-
Junior Member
- Вес репутации
- 43
Опера: открываются "левые" вкладки, taskhost.exe [Backdoor.Win32.Buterat.blnm
]
Добрый день (вечер\ночЪ).
Ситуация крайне не приятная, установлен на ноутбуку антивирус Microsoft Security Essentials, последние недели две после загрузки ОС антивирус показывает сообщение что дескать действие не требуется, работаю.
После чего просит перезагрузить систему для удаления вируса в taskhost.exe. После перезагрузки история повторяется.
Удалить сей файл вручную не могу т.к. его по месту прописки просто нет.
Я так себе необразованным умишкой подумал, что это может быть связано с неприятностью в опере, при клике по вкладке\ссылке\пустом месте рандомно открываются "левые" сайты.
Постоянно прописывает непонятные IP в hosts, после очистки через 5-10 минут, IP снова там, но уже другие..
После запуска ОС рандомно может запустится процесс wm_player.exe и в фоновом режиме "показывать" мне кино\рекламу\музыку (звук есть).
Процесс сам прописывается в автозагрузку, удалять пробовал, не помогло.
При полной проверке системы на вирусы уже установленным антивирусом: "Проблем не обнаружено" (хотя в файле журнала куча всего).
Надеюсь мой случай не безнадежен, и мне помогут излечится.
Прошу не бить за обилие текста.
Спасибо!
hijackthis.log
virusinfo_syscure.zip
virusinfo_syscheck.zip
Последний раз редактировалось ceriel; 12.09.2012 в 22:34.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) ceriel, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\user\AppData\Roaming\taskhost.exe','');
QuarantineFile('C:\windows\system32\dokan.dll','');
DeleteFile('C:\Users\user\AppData\Roaming\taskhost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteREpair(13);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
Результат загрузки
Файл сохранён как 120913_072442_virus_50518a3a9e13e.zip
Размер файла 112208
MD5 47678f73eeba2514746afc50c7f27304
Файл закачан, спасибо!
В списке таскхост появился только после повторной перезагрузки и выполнения скрипта.
Проблема с оперой все еще актуальна..
ЛогФайлы обновил
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
Последний раз редактировалось ceriel; 13.09.2012 в 12:17.
Причина: последние логи и отправка карантина.
-
-
-
Junior Member
- Вес репутации
- 43
прикрепил MBAM
mbam-log-2012-09-13 (12-41-51).txt
- - - Добавлено - - -
все еще нуждаюсь в помощи.
- - - Добавлено - - -
Сообщение от
ceriel
актуально
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 43
ComboFix
ComboFix.txt
- - - Добавлено - - -
Свежие вести с полей сражений:
Снимок.jpg
активных ссылок кроме-как для оплаты нет. ссылки на mail.ru/pay.php и ukr.net/pay.php что мне как-бы намекает что врядле чужой скрипт висит на сайте почтовика, хотя...
После скана КомбоФиксом програмно перестала работать вторая видеокарта, шаманство с драйверами не спасло=\
Последний раз редактировалось ceriel; 14.09.2012 в 09:34.
-
Провайдер Ваш?
Код:
netname: TENET
descr: TeNeT Networking Centre
descr: Odessa Ukraine
country: UA
admin-c: TNT-UA
tech-c: TNT-UA
Еще раз озвучьте проблемы, которые остались.
-
-
Junior Member
- Вес репутации
- 43
наш провайдер..
Окна в опере остались, таскхост появляется после перезагрузки.
в папке AppData\Roaming постоянно появляются "левые" exe файлы которые essentials нещадно удаляет обзывая их троянами.
new
некоторые сайты блокируются (скрин выше).
полный отказ wi-fi, часто падает lan без ошибок, просто отключается сетевая, не включается вторая видеокарта.
в системе появилась куча пустых папок, и ярлыки на уже существующие папки. удалить нельзя, прав не хватает (у администратора-то=\).
карачун этому Церителли наверное ..© Жмурки
-
Заархивируйте папку c:\programdata\dhzzkjd9mlM в zip архив с паролем virus и загрузите по ссылке Прислать запрошенный карантин вверху темы.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\user\\appdata\\roaming\\taskhost.exe - Backdoor.Win32.Buterat.blnm
-