Форум программистов, компьютерный форум, киберфорум
Наши страницы
Лечение компьютерных вирусов
Войти
Регистрация
Восстановить пароль
 
Рейтинг 4.70/10: Рейтинг темы: голосов - 10, средняя оценка - 4.70
maxaaaaa
0 / 0 / 0
Регистрация: 20.10.2012
Сообщений: 42
1

taskhost.exe

12.06.2013, 11:36. Просмотров 1906. Ответов 11
Метки нет (Все метки)

Здравствуйте! При сканировании компьютера антивирусом Eset Smart Security 5 он выдает сообщение: Оперативная память = taskhost.exe(2520) - модифицированный Win32/Spy.Zbot.ZR троянская программа - очистка невозможна.
При самом запуске компьютера возникают левые процессы типа 3fc60.exe и их запускается очень очень много. Из-за этого начинает жутко тормозить компьютер и браузеры.... Помогите пожалуйста справиться с этой проблемой.
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (29.6 Кб, 10 просмотров)
Тип файла: zip virusinfo_syscure.zip (30.2 Кб, 2 просмотров)
Тип файла: rar log.rar (28.7 Кб, 4 просмотров)
Надоела реклама? Зарегистрируйтесь и она исчезнет полностью.
Similar
Эксперт
41792 / 34177 / 6122
Регистрация: 12.04.2006
Сообщений: 57,940
12.06.2013, 11:36
Ответы с готовыми решениями:

taskhost.exe
Здравствуйте! Вчера NOD32 обнаружил вирус по пути:...

Taskhost.exe
Помогите пожалуйста.Недавно обнаружил у себя на вирус taskhost.exe.Как от него...

taskhost.exe
День добрый, вернее ночи доброй. словила taskhost.exe не знаю что с ним делать....

taskhost.exe
Сегодня утром Eset обнаружил троянскую программу по пути:...

taskhost.exe speed2
Пропадает соединение с сайтами в браузерах, начальная страница везде speed2. В...

11
Sandor
Вирусоборец
13007 / 11260 / 1725
Регистрация: 08.10.2012
Сообщений: 45,494
12.06.2013, 12:32 2
Внимание! Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе!!! Если у вас похожая проблема - создайте тему в разделе Лечение компьютерных вирусов и выполните Правила запроса о помощи.
____________________________________________
Пофиксите в HijackThis следующие строчки:
Код
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www2.delta-search.com/?affID=119776&babsrc=HP_ss&mntrId=E42500FF4479D842
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O3 - Toolbar: facemoods Toolbar - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Program Files\facemoods.com\facemoods\1.4.17.5\facemoodsTlbr.dll
O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.23.10\BabylonToolbarTlbr.dll (file missing)
O4 - HKLM\..\Run: [facemoods] "C:\Program Files\facemoods.com\facemoods\1.4.17.5\facemoodssrv.exe" /md I
O4 - HKCU\..\Run: [{801B59D1-A0A9-5295-8AF5-6DDCE893D6E1}] C:\Users\Мария\AppData\Roaming\Iqesez\yhuht.exe
O4 - HKCU\..\Run: [{F5F848B5-8779-F372-180D-A852A62C936C}] C:\Users\Мария\AppData\Roaming\Asnuib\amveril.exe
Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):
Код
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64
   then
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
    end;
 QuarantineFile('C:\Users\Мария\AppData\Local\Temp\3fe60.exe','');
 QuarantineFile('C:\Users\Мария\AppData\Local\Temp\3fc0f.exe','');
 QuarantineFile('C:\Users\Мария\AppData\Roaming\Iqesez\yhuht.exe','');
 QuarantineFile('C:\Users\Мария\AppData\Roaming\Asnuib\amveril.exe','');
 QuarantineFile('C:\Users\Мария\AppData\Roaming\25DE2F\25DE2F.exe','');
 QuarantineFile('C:\Users\Мария\appdata\roaming\java\update\download\cache\csrss.exe','');
 QuarantineFileF('C:\Users\Мария\AppData\Roaming\Iqesez','*', true,'',0 ,0);
 QuarantineFileF('C:\Users\Мария\AppData\Roaming\Asnuib','*', true,'',0 ,0);
 QuarantineFileF('C:\Users\Мария\AppData\Roaming\25DE2F','*', true,'',0 ,0);
 QuarantineFile('C:\Windows\system32\BCGCBPRO94080.dll','');
 DeleteFile('C:\Users\Мария\AppData\Local\Temp\3fe60.exe');
 DeleteFile('C:\Users\Мария\AppData\Local\Temp\3fc0f.exe');
 DeleteFile('C:\Users\Мария\appdata\roaming\java\update\download\cache\csrss.exe');
 DeleteFile('C:\Users\Мария\AppData\Roaming\25DE2F\25DE2F.exe');
 DeleteFile('C:\Users\Мария\AppData\Roaming\Asnuib\amveril.exe');
 DeleteFile('C:\Users\Мария\AppData\Roaming\Iqesez\yhuht.exe');
 DeleteFile('C:\Windows\Tasks\edpmr.job');
 DeleteFile('C:\Windows\Tasks\jwvntzg0.job');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','MozillaPlugins');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{F5F848B5-8779-F372-180D-A852A62C936C}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{801B59D1-A0A9-5295-8AF5-6DDCE893D6E1}');
 DeleteFileMask('C:\Users\Мария\AppData\Roaming\Iqesez', '*.*', true);
 DeleteFileMask('C:\Users\Мария\AppData\Roaming\25DE2F', '*.*', true);
 DeleteFileMask('C:\Users\Мария\AppData\Roaming\Oww', '*.*', true);
 DeleteFileMask('C:\Users\Мария\AppData\Roaming\Asnuib', '*.*', true);
 DeleteFileMask('C:\Users\Мария\AppData\Roaming\tor', '*.*', true);
 DeleteFileMask('C:\Users\Мария\AppData\Roaming\Opawmi', '*.*', true);
 DeleteDirectory('C:\Users\Мария\AppData\Roaming\Iqesez');
 DeleteDirectory('C:\Users\Мария\AppData\Roaming\25DE2F');
 DeleteDirectory('C:\Users\Мария\AppData\Roaming\Oww');
 DeleteDirectory('C:\Users\Мария\AppData\Roaming\Asnuib');
 DeleteDirectory('C:\Users\Мария\AppData\Roaming\tor');
 DeleteDirectory('C:\Users\Мария\AppData\Roaming\Opawmi');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 ExecuteWizard('SCU',2,3,true);
 RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:
Код
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите логи AVZ (стандартный скрипт 2) и RSIT.

Покажите лог сканирования Malwarebytes' Anti-Malware.

Тулбары Babylon toolbar и facemoods вы сами устанавливали?
Попробуйте их деинсталлировать через Установку/удаление программ, т.к. они являются потенциально нежелательным ПО.
2
maxaaaaa
0 / 0 / 0
Регистрация: 20.10.2012
Сообщений: 42
12.06.2013, 17:13  [ТС] 3
Babylon toolbar возможно был установлен с какой-нибудь программой по умолчанию.... а facemoods вроде бы как программа отвечающая за веб камеру и установлена она была по умолчанию при покупке ноутбука. Malware сканирует уже 4 час.... пока что не могу его лог скинуть
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (29.2 Кб, 2 просмотров)
Тип файла: rar log.rar (21.2 Кб, 2 просмотров)
maxaaaaa
0 / 0 / 0
Регистрация: 20.10.2012
Сообщений: 42
13.06.2013, 11:15  [ТС] 4
Лог сканирования Malwarebytes' Anti-Malware.
0
Вложения
Тип файла: txt mbam-log-2013-06-12 (12-16-31).txt (4.6 Кб, 4 просмотров)
S.R
Консультант
Вирусоборец
368 / 138 / 3
Регистрация: 09.11.2011
Сообщений: 409
13.06.2013, 11:28 5
Обязательно смените все пароли от интернет-сайтов.
Babylon toolbar удалите через Панель управления - Прогаммы и компоненты. Facemoods, если уже пофиксили её записи в HiJackThis, придётся переустановить.
________________________________________
На время выполнения скриптов/сбора логов отключайте антивирусы и сетевые экраны!

