17.04.2017, 20:30
Po czym stwierdziłeś że dllhost.exe jest zainfekowany ? COM Surrogate to nic innego jak właśnie nazwa prawidłowego systemowego procesu dllhost.exe który kontroluje procesy Internet Information Services (IIS).
W poniższym skrypcie parę rzeczy naprawimy i przyglądniemy się tym plikom. Jeśli dllhost.exe będą niezgodne z oryginalnym hashem, lub jak ich nie będzie w ogóle, to je odpowiednio przywrócimy w daną lokalizację.
Do notatnika wklej i zapisz jako fixlist.txt
Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.
W poniższym skrypcie parę rzeczy naprawimy i przyglądniemy się tym plikom. Jeśli dllhost.exe będą niezgodne z oryginalnym hashem, lub jak ich nie będzie w ogóle, to je odpowiednio przywrócimy w daną lokalizację.
Do notatnika wklej i zapisz jako fixlist.txt
Kod:
CloseProcesses:
CreateRestorePoint:
Task: {9B1CB12F-E7F6-4B1E-B49D-59013780D351} - System32\Tasks\Lenovo\Dependency Package Auto Update => C:\Program Files\Lenovo\iMController\AutoUpdate.exe [2014-05-21] ()
Task: {E8F55EAF-708D-49EE-AC4A-E5960ECC9BFA} - System32\Tasks\Lenovo\Lenovo Customer Feedback Program 64 35 => C:\Program Files (x86)\Lenovo\Customer Feedback Program 35\Lenovo.TVT.CustomerFeedback.Agent35.exe [2014-05-30] (Lenovo)
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-2159030762-3230275038-1224132727-1001\...\Run: [GalaxyClient] => [X]
Tcpip\..\Interfaces\{BF247D5B-069F-47E4-8930-500819420A86}: [DhcpNameServer] 150.100.0.9
HKU\S-1-5-21-2159030762-3230275038-1224132727-1001\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://lenovo13.msn.com/?pc=LCJB
SearchScopes: HKLM -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
SearchScopes: HKLM-x32 -> {0633EE93-D776-472f-A0FF-E1416B8B2E3A} URL =
CHR HomePage: Default -> hxxp://%66%65%65%64.%73%6E%61%70%64%6F.%63%6F%6D/?p=mKO_AwFzXIpYRaHdGKBPxn49PYmQ6e1krQXBFZY3csClpwBRfGaIAr1QS9OpbOSovTdo2X2ofl_NmFEX15-b10IwS_xtQ5PKpwrFkuXyqYb2p8KVUyM5DW8yOvdOLWXIxHwEetp55d176Iv3ar8hvOMS_tXRgw8xh8WD-Ii9IPSwXu4vHRxQgQ,,
CHR StartupUrls: Default -> "hxxps://www.google.pl/webhp?sourceid=chrome-instant&ion=1&espv=2&ie=UTF-8"
C:\ProgramData\mntemp
C:\Users\Maciej\AppData\Roaming\Trove
C:\Users\Maciej\AppData\Local\PAYDAY
C:\ProgramData\TrackMania
C:\Users\Maciej\Documents\TrackMania
C:\Users\Maciej\AppData\Local\FreeReign
C:\Users\Maciej\Documents\FreeReign
C:\ProgramData\LU
AlternateDataStreams: C:\Users\Maciej\AppData\Local\Temp:{67AD6FA5-2A7D-47de-A0C4-F04C8F26F841} [0]
CMD: dir /a "C:\Program Files"
CMD: dir /a "C:\Program Files (x86)"
CMD: dir /a "C:\Program Files (x86)\Common Files"
CMD: dir /a C:\ProgramData
CMD: dir /a C:\Users\Maciej\AppData\Local
CMD: dir /a C:\Users\Maciej\AppData\LocalLow
CMD: dir /a C:\Users\Maciej\AppData\Roaming
File: C:\Windows\System32\dllhost.exe
File: C:\Windows\SysWOW64\dllhost.exe
EmptyTemp:Zapisany skrypt umieść obok ściągniętego programu FRST
Następnie w programie kliknij Napraw. Po wykonaniu pokaż raport z tego działania.