Problem COM Surrogate

[Magnus]

Witam

 

Próbowałem kilkoma programami pozbyć się problemu, niestety bez skutecznie. Wyczytałem w internecie, że jest on dosyć szkodliwy i wykrada dane, toteż zależy mi na jego usunięciu. Według zapewnień ludzi, Malwarebytes lub drugi program tego typu (nie pamiętam nazwy, też jakaś podobna) miał skasować wirusa, niestety w moim przypadku tak się nie stało. Uprzejmie proszę o jakaś pomoc i ewentualne wytyczne, co mam Wam podać. Przy okazji, nie mogę jeszcze skasować "Windows Phone App", może coś znajdziecie w moich logach i powiecie dlaczego.

 

Z góry dziękuję i pozdrawiam

 

http://wklej.org/id/2899343/

http://wklej.org/id/2899388/

http://wklej.org/id/2899389/

http://wklej.org/id/2899390/

[picasso]

Temat przenoszę do działu Windows, brak oznak infekcji. Pobierałeś lewy skaner Reimage, z daleka od tego dziadostwa, to program wątpliwej reputacji często instalowany metodami "PUP".

 

 

Próbowałem kilkoma programami pozbyć się problemu, niestety bez skutecznie. Wyczytałem w internecie, że jest on dosyć szkodliwy i wykrada dane, toteż zależy mi na jego usunięciu. Według zapewnień ludzi, Malwarebytes lub drugi program tego typu (nie pamiętam nazwy, też jakaś podobna) miał skasować wirusa, niestety w moim przypadku tak się nie stało.

(Microsoft Corporation) C:\Windows\System32\dllhost.exe

 

Podobny temat: KLIK. Proces dllhost.exe (COM Surrogate) to proces systemowy związany m.in. z renderowaniem miniatur w eksploratorze i jego okresowa obecność w procesach jest normalna. Na jego obecność mogą wpływać zainstalowane programy zewnętrzne manipulujące w skojarzeniach plików czy kodekach. I posiadasz conajmniej dwa programy mające wpływ na tę sferę, czyli Adobe Photoshop CC 2015 i Camtasia Studio 8.

 

Wątek infekcji "COM Surrogate" bierze się stąd, że użytkownicy kompletnie nie rozumieją o co chodzi z tą infekcją i przypisują jej również obecność poprawnych wystąpień procesu. Rzecz z infekcją polegała na tym, że była tworzona w systemie alternatywna szkodliwa klasa miniatur w HKCU kierująca na plik infekcji, przebijającą tę poprawną klasę w HKLM, i skutkująca tworzeniem szkodliwych instancji procesu dllhost (na systemie 64-bit były to 32-bitowe wystąpienia z SysWOW64 a nie 64-bitowe z system32). W Twoich raportach zero oznak tej infekcji, nie ma w Addition (CustomCLSID) takiego wpisu.

 

 

Przy okazji, nie mogę jeszcze skasować "Windows Phone App", może coś znajdziecie w moich logach i powiecie dlaczego.

Windows Phone app for desktop (HKLM-x32\...\{99759E36-8961-43DC-A7E6-4601D6AEF166}) (Version: 1.1.2726.0 - Microsoft Corporation)

 

Jaki widzisz błąd? Spróbuj usunąć dane instalacyjne programu za pomocą Program Install and Uninstall Troubleshooter.

 

 

PS. W spoilerze do wykonania tylko kosmetyczne działania polegające na usunięciu wpisów pustych (po aktualizacji z Windows 7 do Windows 10 i jakieś inne drobnostki).

 

 

 

 

1. Zresetuj cache wtyczek Google Chrome, by usunąć puste wpisy. W pasku adresów wpisz chrome://plugins i ENTER. Na liście wtyczek wybierz dowolną i kliknij Wyłącz. Następnie wtyczkę ponownie Włącz.