Выполните скрипт в AVZ (меню Файл\Выполнить скрипт):
Внимание! После выполнения скрипта компьютер перезагрузится.
Код
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64 then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 QuarantineFile('C:\Users\Мария\AppData\Roaming\eType\eType.exe','');
 QuarantineFile('C:\Users\Мария\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe','');
 QuarantineFile('C:\Users\Мария\AppData\Roaming\Microsoft\Internet Explorer\checkdisku.exe','');
 QuarantineFileF('C:\Users\Мария\AppData\Roaming\tor', '*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Мария\AppData\Roaming\Opawmi', '*', true, '', 0, 0);
 DeleteFile('C:\Users\Мария\AppData\Roaming\Microsoft\Internet Explorer\checkdisku.exe');
 DeleteFile('C:\Users\Мария\AppData\Roaming\Java\Update\Download\Cache\jsheded.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','autoscan');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Java Auto Update');
 DeleteFileMask('C:\Users\Мария\AppData\Roaming\tor', '*', true);
 DeleteFileMask('C:\Users\Мария\AppData\Roaming\Opawmi', '*', true);
 DeleteDirectory('C:\Users\Мария\AppData\Roaming\tor');
 DeleteDirectory('C:\Users\Мария\AppData\Roaming\Opawmi');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки компьютера выполните следующий скрипт в AVZ:
Код
begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отправьте через веб-форму.
Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT.


Файл C:\Windows\System32\sysprep\NETPLWIZ.dll необходимо восстановить из карантина MBAM. Затем проверьте его на virustotal.com, ссылку на результат сканирования напишите здесь.
В следующий раз, пожалуйста, не удаляйте ничего самостоятельно.
2
maxaaaaa
0 / 0 / 0
Регистрация: 20.10.2012
Сообщений: 42
13.06.2013, 11:38  [ТС] 6
Babylon toolbar в Прогаммы и компоненты у меня не отображается...
0
maxaaaaa
0 / 0 / 0
Регистрация: 20.10.2012
Сообщений: 42
13.06.2013, 13:09  [ТС] 7
ссылка сканирования C:\Windows\System32\sysprep\NETPLWIZ.dll :

https://www.virustotal.com/ru/file/c...is/1371114379/
0
Вложения
Тип файла: rar log.rar (21.0 Кб, 1 просмотров)
Тип файла: zip virusinfo_syscheck.zip (29.9 Кб, 1 просмотров)
S.R
Консультант
Вирусоборец
368 / 138 / 3
Регистрация: 09.11.2011
Сообщений: 409
13.06.2013, 13:49 8
Произошло повторное заражение.. Давайте обновим уязвимое ПО:
Обновите Adobe Reader.
Обновите Adobe Flash Player.
Обновите Java SE.
Обновите все установленные браузеры и антивирусы.
Установите Service Pack 1, Internet Explorer 10 и все остальные обновления через Центр обновления Windows.

После этого:
________________________________________
На время выполнения скриптов/сбора логов отключайте антивирусы и сетевые экраны!

