновили, ссылок же не видно. Или вы обновлялись через хтмл лог? Сообщение от EnderGlob В итоге, это был вирус или неполадка в системе? Кроме адвари мы у вас ни чего не удаляли. + Выполните рекомендации после удаления вредоносного ПО 0

@EnderGlob 0 / 0 / 0 Регистрация: 28.02.2016 Сообщений: 11
	02.03.2016, 16:05 [ТС]	17
	Да, ссылки открывал через html версию. Но. Утром, когда играл в игры в ВК, видеокарта нагрелась до 72 градусов, хотя прежде доходило максимум до 55 - 60. Также в самой игре часть меню начала "мерцать", то есть пропадали ее куски на пару секунд. Может ли это быть связано с тем, что вирус я подцепил от программы, которая обновляла драйвера (DriverPack)? Просто после того происшествия в диспетчере задач появилось множество дополнительных процессов, до этого (как я понял) они были скрыты. 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	02.03.2016, 16:55	18
	Сообщение от EnderGlob Может ли это быть связано с тем, что вирус я подцепил от программы, которая обновляла драйвера (DriverPack)? Вероятнее всего это кривые драйвера, которые вы установили при обновлении через DriverPack. Рекомендую драйвера устанавливать только с офф.сайтов тех устройств, драйвера которых вы обновляете. 0

@EnderGlob 0 / 0 / 0 Регистрация: 28.02.2016 Сообщений: 11
	03.03.2016, 17:17 [ТС]	19
	Удалил несколько лишних программ, сейчас зашел в SpeedFan. Показывает температуру ЦПУ в районе 65 - 80 градусов =/ Мне на отдел форума по видеокартам? 0

@shestale 8617 / 4186 / 333 Регистрация: 22.02.2011 Сообщений: 13,721
	03.03.2016, 17:19	20
	Да, или начните с этого: Сообщение от shestale Вероятнее всего это кривые драйвера, которые вы установили при обновлении через DriverPack. 0