 

2. Otwórz Notatnik i wklej w nim:

 

CloseProcesses:
CreateRestorePoint:
CHR HKLM\SOFTWARE\Policies\Google: Ograniczenia 
HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-1830975090-2864766991-400709001-1000\SOFTWARE\Policies\Microsoft\Internet Explorer: Ograniczenia 
HKU\S-1-5-21-1830975090-2864766991-400709001-1000\Software\Microsoft\Internet Explorer\Main,Search Page = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
HKU\S-1-5-21-1830975090-2864766991-400709001-1000\Software\Microsoft\Internet Explorer\Main,Start Page = hxxps://www.google.com/?trackid=sp-006
HKU\S-1-5-21-1830975090-2864766991-400709001-1000\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxps://www.google.com/?trackid=sp-006
SearchScopes: HKLM-x32 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKLM-x32 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1830975090-2864766991-400709001-1000 -> DefaultScope {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
SearchScopes: HKU\S-1-5-21-1830975090-2864766991-400709001-1000 -> {E9410C70-B6AE-41FF-AB71-32F4B279EA5F} URL = hxxps://www.google.com/search?trackid=sp-006&q={searchTerms}
Tcpip\..\Interfaces\{FB9532F5-8AE4-43FA-B1A6-04EFA761C2F9}: [DhcpNameServer] 7.254.254.254
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} => Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt1] -> {FB314ED9-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt2] -> {FB314EDA-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt3] -> {FB314EDB-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
ShellIconOverlayIdentifiers: [DropboxExt4] -> {FB314EDC-A251-47B7-93E1-CDD82E34AF8B} => Brak pliku
ShellIconOverlayIdentifiers: [GDriveSharedOverlay] -> {81539FE6-33C7-4CE7-90C7-1C7B8F2F2D44} => Brak pliku
HKLM-x32\...\Run: [] => [X]
HKLM\...\StartupApproved\Run32: => "StartCCC"
HKLM\...\StartupApproved\Run32: => "Raptr"
HKU\S-1-5-21-1830975090-2864766991-400709001-1000\...\StartupApproved\Run: => "Sidebar"
HKU\S-1-5-21-1830975090-2864766991-400709001-1000\...\StartupApproved\Run: => "Akamai NetSession Interface"
S2 a2AntiMalware; "C:\Program Files\Emsisoft Anti-Malware\a2service.exe" [X]
S1 epp; \??\C:\PROGRAM FILES\EMSISOFT ANTI-MALWARE\epp.sys [X]
U3 idsvc; Brak ImagePath
Task: {0BA700B1-4534-40F2-B126-4617E851C66F} - System32\Tasks\{9E54DBEC-B820-48F0-8922-266603C4C2A8} => pcalua.exe -a "C:\Program Files (x86)\Ubisoft\Heroes of Might and Magic III\HoMM3HD2.98f\Heroes3HDSetup.exe" -d "C:\Program Files (x86)\Ubisoft\Heroes of Might and Magic III\HoMM3HD2.98f"
Task: {0C42B29B-C009-452E-91F3-641CA9F37F46} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW2 => C:\Windows\ehome\ehPrivJob.exe
Task: {1204989C-6F4C-49F0-B316-EF2A1671BE41} - System32\Tasks\{220349A9-0CE8-4046-A82F-9B3F14E22E9D} => pcalua.exe -a "D:\Heroes of Might and Magic III Complete\Heroes of Might and Magic III Complete\HoMM3HD2.98f\Heroes3HDSetup.exe" -d "D:\Heroes of Might and Magic III Complete\Heroes of Might and Magic III Complete\HoMM3HD2.98f"
Task: {13CFFCEB-478B-4783-AF25-76CF3C903E05} - System32\Tasks\Microsoft\Windows\Media Center\DispatchRecoveryTasks => C:\Windows\ehome\ehPrivJob.exe
Task: {157419B5-8908-4336-B73B-D110E8FFBB81} - System32\Tasks\Microsoft\Windows\Media Center\ehDRMInit => C:\Windows\ehome\ehPrivJob.exe
Task: {18879600-2E0D-4D0C-839F-D8E9C0F138C0} - System32\Tasks\{8DB1155B-6A73-4F24-A0B6-772605F4DE18} => pcalua.exe -a C:\Users\Sebasian\Downloads\rainbow_six_vegas_2_1.03\rainbow_six_vegas_2_1.03.exe -d C:\Users\Sebasian\Downloads\rainbow_six_vegas_2_1.03
Task: {1B26C979-FA6C-44E7-A964-437D3C3B79A1} - System32\Tasks\Microsoft\Windows\Media Center\MediaCenterRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {1FF9D7CF-3BE6-4999-A7C4-35DC8DCF354B} - System32\Tasks\{F7DC33E2-FA8C-4105-B5DB-D963734ED414} => Chrome.exe hxxp://ui.skype.com/ui/0/6.22.0.107/pl/abandoninstall?page=tsProgressBar