Выполните скрипт в AVZ (меню Файл\Выполнить скрипт):
Внимание! После выполнения скрипта компьютер перезагрузится.
Код
begin
 ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
  if not IsWOW64 then
   begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(true);
   end;
 QuarantineFile('C:\Windows\Tasks\443vdn.job','');
 QuarantineFile('C:\Users\Мария\AppData\Local\Temp\3fbb1.exe','');
 QuarantineFile('C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.23.10\bh\BabylonToolbar.dll','');
 QuarantineFile('C:\Users\Мария\AppData\Roaming\Heib\cyca.exe','');
 QuarantineFileF('C:\Users\Мария\AppData\Roaming\Heib', '*', true, '', 0, 0);
 QuarantineFileF('C:\Program Files\arhivd', '*', true, '', 0, 0);
 QuarantineFileF('C:\Users\Мария\AppData\Roaming\Cyiq', '*', true, '', 0, 0);
 DeleteFile('C:\Users\Мария\AppData\Roaming\Heib\cyca.exe');
 DeleteFile('C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.23.10\bh\BabylonToolbar.dll');
 DeleteFile('C:\Windows\Tasks\443vdn.job');
 DeleteFile('C:\Users\Мария\AppData\Local\Temp\3fbb1.exe');
 DelBHO('{2EECD738-5844-4a99-B4B6-146BF802613B}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{DC55AE8C-BF58-09B2-C23F-A5D483A54512}');
 DeleteFileMask('C:\Users\Мария\AppData\Roaming\Heib', '*', true);
 DeleteFileMask('C:\Program Files\arhivd', '*', true);
 DeleteFileMask('C:\Users\Мария\AppData\Roaming\Cyiq', '*', true);
 DeleteDirectory('C:\Users\Мария\AppData\Roaming\Heib');
 DeleteDirectory('C:\Program Files\arhivd');
 DeleteDirectory('C:\Users\Мария\AppData\Roaming\Cyiq');
end.
После перезагрузки компьютера выполните следующий скрипт в AVZ:
Код
begin
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
end.
Архив quarantine.zip из папки с AVZ отправьте через веб-форму.
Обновите базы AVZ (меню Файл\Обновление баз) и сделайте новые логи AVZ и RSIT.
1
maxaaaaa
0 / 0 / 0
Регистрация: 20.10.2012
Сообщений: 42
13.06.2013, 16:29  [ТС] 9
Вот что получилось.. Правда у меня не получилось обновить explorer.. установочный не хотел открываться, а все остальное вроде как обновила
0
Вложения
Тип файла: zip virusinfo_syscheck.zip (31.6 Кб, 1 просмотров)
Тип файла: rar log.rar (21.0 Кб, 1 просмотров)
S.R
Консультант
Вирусоборец
368 / 138 / 3
Регистрация: 09.11.2011
Сообщений: 409
13.06.2013, 17:55 10
По логам всё значительно лучше.
Как самочувствие системы?
1
maxaaaaa
0 / 0 / 0
Регистрация: 20.10.2012
Сообщений: 42
13.06.2013, 18:09  [ТС] 11
Система не виснет, загружается нормально, левых процессов не создает. Ошибок тоже никаких еще не вылетало, видимо все получилось. Спасибо большое)
0
S.R
Консультант
Вирусоборец
368 / 138 / 3
Регистрация: 09.11.2011
Сообщений: 409
13.06.2013, 18:14 12
Ознакомьтесь с рекомендациями.

Удачи на просторах Интернета
1
13.06.2013, 18:14
MoreAnswers
Эксперт
37091 / 29110 / 5898
Регистрация: 17.06.2006
Сообщений: 43,301
13.06.2013, 18:14

Вирус taskhost.exe
Здравствуйте, обнаружил вирус taskhost.exe, в браузере куда не нажму, постоянно...

вирус taskhost.exe
Добрый день Вчера внезапно комп перезагрузился и после нод32 в памяти...

Вирус taskhost.exe
Доброго времени суток.Вчера обнаружил у себя вирус taskhost.exe.Оказывается был...


Искать еще темы с ответами

Или воспользуйтесь поиском по форуму:
12
Ответ Создать тему
Опции темы

КиберФорум - форум программистов, компьютерный форум, программирование
Powered by vBulletin® Version 3.8.9
Copyright ©2000 - 2018, vBulletin Solutions, Inc.
Рейтинг@Mail.ru