Problem z infekcją COM SURROGATE
#1
Witam, od dłuższego czasu borykam się w laptopie z problemem powracającego zainfekowanego pliku Dllhost.exe
Objawia się on od czasu do czasu w procesach, spowalniając pracę komputera.
Jak dotąd radziłem sobie w sposób przedstawiony w tym filmie 

[Aby zobaczyć linki, zarejestruj się tutaj]

Niestety gdy chciałem przywrócić (zdrowy) plik Dllhost.exe powracał znów zainfekowany, dlatego też używałem laptopa bez tegoż pliku.
Niestety jak już wspomniałem plik pojawia się ponownie wraz z infekcją po jakimś czasie, zazwyczaj po aktualizacji windows'a.
Problem polega też na tym, iż mimo pozbycia się zainfekowanego pliku, komputer ma tendencje do przeciążania procesora oraz dysku, przy włączaniu jakiejkolwiek aplikacji zużycie dysku potrafi skoczyć do 99% na parę-paręnaście sekund. Nie wiem czy ma to związek z infekcją, czy po prostu z eksploatacją sprzętu, jednak wolałem o tym wspomnieć.
 Jak dotąd używałem tylko malwarebytes, CCleaner oraz adwcleaner.

FRST 

[Aby zobaczyć linki, zarejestruj się tutaj]

Addition 

[Aby zobaczyć linki, zarejestruj się tutaj]

Shortcut 

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#2
Po czym stwierdziłeś że dllhost.exe jest zainfekowany ?  COM Surrogate to nic innego jak właśnie nazwa prawidłowego systemowego procesu dllhost.exe który kontroluje procesy  Internet Information Services (IIS).

W poniższym skrypcie parę rzeczy naprawimy i przyglądniemy się tym plikom. Jeśli dllhost.exe będą niezgodne z oryginalnym hashem, lub jak ich nie będzie w ogóle, to je odpowiednio przywrócimy w daną lokalizację.

Do notatnika wklej i zapisz jako fixlist.txt

Kod:
CloseProcesses:
CreateRestorePoint:
Task: {9B1CB12F-E7F6-4B1E-B49D-59013780D351} - System32\Tasks\Lenovo\Dependency Package Auto Update => C:\Program Files\Lenovo\iMController\AutoUpdate.exe [2014-05-21] ()
Task: {E8F55EAF-708D-49EE-AC4A-E5960ECC9BFA} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-05-30] (Lenovo)
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2159030762-3230275038-1224132727-1001\...\Run: [GalaxyClient] => [X]
Tcpip\..\Interfaces\{BF247D5B-069F-47E4-8930-500819420A86}: [DhcpNameServer] 150.100.0.9
HKU\S-1-5-21-2159030762-3230275038-1224132727-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://lenovo13.msn.com/?pc=LCJB
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csClpwBRfGaIAr1QS9OpbOSovTdo2X2ofl_NmFEX15-b10IwS_xtQ5PKpwrFkuXyqYb2p8KVUyM5DW8yOvdOLWXIxHwEetp55d176Iv3ar8hvOMS_tXRgw8xh8WD-Ii9IPSwXu4vHRxQgQ,,
CHR StartupUrls: Default -> "hxxps://www.google.pl/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8"
C:\ProgramData\mntemp
C:\Users\Maciej\AppData\Roaming\Trove
C:\Users\Maciej\AppData\Local\PAYDAY
C:\ProgramData\TrackMania
C:\Users\Maciej\Documents\TrackMania
C:\Users\Maciej\AppData\Local\FreeReign
C:\Users\Maciej\Documents\FreeReign
C:\ProgramData\LU
AlternateDataStreams: C:\Users\Maciej\AppData\Local\Temp:{67AD6FA5-2A7D-47de-A0C4-F04C8F26F841} [0]
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Maciej\AppData\Local
CMD: dir /a C:\Users\Maciej\AppData\LocalLow
CMD: dir /a C:\Users\Maciej\AppData\Roaming
File: C:\Windows\System32\dllhost.exe
File: C:\Windows\SysWOW64\dllhost.exe
EmptyTemp:

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.
Odpowiedz
#3
Moja znajomość infekcji wirusowych jest nikła, jednak jakiś czas temu zauważyłem spadki wydajności komputera w momencie gdy praktycznie nic nie było na nim uruchomione.
Po wejściu w menadżer zadań zauważyłem iż duży procent wydajności zjada proces "COM Surrogate" którego przedtem nigdy nie widziałem w procesach, widocznie trafiłem do złych źródeł
jednak przeczytałem iż plik może być zainfekowany, dlatego tak go określiłem.
Jeśli to nic nieprawidłowego to moja wina, po prostu występowanie tego procesu pokrywało się ze spadkami wydajności, stąd moja konkluzja.
Oto raport naprawy:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#4
Witam

Z raportu wynika że dllhost.exe jednak nie ma w danej lokalizacji - C:\Windows\System32 W lokalizacji C:\Windows\SysWOW64 znajduje się prawidłowy podpisany plik.


Pobierz archiwum i wypakuj zawartość na pulpit -

[Aby zobaczyć linki, zarejestruj się tutaj]


Do notatnika wklej i zapisz jako fixlist.txt

Kod:
Replace: C:\Users\Maciej\Desktop\dllhost windows 8.1\system32\dllhost.exe C:\Windows\System32\dllhost.exe

Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.
Odpowiedz
#5
Zrobione.
Raport:

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz
#6
Sprawdź czy dllhost.exe znajduje się w System32
Odpowiedz
#7
Tak, znajduje się.
Czyli poza innym umiejscowieniem tego pliku nie było z nim żadnego problemu i nie mam się co martwić więcej o te procesy?
Odpowiedz
#8
Tak procesy są jak najbardziej ok.

Odinstaluj zbędny bloatware.
CyberLink MediaStory
CyberLink PowerDirector 10
Hightail for Lenovo
Maxthon Cloud Browser (powiązany z aferą szpiegowską)
Lenovo Motion Control
Lenovo PhoneCompanion
Lenovo Photo Master
Lenovo SHAREit
Lenovo Updates
Lenovo VeriFace Pro (o ile nie używasz systemu rozpoznawania twarzy)
Magic Transfer (HKLM\...\{AD2B2BD1-A1D7-4798-8FDD-B2A58FD94E68}) (Version: 1.1.1.11 - )
Magic Transfer (HKLM-x32\...\InstallShield_{AD2B2BD1-A1D7-4798-8FDD-B2A58FD94E68}) (Version: 1.1.1.11 - Lenovo)
User Manuals

Uruchom

[Aby zobaczyć linki, zarejestruj się tutaj]

 i za jego pomocą usuń ukryty wpis Metric Collection SDK 35.
Tak samo zastosuj się do NvTelemetry.

Zrób i podaj jeszcze raz wszelkie logi FRST

Możesz też się skusić dodatkowo na zrobienie logów GMER 

[Aby zobaczyć linki, zarejestruj się tutaj]

Odpowiedz


Skocz do:


Użytkownicy przeglądający ten wątek: 1 gości