Всем привет, подхватил такую заразу. Где и как подцепил, не знаю. Грузит процессор на 30-50%, теряются пакеты в сети, лагает браузер, прерывается воспроизведение флэш приложений.
Файл имеет вид .dll, сидит в Вин32, имеет цифровую подпись майкрософта. Антивирусы его не видят.
Вопрос - как убрать эту дрянь? Может кто то уже сталкивался с этой дрянью, как удаляли?
Если через реестр убивали, скиньте ключик на Вин 10 пожалуйста.
UPD: В общем попытался удалить файл в ручную, найдя его в папке Вин32.
Винда поругалась на меня, сказав, что у меня нет прав и что trustedinstaller запрещает мне трогать этот файл. Открыв себе доступ, заблокировав trustedinstaller, удалил из папки Вин32 данный файл. В диспетчере все процессы Com surrogate пропали, Ccleaner'ом прошел на ошибки реестра, удалив их. Почистил браузер и систему клинером и прошелся SecurityTaskManager. Менеджер так же ничего не выявил.
Теперь вопрос на засыпку - я удалил Com surrogate? Или от этой дряни так просто не избавится?
Есть мнения по этому поводу у тех, кто сталкивался с этой дрянью?
А чем ты проверял на вирусы? Лично я проверяю - Malwarebytes Anti-Malware + Dr.Web CureIt + ESETOnlineScanner. Ну и естественно перед проверкой отмечаю галочками, что и какой диск сканировать.
Rottan
У меня на постоянной защите Dr Web PRO, прогонял им. Так же прогонял дефендером (стандартный в вин 10 антивирус).
Троян может иметь цифровую подпись любого производителя.
insel260
Ну тогда переустанавливая Систему. Быстрее дело будет, чем искать что то. Но ты пройдись, хотя бы Dr.Web CureIt и ESETOnlineScanner и почитай выше под спойлером про Com surrogate. Постоянный антивирь это одно, а сканер это другое немного. free.drweb.ru/download+cureit+free/
А у меня на семерке такого процесса нет. И в папках тоже.
Rottan
Переустанавливать систему не стану, это глупо, есть возможность удалить его в ручную, не переустонавливая ОСь, терять 200 ГБ данных нет желания.. Вирус я уже удалил, тотал командером нашел совпадения по Dllhost.exe и снес их к чертям собачьим. Сейчас очищу реестр от неактивных ключей и будет все в порядке.
Кстати, обращаю твое внимание - корейт, даже из под безопасного режима, приносит не так много пользы. К примеру сложные трояны он не может обнаружить. Как к примеру этот Com Surrogate, троян имеющий прописку, как приложение майкрософт обычными антивирусами ( такие как НОД, Касперскй, ДР веб и другие) не обнаруживаются. Их надо искать или специализированными программами (как например антималавар или тот же таск менеджер) или удалять в ручную используя тотал командер и реестр.
Надеяться на корейт при поиске вредоносного ПО не достаточно.
insel260
С чего ты взял что это вирус? Можешь переустанавливать винду. Сразу после переустановки зайди в диспетчер задач и ты снова увидишь этот процесс.
Из Гугла: Описание: dllhost.exe является программой поддержки процесса Microsoft's Distributed Component Object Model (DCOM), являющегося частью системной архитектуры современных версий ОС Windows, других продуктов Microsoft, а также некоторых программ, сделанных другими компаниями. При нормальных обстоятельствах этот процесс вызывается, когда необходимо управлять программными компонентами динамически подключаемой библиотеки (DLL), а затем самостоятельно завершается. Считается основным компонентом операционной системы.
RFL
Потому что данный процесс выжирал 50% ресурсов процессора.
Так как dllhost.exe должен находится ТОЛЬКО в Вин32 и нигде больше, у меня он находился еще в 9 местах! Отследив и искоренив их, все пришло в норму.
Есть вирус, который маскируется под этот процесс, потому антивирусы его и не трогают. Но его легко вычислить, стандартный процесс от виндовс (оригинал) потребляет не более 0,5% загрузки, а то и вовсе на 0% постоянно. Вирус же выдает не ниже 30%, удалять его геморойно, так как винда не дает права, считая его своим процессом.
Вот так то.
