-
Junior Member
- Вес репутации
- 50
taskhost.exe (повторно) [Trojan.Win32.Jorik.Buterat.tlt
]
Добрый день! Повторно обращаюсь к Вам по поводу этой заразы. В прошлый раз отписывался в этой теме: http://virusinfo.info/showthread.php...light=taskhost, вирус удалили, но он опять начал беспокоить.virusinfo_syscure.zipvirusinfo_syscheck.ziphijackthis.log
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Stormy, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
then
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
end;
QuarantineFile('C:\Users\Admin\AppData\Roaming\taskhost.exe','');
QuarantineFile('C:\Users\Admin\AppData\Roaming\Wiucut\ezte.exe','');
DeleteFile('C:\Users\Admin\AppData\Roaming\Wiucut\ezte.exe');
DeleteFile('C:\Users\Admin\AppData\Roaming\taskhost.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Taskhost');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','{66333A8E-AE0A-E487-80CA-232B2043033F}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 50
-
- Сделайте лог полного сканирования МВАМ.
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
-
-
Junior Member
- Вес репутации
- 50
Проверку сделал:
mbam-log-2012-09-16 (20-27-55).txt
Во время проверки визжала авира, тоже 6 вирусов нашла, никаких действий не предпринимал.
Сейчас выполню скипт в авз из предыдущего сообщения.
- - - Добавлено - - -
И ещё: не хочет обновлять Офис 2010, говорит, что не найдена требуемая версия продукта. Он то у меня установлен, но не активирован.
-
Stormy,
1. Удалите в MBAM только
Код:
Обнаруженные папки: 1
C:\Program Files\RelevantKnowledge (PUP.Spyware.MarketScore) -> Действие не было предпринято.
Обнаруженные файлы: 5
C:\Users\Admin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\5SF5N4ON\159[1].o (Spyware.Zeus) -> Действие не было предпринято.
2. При обновлении Office, инсталлятор запрашивает файлы установки компонентов MS Office, обычно это папка MSOCache в корне системного диска! Поэтому либо скачивайте новый инсталлятор офиса активируйте и сразу обновите, либо укажите вручную путь к папке с компонентами MS Office!
-
-
Junior Member
- Вес репутации
- 50
Ага, понял, к этому шагу завтра перейду. Спасибо!
Последний раз редактировалось Stormy; 16.09.2012 в 22:17.
-
+ обязательно смените все пароли !
-
-
Junior Member
- Вес репутации
- 50
-
Код:
C:\Windows\Branding\Basebrd\ru-RU\Patch_basebrd.dll.mui.exe (Trojan.FakeAlert) -> