Elektroda.pl
Elektroda.pl
X
CControls
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Program COM Surrogate - co to za diabelstwo?

keseszel 13 Gru 2015 14:26 6513 14
  • #1 13 Gru 2015 14:26
    keseszel
    Poziom 26  

    Witam.
    Od pewnego czasu dostaję komunikat, że COM Surrogate zakończył działanie, popsuł się, etc.
    Co to za diabelstwo? Rzekomo poświadczony przez Microsoft.
    Próbować wywalić czy też nie?
    Net pokazuje sprzeczne informacje..

    0 14
  • CControls
  • #2 13 Gru 2015 14:32
    safbot1st
    Poziom 43  

    To jest kluczowy proces "windozy". M.in. generuje miniatury.
    Czasem się "zalkeszcza", bywa też atakowany przez malware.
    W Twoim przypadku powinieneś spróbować dodać wyjątek dla dllhost.exe w DEP (zapobieganie uruchamiania). Net zawiera te informacje:
    http://answers.microsoft.com/en-us/windows/fo...ing/29f9ddf4-5ba2-4bc1-9af7-2020aaeedaf9?db=5
    Wskazany skan za pomocą MBAM free i ADWcleaner.

    0
  • #3 13 Gru 2015 14:57
    keseszel
    Poziom 26  

    W jednym z postów sugerowano odinstalowanie klite codec i przeskanowanie cc cleanerem. Tak też zrobiłem, niestety nie pomogło..

    0
  • #4 13 Gru 2015 15:10
    safbot1st
    Poziom 43  

    safbot1st napisał:
    powinieneś spróbować dodać wyjątek dla dllhost.exe w DEP

    0
  • CControls
  • #6 13 Gru 2015 15:24
    safbot1st
    Poziom 43  

    W sumie kolega @Kolobos ma rację. Skoro DEP blokuje proces może coś tam "siedzieć".

    0
  • #8 19 Gru 2015 09:54
    Acorus 20
    Spec od komputerów

    Odinstaluj Java(TM) 6 Update 22. Otwórz notatnik systemowy i wklej:

    Cytat:
    Task: {A09107F9-7F10-4F50-A198-78DE55B627EB} - System32\Tasks\CricketSeweragesV2 => Rundll32.exe HighlandConspicuous.dll,main 7 1 <==== UWAGA
    ShortcutWithArgument: C:\Users\Licho\Desktop\Links\GRASS GIS 6.4.3.lnk -> C:\Program Files\QGIS Lyon\bin\nircmd.exe (NirSoft) -> exec hide C:\PROGRA~1\QGISLY~1\bin\grass64.bat -wx
    ShortcutWithArgument: C:\Users\Licho\Desktop\Links\QGIS Desktop 2.12.1.lnk -> C:\Program Files\QGIS Lyon\bin\nircmd.exe (NirSoft) -> exec hide C:\PROGRA~1\QGISLY~1\bin\qgis.bat
    ShortcutWithArgument: C:\Users\Licho\Desktop\Links\SAGA GIS (2.1.2).lnk -> C:\Program Files\QGIS Lyon\bin\nircmd.exe (NirSoft) -> exec hide C:\PROGRA~1\QGISLY~1\bin\saga_gui.bat
    HKLM\...\Run: [RTHDVCPL] => C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe [6548112 2012-06-04] (Realtek Semiconductor)
    HKLM\...\Run: [Chew7Hale] => C:\Windows\System32\hale.exe [2169856 2015-12-13] ()
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
    SearchScopes: HKU\S-1-5-21-2414889451-3500074267-1359808954-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
    SearchScopes: HKU\S-1-5-21-2414889451-3500074267-1359808954-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL =
    FF DefaultSearchEngine: istartpageing
    CHR HomePage: Default -> hxxp://www.istartpageing.com/?type=hp&ts=...or&uid=goodramxcx100_feca07571b0802255374
    CHR StartupUrls: Default -> "hxxps://www.malwarebytes.org/restorebrowser/"
    CHR DefaultSearchURL: Default -> hxxp://www.istartpageing.com/web/?type=ds&...uid=goodramxcx100_feca07571b0802255374&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> istartpageing
    CHR HKU\S-1-5-21-2414889451-3500074267-1359808954-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
    S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
    2015-12-13 08:50 - 2015-12-13 08:50 - 02169856 ___SH C:\Windows\system32\hale.exe
    EmptyTemp:


    Plik zapisz pod nazwą fixlist.txt i umieść obok FRST w tym samym folderze.
    Uruchom jako administrator FRST i kliknij w Fix/Napraw.

    0
  • #9 19 Gru 2015 10:08
    safbot1st
    Poziom 43  

    Używasz Realplayer? Jeśli nie - odinstaluj.
    Spróbuj poniższą fixlistę:

    Cytat:

    CloseProcesses:
    () C:\Windows\System32\hale.exe
    HKLM\...\Run: [Chew7Hale] => C:\Windows\System32\hale.exe [2169856 2015-12-13] ()
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
    SearchScopes: HKU\S-1-5-21-2414889451-3500074267-1359808954-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
    SearchScopes: HKU\S-1-5-21-2414889451-3500074267-1359808954-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL =
    Toolbar: HKU\S-1-5-21-2414889451-3500074267-1359808954-1000 -> Brak nazwy - {D4027C7F-154A-4066-A1AD-4243D8127440} - Brak pliku
    CHR HomePage: Default -> hxxp://www.istartpageing.com/?type=hp&ts=...or&uid=goodramxcx100_feca07571b0802255374
    CHR StartupUrls: Default -> "hxxps://www.malwarebytes.org/restorebrowser/"
    CHR DefaultSearchURL: Default -> hxxp://www.istartpageing.com/web/?type=ds&...uid=goodramxcx100_feca07571b0802255374&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> istartpageing
    S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
    2015-12-13 08:50 - 2015-12-13 08:50 - 02169856 ___SH C:\Windows\system32\hale.exe
    2015-11-19 22:04 - 2015-11-19 23:41 - 00000239 _____ C:\Windows\Brownie.ini
    2015-11-19 22:04 - 2015-11-19 22:36 - 00000054 _____ C:\Windows\SysWOW64\bd2030.dat
    2015-11-19 22:05 - 2004-08-10 01:00 - 00000114 _____ C:\Windows\SysWOW64\brlmw03a.ini
    2015-11-19 22:05 - 2015-11-19 22:05 - 00000000 ____D C:\Program Files (x86)\Brownie
    2015-11-19 22:05 - 2015-11-19 22:05 - 00000000 _____ C:\Windows\brmx2001.ini
    2015-11-14 12:00 - 2015-11-14 12:00 - 0000057 _____ () C:\ProgramData\Ament.ini
    Task: {A09107F9-7F10-4F50-A198-78DE55B627EB} - System32\Tasks\CricketSeweragesV2 => Rundll32.exe HighlandConspicuous.dll,main 7 1 <==== UWAGA
    2015-12-13 08:50 - 2015-12-13 08:50 - 02169856 ___SH () C:\Windows\System32\hale.exe
    EmptyTemp:


    Zapisz jako fixlist.txt przy frst.exe i w FRTS wybierz "Napraw".

    Napisz, czy problem znikł.

    Dodano po 5 [minuty]:

    Kolego @Acorus 20 to jakaś większa infekcja. Nie dość, że hale.exe, to jeszcze:
    safbot1st napisał:

    brlmw03a.ini
    Ament.ini
    brmx2001.ini


    A tu:
    C:\Windows\system32\winlogon.exe
    [2009-07-14 00:52] - [2015-12-13 08:50] - 0389632 ____A (Microsoft Corporation) 87A00ED70FEC36D0DD968E5058C29AA1
    C:\Windows\system32\User32.dll
    [2009-07-14 00:38] - [2015-12-13 08:51] - 1008640 ____A (Microsoft Corporation) F78E7BD7ADC829D9DD92C558180E09DB

    Niepodpisane pliki systemowe. Z tym to nie wiem co robić. Obawiam się, że nasze fixlisty mogą nie pomóc... :(

    0
  • #10 19 Gru 2015 11:49
    keseszel
    Poziom 26  

    Java updater odinstalowana.

    Real Plaer używam naprzemian z VLC.
    Piszę, a klawiatura reaguje z opóźnieniem.
    Net z Play.

    brm mogą być związane z drukarką Brothera.

    0
  • #11 19 Gru 2015 11:56
    safbot1st
    Poziom 43  

    keseszel napisał:
    Piszę, a klawiatura reaguje z opóźnieniem.

    Tak może być przez obciążanie CPU przez proces dllhost.exe.
    Wklej okno z procesami posegregowanymi wg. użycia CPU.
    I jak te fixlisty? Nie pomogły widzę?
    Nie chcę Cię straszyć, ale robiłem ostatnio fromat przy tej infekcji.
    A punkt przywracania próbowałeś?

    Dodano po 1 [minuty]:

    keseszel napisał:
    brm mogą być związane z drukarką Brothera.