Task: {2001C547-D3CB-47EA-A277-B08D0BFE2BEE} - System32\Tasks\Microsoft\Windows\Media Center\OCURDiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {20DC449C-E570-4A8E-B836-882801621267} - System32\Tasks\{297E5BBB-AA0A-4A24-A423-AAF7D9003208} => pcalua.exe -a "C:\Program Files (x86)\InstallShield Installation Information\{2A9A40C7-6670-4D5F-8F41-D12E2E08B48B}\Setup.exe" -d "C:\Program Files (x86)\InstallShield Installation Information\{2A9A40C7-6670-4D5F-8F41-D12E2E08B48B}"
Task: {2330CD4D-6BFA-409B-BC47-DD8CF8E65F60} - System32\Tasks\{76ED9588-2E09-4BD3-91B5-4B0C6C1C6D05} => Chrome.exe hxxp://ui.skype.com/ui/0/7.0.0.102/pl/go/help.faq.installer?LastError=1618
Task: {34241F82-72C9-4325-BE42-425080423C14} - \Microsoft\Windows\Setup\GWXTriggers\MachineUnlock-5d -> Brak pliku 
Task: {3D22CC56-176A-4108-9A8F-5A333A2F43BF} - \Microsoft\Windows\Setup\GWXTriggers\Time-5d -> Brak pliku 
Task: {3D3977B3-52EB-4855-A0F4-079D5361D40F} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate => C:\Windows\ehome\mcupdate.exe
Task: {4A548AE4-A568-4B8B-AC54-F1C2E87D7132} - System32\Tasks\{1A1B9508-259F-484E-AEBF-9302B2526A25} => pcalua.exe -a C:\Users\Sebasian\AppData\Roaming\uTorrent\uTorrent.exe -c /UNINSTALL
Task: {5A965F91-5410-4FFA-ADA1-8C4BD882C097} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscovery => C:\Windows\ehome\ehPrivJob.exe
Task: {5C72DCA9-D731-40F4-BF42-0B6C2322CE6E} - System32\Tasks\Microsoft\Windows\Media Center\InstallPlayReady => C:\Windows\ehome\ehPrivJob.exe
Task: {5FF672BF-7546-4020-9823-2E2E1149E028} - \Microsoft\Windows\Setup\gwx\refreshgwxconfigandcontent -> Brak pliku 
Task: {6AC80995-670A-4AE6-B0FD-EE28FC9F8D46} - \Microsoft\Windows\Setup\gwx\refreshgwxconfig -> Brak pliku 
Task: {6EB691DD-047B-4A7C-AB71-FE0061A2CD51} - System32\Tasks\Microsoft\Windows\Media Center\PvrScheduleTask => C:\Windows\ehome\mcupdate.exe
Task: {71B57B03-D7B9-4399-8D5A-55436AB9F87F} - System32\Tasks\Microsoft\Windows\Media Center\ReindexSearchRoot => C:\Windows\ehome\ehPrivJob.exe
Task: {795A881E-2AD0-4B83-85DD-D16BC692919C} - System32\Tasks\Microsoft\Windows\Media Center\PeriodicScanRetry => C:\Windows\ehome\MCUpdate.exe
Task: {7EA486C1-049C-4CA9-A766-082AB29365DD} - System32\Tasks\Microsoft\Windows\Media Center\RegisterSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {81B5F74E-E127-4608-B997-ED61459538BC} - \Microsoft\Windows\Setup\GWXTriggers\Logon-5d -> Brak pliku 
Task: {8B3D854A-A941-4098-A51F-864B53B69942} - System32\Tasks\Microsoft\Windows\Media Center\SqlLiteRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {8B85D1E7-E329-4195-8A50-90A64845CFB2} - \Microsoft\Windows\Setup\GWXTriggers\OutOfIdle-5d -> Brak pliku 
Task: {8F19B686-4942-4FD9-A860-DFBC73656903} - System32\Tasks\Microsoft\Windows\Media Center\RecordingRestart => C:\Windows\ehome\ehrec.exe
Task: {91073FD7-50B8-455F-B759-B3F4F11E5CA6} - System32\Tasks\{B46C235D-EEEB-45D4-9AD9-02E567FB3D2B} => pcalua.exe -a "C:\Users\Sebasian\AppData\Roaming\.minecraft\minecraft launcher\Uninstall.exe"
Task: {9F8E249A-2788-4714-AF15-C57712CDA987} - \Microsoft\Windows\Setup\GWXTriggers\refreshgwxconfig-B -> Brak pliku 
Task: {A76588AD-DCBE-47C3-A7CF-740AD22620DC} - System32\Tasks\{87D0B727-A59E-49A4-8D0D-496FE3A9E6FD} => pcalua.exe -a H:\TuneUp\TUInstallHelper.exe -c --Trigger-Uninstall
Task: {AC2584FB-45E3-49AF-9395-3D0D12D0225E} - \Microsoft\Windows\Setup\gwx\launchtrayprocess -> Brak pliku 
Task: {B3EC7ABB-F686-4F61-83C0-DDC721F1FD3C} - System32\Tasks\Microsoft\Windows\Media Center\mcupdate_scheduled => C:\Windows\ehome\mcupdate.exe
