Закрыто стиллер dllhost

Переводчик Google
D

d9term1ned

Новый пользователь
Сообщения
6
Реакции
2
При первом сканировании приложением minersearch (с гитхаба) после включения пк, находит две угрозы. Первая - dllhost, у нее меняется PID, и вторая у которой меняется PID и названия. На следующие сканирования до перезагрузки системы ничего не находит. kvrt и malwarebytes не помогли. Прикреплю логи приложения HiJackThis+ и MinerSearch. Подозреваю что наткнулся на ратку, но сканил систему через 5 антивирусов, и вот последствия. Могу закинуть ссылку на файл, в котором как я подозреваю была ратка. Подскажите пожалуйста как избавится от них? upd: это сто процентов стиллер, т.к. сегодня у меня угнали дискорд аккаунт и рассылали с него всякую херь
 

Вложения

Последнее редактирование:
"Пофиксите" в HijackThis (некоторые строки могут отсутствовать):
Код: 
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0506E2F9-6F48-4131-BB9E-8A270B713120} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0506E2F9-6F48-4131-BB9E-8A270B713120} - \Microsoft\Windows\Wininet\winsers (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D3BD987C-FC19-4031-AF1F-5A48FD0E0542} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D3BD987C-FC19-4031-AF1F-5A48FD0E0542} - \Microsoft\Windows\Wininet\winser (no xml)
O27 - Account: (Hidden) User 'John' is invisible on logon screen
O27 - RDP: (Other) HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server: [fDenyTSConnections] = 0
O27 - RDP: (Port) 3389 TCP opened as inbound - (no service) - (Remote Desktop) - (all applications)

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да (Yes) для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 
Знакомые скрипты?
2026-06-09 13:35 - 2026-06-09 13:35 - 000000150 ____H () C:\Users\kiril\AppData\Roaming\Microsoft\378201.vbs
2026-06-09 13:35 - 2026-06-09 13:35 - 000000142 ____H () C:\Users\kiril\AppData\Roaming\Microsoft\607613.vbs