    Te które umieściłem w fixlist.txt w sieci są omawiane jako wirusy.
    W ostateczności ster. drukarki możesz przeinstalować, a walka jest z niezłą infekcją.
    Gorzej jak wirus się podszywa właśnie pod te ster.

    0
  • #12 19 Gru 2015 19:39
    Kolobos
    Spec od komputerów

    Ten aktywator lubi powodowac problemy:
    () C:\Windows\System32\hale.exe
    HKLM\...\Run: [Chew7Hale] => C:\Windows\System32\hale.exe [2169856 2015-12-13] ()
    Ale w tym przypadku winny jest FxVistaPreview.dll od DraftSight.
    Mozna wylaczyc podglad, wpisz w uruchom:
    regsvr32 /u FxVistaPreview.dll

    @safbot1st to od Brothera:
    2015-11-19 22:04 - 2015-11-19 23:41 - 00000239 _____ C:\Windows\Brownie.ini
    2015-11-19 22:04 - 2015-11-19 22:36 - 00000054 _____ C:\Windows\SysWOW64\bd2030.dat
    2015-11-19 22:05 - 2004-08-10 01:00 - 00000114 _____ C:\Windows\SysWOW64\brlmw03a.ini
    2015-11-19 22:05 - 2015-11-19 22:05 - 00000000 ____D C:\Program Files (x86)\Brownie
    2015-11-19 22:05 - 2015-11-19 22:05 - 00000000 _____ C:\Windows\brmx2001.ini

    0
  • #13 20 Gru 2015 20:35
    keseszel
    Poziom 26  

    Na razie nie ruszyłem fixlist, bo po prostu nie miałem czasu. Nie chcę też usunąć czegoś co może mi się przydać. Zawsze czytam co instaluję, takie skrzywienie zawodowe.
    Dodatkowo:
    duże zużycie CPU, na granicy 90 do 100%
    praca non stop chłodzenia
    krótsza praca na baterii

    0
  • #14 21 Gru 2015 09:39
    Kolobos
    Spec od komputerów

    Masz piracki system, zainstalowales badziewny aktywator hale, ktory obciaza procesor, wiec czego oczekujesz? Jak widac piracic tez trzeba umiec...

    Wykonaj taki fixlist.txt:
    HKLM\...\Run: [Chew7Hale] => C:\Windows\System32\hale.exe [2169856 2015-12-13] ()
    HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page =
    HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL =
    HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
    HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL =
    SearchScopes: HKLM-x32 -> {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
    SearchScopes: HKU\S-1-5-21-2414889451-3500074267-1359808954-1000 -> DefaultScope {33BB0A4E-99AF-4226-BDF6-49120163DE86} URL =
    SearchScopes: HKU\S-1-5-21-2414889451-3500074267-1359808954-1000 -> {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} URL =
    FF DefaultSearchEngine: istartpageing
    CHR HomePage: Default -> hxxp://www.istartpageing.com/?...ramxcx100 feca07571b0802255374
    CHR StartupUrls: Default -> "hxxps://www.malwarebytes.org/restorebrowser/"
    CHR DefaultSearchURL: Default -> hxxp://www.istartpageing.com/w...00 feca07571b0802255374&q={searchTerms}
    CHR DefaultSearchKeyword: Default -> istartpageing
    CHR HKU\S-1-5-21-2414889451-3500074267-1359808954-1000\SOFTWARE\Google\Chrome\Extensions\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
    CHR HKLM-x32\...\Chrome\Extension: [bknbnapaddjdnbilpmlacdkjdkjmbjhd] - hxxp://clients2.google.com/service/update2/crx
    S3 MBAMSwissArmy; \??\C:\Windows\system32\drivers\MBAMSwissArmy.sys [X]
    2015-12-13 08:50 - 2015-12-13 08:50 - 02169856 ___SH C:\Windows\system32\hale.exe
    EmptyTemp:

    Do tego to co podalem wczesniej:

    Ale w tym przypadku winny jest FxVistaPreview.dll od DraftSight.
    Mozna wylaczyc podglad, wpisz w uruchom:
    regsvr32 /u FxVistaPreview.dll

    1
  • #15 21 Gru 2015 21:14
    keseszel
    Poziom 26  

    System był z laptopem, ale za dużo nie zostało z karteczki na spodzie ;-( . Nie chce mi się przedzierać po raz enty przez aktywacje, etc. z microsoftem, bo dostaje białej gorączki.
    Piracić nie potrzebuję, programy mam jako student.. Chyba, ze coś na szybko, ale bajzel straszny jak widać.
    DrawSight do nauki w pracy, korzystam sporadycznie i muszę od czasu do czasu się podszkolić.. ;-(

    Pliki po wykonaniu fixa..

    0