Ситуации разные бывают. Лично у меня это был вирус, после его удаления компьютер пришел в норму.
Rottan Ты имеешь ввиду Malwarebytes Anti-Malware?
ага
insel260
Как бы это и не совсем может быть вирусом,дело в том,что это является системным компонентом Windows, который отвечает за обработку COM+ процессов в IIS (Internet Information Services) и других программах. Кстати, заметил, что вроде как даже плеер KMPlayer использует этот COM+, так как у меня часто возникала какая-то ошибка именно тогда, когда я этот плеер выключал. Также процесс dllhost.exe необходим для работы среды .NET, в общем системе COM+ как бы нужен...И если он сидит у тебя в папке Windows\System32 и C:\Windows\SysWOW64,то вряд ли это вирус
KanSi
В Вин32 лежит оригинал, в WinSxS лежит оригинал (дубль), в остальных местах - это уже не оригинал.
Повторяю, у меня этот файл лежал в 9 (ДЕВЯТИ МЕСТАХ).
Оригинальный файл не может быть разбросан по всему компьютеру.
Этот файл, также, находился не на системном диске, а в скрытой папке лежал на Диске D:\.
Как я и писал ранее - у каждого разные ситуации, у меня это был вирус, маскирующийся под оригинальный dllhost.exe
Побольше читайте википедию, она то явно помогает избавляться от заразы с компьютера.
*сарказм*
insel260
Ты сам сказал цитирую "специально рассадник для вирусов собирешь", не надо обобщать,если у тебя вирус на компе маскировался под длл,то это не значит,что и у других людей этот вирус есть...
KanSi
Но ты же с полной уверенностью заявляешь, что Com Surrogate не вирус, при чем неумолимо пытаясь это доказать, копируя различную инфу с вики... Я говорю о том, что у меня это был вирус, который не отслеживался антивирусами, нашел его только при помощи Тотал командера, отследив пути, где лежал вирь.
Вот смотри:
Surrogate Com — опасный троянец. Маскируется под системный процесс Dllhost.exe. Изменяет сетевые настройки, опции брандмауэра Windows. Нацелен на кражу конфиденциальных данных пользователя — логинов и паролей, платёжных реквизитов и др. Может обеспечивать злоумышленникам удалённый доступ к ПК жертвы, подгружать другие вирусы.
Распознать Surrogate Com можно по следующим симптомам:
снижается скорость работы компьютера;
медленно загружаются сайты в браузере;
нестабильно работают сетевые приложения;
программы MS Word, Excel, Notepad и другие запускаются с ошибками;
в Диспетчере задач наблюдается 5-7 активных дублей процесса Dllhost Surrogate Com;
центральный процессор и RAM максимально загружены (на 95-98%) в отсутствие запущенных приложений в системе.
Насчет рассадника вируса, я имел ввиду, что ты упорно доказываешь то, что толком и не понимаешь. Ты уверен, что у тебя не сидит похожее? Как я и говорил обычные антивирусы не всегда замечают вирусы, тут нужно что то более специализированное.
insel260 написал:
Dllhost.exeОн же - Com surrogate. Стандартное средство просмотра фотографий Винды, лежит в C:\Windows\System32, есть и версия в Windows\SysWOW64.
"COM surrogate virus (также может быть выявлен как Dllhost.exe *32 COM surrogate virus) – это опасный троянский конь, активно распространяющийся сейчас. Попадая в целевую ПК-систему, он вносит изменения в некоторые из ее настроек и вызывает опасные явления"
У меня, к примеру, этот вирус закрывал браузер, при открытии сайтов dr.web cureit и malwarebytes, а даже если и удалось скачать данные утилитиы, то он их попросту не давал открыть.
Всем привет, подхватил такую заразу. Где и как подцепил, не знаю. Грузит процессор на 30-50%, теряются пакеты в сети, лагает браузер, прерывается воспроизведение флэш приложений.
Файл имеет вид .dll, сидит в Вин32, имеет цифровую подпись майкрософта. Антивирусы его не видят.
Вопрос - как убрать эту дрянь? Может кто то уже сталкивался с этой дрянью, как удаляли?
Если через реестр убивали, скиньте ключик на Вин 10 пожалуйста.
Помогите избавится от этого трояна.
Win 10 х 64