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.
  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Код: 
    Start::
SystemRestore: On
CreateRestorePoint:
Virusscan: C:\Program Files\FlClashX\FlClashHelperService.exe; C:\Program Files\KeyronTablet\TabletDriverCenter.exe; D:\запрет\bin\winws.exe
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender Security Center: Ограничение <==== ВНИМАНИЕ
HKU\S-1-5-18\...\Run: [] => [X]
HKLM\SOFTWARE\Policies\Google: Ограничение <==== ВНИМАНИЕ
HKLM\SOFTWARE\Policies\Microsoft\Edge: Ограничение <==== ВНИМАНИЕ
Task: {AB9ABDE5-AAE6-4EE6-B8CD-DF7A94A66BFA} - System32\Tasks\Microsoft\Windows\PI\SecureBootEncodeUEFI => %WINDIR%\system32\SecureBootEncodeUEFI.exe  (Нет файла)
Task: {87555B29-C0C2-44E3-87F3-A0BD06278F9E} - System32\Tasks\Microsoft\Windows\UNP\RunUpdateNotificationMgr => %windir%\System32\UNP\UpdateNotificationMgr.exe  (Нет файла)
Task: {F3E6E7ED-A196-4E44-8803-55FAB3AD4E29} - System32\Tasks\Microsoft\Windows\UpdateOrchestrator\USO_UxBroker => %systemroot%\system32\MusNotification.exe  (Нет файла)
Task: {7A318715-52AA-4692-8508-0E05E3B3499B} - System32\Tasks\RunGame => "C:\Program Files\Client Helper\Client Helper.exe"  /schtask (Нет файла) <==== ВНИМАНИЕ
Task: {EE7CE757-42CA-483D-A7F0-1D5BBAD118F3} - System32\Tasks\Seelen\Seelen UI Service => C:\Users\kiril\AppData\Local\Microsoft\WindowsApps\slu-service.exe  --startup (Нет файла)
Task: {E1BFF877-79A4-4550-B748-0AC079E8D393} - System32\Tasks\SidebarStartup => C:\Users\kiril\AppData\Local\SidebarDiagnostics\app-3.6.3\SidebarDiagnostics.exe  (Нет файла)
Edge Extension: (Adblock - бесплатный блокировщик рекламы) - C:\Users\kiril\AppData\Local\Microsoft\Edge\User Data\Default\Extensions\akklmphkabggidbnojidekpcnbfdpicb [2025-05-27] [UpdateUrl:0] <==== ВНИМАНИЕ
CHR HKLM-x32\...\Chrome\Extension: [kadaohckdkghfaclhjmkmplebcdcnfnp]
S3 EasyAntiCheat; "C:\Program Files (x86)\EasyAntiCheat\EasyAntiCheat.exe" (Нет файла)
S3 EasyAntiCheat_EOS; "C:\Program Files (x86)\EasyAntiCheat_EOS\EasyAntiCheat_EOS.exe" (Нет файла)
U2 WinInternals; C:\Users\Public\WinHandler\MsMpSyS.exe -start (Нет файла)
U4 SgrmAgent; отсутствует ImagePath
U4 SgrmBroker; отсутствует ImagePath
ShellIconOverlayIdentifiers: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive1] -> {BBACC218-34EA-4666-9D7A-C78F2274A524} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive2] -> {5AB7172C-9C11-405C-8DD5-AF20F3606282} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive3] -> {A78ED123-AB77-406B-9962-2A5D9D2F7F30} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive4] -> {F241C880-6982-4CE5-8CF7-7085BA96DA5A} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive5] -> {A0396A93-DC06-4AEF-BEE9-95FFCCAEF20E} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive6] -> {9AA2F32D-362A-42D9-9328-24A483E2CCC3} =>  -> Нет файла
ShellIconOverlayIdentifiers-x32: [ OneDrive7] -> {C5FF006E-2AE9-408C-B85B-2DFDD5449D9C} =>  -> Нет файла
FirewallRules: [{87B66C0D-BA90-4AA3-8AC2-A932607E3A04}] => (Allow) C:\Program Files (x86)\v2RayTun\v2RayTun.exe => Нет файла
FirewallRules: [UDP Query User{2B52F469-7D4D-4F9D-A970-5CA84546AC37}C:\users\kiril\desktop\ \ayugram.exe] => (Allow) C:\users\kiril\desktop\*\ayugram.exe => Нет файла
FirewallRules: [TCP Query User{0EAC171C-EC42-4F5E-B9C3-2A2F86A2FDF3}C:\users\kiril\desktop\ \ayugram.exe] => (Allow) C:\users\kiril\desktop\*\ayugram.exe => Нет файла
FirewallRules: [UDP Query User{A265569D-D40F-4D0F-A3DB-F27B3FCCC425}C:\programdata\ableton\live 12 suite\program\ableton live 12 suite.exe] => (Allow) C:\programdata\ableton\live 12 suite\program\ableton live 12 suite.exe => Нет файла
FirewallRules: [TCP Query User{96177000-63E4-4FB3-9EFD-8EEEA3ED20DA}C:\programdata\ableton\live 12 suite\program\ableton live 12 suite.exe] => (Allow) C:\programdata\ableton\live 12 suite\program\ableton live 12 suite.exe => Нет файла
FirewallRules: [{B04FF2DE-A765-4DE9-8676-6E41FF6E8FC5}] => (Allow) C:\Program Files (x86)\Iriun Webcam\IriunWebcam.exe => Нет файла
FirewallRules: [UDP Query User{23E64ADE-CB9B-432F-A4F8-B3452E5B24DC}C:\program files\ua connect\resources\native\windows\x64\uacloudhelper.exe] => (Allow) C:\program files\ua connect\resources\native\windows\x64\uacloudhelper.exe => Нет файла
FirewallRules: [TCP Query User{A27A469F-8687-4D27-AF71-AD29FC57C0E9}C:\program files\ua connect\resources\native\windows\x64\uacloudhelper.exe] => (Allow) C:\program files\ua connect\resources\native\windows\x64\uacloudhelper.exe => Нет файла
FirewallRules: [UDP Query User{77C9B827-F69A-4E65-8E9A-90F1BDFCE8B3}C:\program files (x86)\steam\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [TCP Query User{BFCB362E-C095-4DA7-9BC6-224B332A9772}C:\program files (x86)\steam\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe] => (Allow) C:\program files (x86)\steam\steamapps\common\dota 2 beta\game\bin\win64\dota2.exe => Нет файла
FirewallRules: [{836FECED-E444-4A78-B83E-B4DA98896872}] => (Allow) D:\SteamLibrary\steamapps\common\PANELKI\PanelkiProject\Binaries\Win64\PanelkiProject-Win64-Shipping.exe => Нет файла
FirewallRules: [{9C2FE5BC-BE34-4FE6-8B8C-E4A4ADC7D7AD}] => (Allow) D:\SteamLibrary\steamapps\common\PANELKI\PanelkiProject\Binaries\Win64\PanelkiProject-Win64-Shipping.exe => Нет файла
FirewallRules: [{A17E96FE-D85C-4E50-99A8-B894F2F00F71}] => (Allow) C:\Program Files\BlueStacks_nxt\BlueStacksAppplayerWeb.exe => Нет файла
FirewallRules: [{A4058098-4D00-4DC7-ACD7-61A4EB0F5C24}] => (Allow) C:\Program Files\BlueStacks_nxt\HD-Player.exe => Нет файла
FirewallRules: [{67335CDB-E616-4614-93C2-023DD9878CB2}] => (Allow) C:\Program Files (x86)\BlueStacks X\Cloud Game.exe => Нет файла
FirewallRules: [{739B83A2-B1D3-4189-A69B-D13409C0C5FC}] => (Allow) C:\Program Files (x86)\BlueStacks X\BlueStacksWeb.exe => Нет файла
FirewallRules: [{0C4A1E03-1B03-4219-9FC7-68659C89AA16}] => (Allow) LPort=3389
FirewallRules: [UDP Query User{EABD79C7-F306-40CC-9037-B0368F5E6322}C:\program files (x86)\planetvpn\bin\xray\xray.exe] => (Allow) C:\program files (x86)\planetvpn\bin\xray\xray.exe => Нет файла
FirewallRules: [TCP Query User{EFF0BECE-623C-45D5-A2B1-5B88FA74DDBE}C:\program files (x86)\planetvpn\bin\xray\xray.exe] => (Allow) C:\program files (x86)\planetvpn\bin\xray\xray.exe => Нет файла
FirewallRules: [{A04D87FA-2D38-44A6-8458-A4B7D321F13E}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{9587D967-1E8F-442F-B655-7529C06E1AD9}] => (Allow) C:\Program Files (x86)\Steam\bin\cef\cef.win7x64\steamwebhelper.exe => Нет файла
FirewallRules: [{84CAD46B-E84E-4508-8F01-1487C45153B8}] => (Allow) C:\Users\kiril\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{D9D93229-071B-4A4A-AE2D-A65E1616EE46}] => (Allow) C:\Users\kiril\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{DD977C44-F6BC-41E7-B82B-0FC06C4659FE}] => (Allow) C:\Users\kiril\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{067B3396-6E29-4263-82EB-75CF5BFCFE4D}] => (Allow) C:\Users\kiril\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{D627FEE8-292E-4EA4-9FAB-F8B4BD2B675F}] => (Allow) C:\Users\kiril\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{6FC664C9-96A0-4626-BBCA-A2ACCAA3F9CA}] => (Allow) C:\Users\kiril\Downloads\AnyDesk.exe => Нет файла
FirewallRules: [{7960A030-9FB3-48DD-96CC-F3F491099F67}] => (Allow) LPort=80
FirewallRules: [{55F29D5C-9322-4567-880D-9734E2176B88}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{E7CF04AF-696B-4343-9E63-37C0A39534D8}] => (Allow) C:\Program Files (x86)\360\Total Security\360TsLiveUpd.exe => Нет файла
FirewallRules: [{289E1C99-9E32-4E19-A645-0E2A861C7D33}] => (Allow) LPort=32683
FirewallRules: [{65E56141-462C-4B6F-A2AA-39B1D1BA51F0}] => (Allow) LPort=33683
FirewallRules: [{436930B4-F941-4BAB-B6BC-3C2961810D87}] => (Allow) LPort=26822
EmptyTemp:
Reboot:
End::
  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.
 