Task: {BC6B4EDA-FE8A-47A6-B581-FFB4936D8F8F} - System32\Tasks\Microsoft\Windows\Media Center\ActivateWindowsSearch => C:\Windows\ehome\ehPrivJob.exe
Task: {BF71C348-45A8-406E-BA2A-822294A2DC7E} - System32\Tasks\Microsoft\Windows\Media Center\ObjectStoreRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {C5163D45-7534-4708-869F-FE06E08F1629} - System32\Tasks\Microsoft\Windows\Media Center\StartRecording => C:\Windows\ehome\ehrec.exe
Task: {C78F0C0E-94D6-4171-BE4E-67E769C5B27E} - System32\Tasks\Microsoft\Windows\Media Center\ConfigureInternetTimeService => C:\Windows\ehome\ehPrivJob.exe
Task: {C81904D7-F19C-4257-A973-D28C3D0B1080} - System32\Tasks\{5347F31A-0201-45DC-868F-1216420E403E} => pcalua.exe -a H:\GOTHIC~1\UNWISE.EXE -c H:\GOTHIC~1\INSTAL~1.LOG
Task: {CC0E7728-5A7F-40CC-8336-030490D6F0DB} - System32\Tasks\Microsoft\Windows\Media Center\OCURActivate => C:\Windows\ehome\ehPrivJob.exe
Task: {CD777AC1-3074-4AEE-B396-40387858B2B5} - \OfficeSoftwareProtectionPlatform\SvcRestartTask -> Brak pliku 
Task: {D359DF77-7DDF-4358-9540-A71E87737D9D} - System32\Tasks\Microsoft\Windows\Media Center\UpdateRecordPath => C:\Windows\ehome\ehPrivJob.exe
Task: {D370D6C3-9086-4DF5-8AF3-BD79E0F42BE3} - \Microsoft\Windows\Setup\gwx\refreshgwxcontent -> Brak pliku 
Task: {D39695F9-0CA4-47E1-8C2C-961309B54D5E} - System32\Tasks\Microsoft\Windows\Media Center\PBDADiscoveryW1 => C:\Windows\ehome\ehPrivJob.exe
Task: {E765222C-BAAD-44E2-8D06-516367364729} - System32\Tasks\1014avUpdateInfo => C:\ProgramData\Avg_Update_1014av\1014av_AVG-Secure-Search-Update.exe
Task: {E816EBA0-B7C0-4105-B33F-D3D571FF3EC8} - System32\Tasks\{70EE8B8C-AE9C-4DD4-9B60-D3225AB6675E} => pcalua.exe -a C:\Users\Sebasian\Downloads\MbWtY9ji\Guild2_PL.exe -d C:\Users\Sebasian\Downloads\MbWtY9ji
Task: {F1266D12-E050-415B-A1C2-65D5F89B8C2F} - System32\Tasks\Microsoft\Windows\Media Center\PvrRecoveryTask => C:\Windows\ehome\mcupdate.exe
Task: {F3BDD244-9D23-4044-B00E-2FA9FDDDAB40} - \Microsoft\Windows\Setup\GWXTriggers\OutOfSleep-5d -> Brak pliku 
Task: {F9DEEC0E-538D-4052-8C6D-867115F8AC5D} - \Microsoft\Windows\Setup\GWXTriggers\Telemetry-4xd -> Brak pliku 
DeleteKey: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg
DeleteKey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Microsoft\Windows\Media Center
DeleteKey: HKLM\SOFTWARE\Mozilla
DeleteKey: HKLM\SOFTWARE\MozillaPlugins
DeleteKey: HKLM\SOFTWARE\Wow6432Node\Mozilla
DeleteKey: HKLM\SOFTWARE\Wow6432Node\MozillaPlugins
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\Main
DeleteKey: HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes
C:\Program Files\Emsisoft Anti-Malware
C:\ProgramData\mntemp
C:\ProgramData\{FE8D473A-6F06-4F99-B5F4-BED72B2A038C}
C:\ProgramData\Emsisoft
C:\ProgramData\Microsoft\Windows\GameExplorer\{0F0D298B-FC3C-4CD7-81CA-1BFB6B1FD67C}
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Tunngle
C:\Users\Sebasian\AppData\Local\{32194A88-1104-4846-BBAD-EB091D3D1655}
C:\Users\Sebasian\AppData\Local\Google\Chrome\User Data\Guest Profile
C:\Users\Sebasian\AppData\Local\Google\Chrome\User Data\System Profile
C:\Users\Sebasian\AppData\Local\Microsoft\Windows\GameExplorer\{E5A0F793-4FF4-4968-9CEA-26BBDCF3E032}
C:\Users\Sebasian\AppData\Roaming\Microsoft\Word\arti305478053252964938\arti.docx.lnk
C:\Users\Sebasian\Moje programy\LogMeIn Hamachi.lnk
C:\Users\Sebasian\Moje programy\SAMP.lnk
C:\Users\Sebasian\Downloads\*Reimage*.*
C:\Users\Sebasian\Downloads\PC Scan & Reimage Repair
C:\Windows\ehome
C:\Windows\System32\Tasks\Microsoft\Windows\Media Center
CMD: netsh advfirewall reset
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Plik zapisz pod nazwą fixlist.txt w folderze z którego uruchamiasz FRST. Uruchom FRST i kliknij w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go. Nowe skany zbędne.