сделал все как вы написали, при сканировании майнер серчем, все равно пишет что dllhost - угроза, лог с майнерсерча
 

Вложения

А в логах ничего военного не видно. Возможно ложное срабатывание утилиты. Стоит уточнить в чате у разработчика. Ну и Fixlog.txt посмотреть бы.
 
akok написал(а):
А в логах ничего военного не видно. Возможно ложное срабатывание утилиты. Стоит уточнить в чате у разработчика. Ну и Fixlog.txt посмотреть бы.
Нажмите для раскрытия...
до того как я наткнулся на вирусняк, таких ложных срабатываний не было, да и PID не менялся бы постоянно
 

Вложения

Последнее редактирование:
вот подробный лог, связался с разработчиком майнерсерч, пытались найти проблему, в логе ничего такого нету
 

Вложения

d9term1ned написал(а):
пишет что dllhost - угроза
Нажмите для раскрытия...
Кто пишет, Защитник Windows? Покажите скриншот.

Дополнительно:
Скачайте Microsoft Safety Scanner, запустите.

В разделе Scan Options выберите FULL scan.

Наберитесь терпения, сканирование может занять несколько часов (зависит от количества файлов и скорости системы). Дождитесь окончания.
Найдите отчёт с именем MSERT.log в этой папке C:\Windows\debug\msert.log

Прикрепите его к следующему сообщению.
 
  • Like
Реакции: akok
связался с разработчиком MinerSearch, вместе нашли зловреда, который впивался в explorer. Помощь не требуется, всем спасибо!
 
Отлично, удачи!
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху Снизу