 

 

 

 

[Magnus]

Bardzo dziękuję za informację, zaraz wykonam Twoje sugestie i zdam relację. Co do tego procesu to dzięki, zdziwiłem się bo pojawił mi się nagle i w internecie znalazłem taką sugestię. Na szczęście wytłumaczyłaś mi co i jak.

 

Komputer się nie uruchamiał podobnie, a oto wspomniany przez Ciebie plik.

http://wklej.org/id/2902556/

Edytowane 12 Października 2016 przez Magnus

[picasso]

Komputer się nie uruchamiał podobnie, a oto wspomniany przez Ciebie plik.

Tak, bo skrypt FRST się w ogóle nie wykonał... Proszę otwórz plik Fixlog i porównaj z moim postem. Nie wiem jakim sposobem, ale zdewastowałeś całe formatowanie skryptu (wycięte wszystkie slesze w ścieżkach i dwukropki w komendach, więc FRST nie zintepretował zawartości). Powtarzaj zadanie.

[Magnus]

Faktycznie, teraz się udało.

 

http://wklej.org/id/2903520/

[Magnus]

Przy okazji chciałbym jeszcze spytać - mam antywirusa AVG i jeden problem, mianowicie wyłaczony składnik tożsamości. Nie da się go włączyć, a przycisk "napraw" nie przynosi żadnych rezultatów.

 

http://imgur.com/a/TVecP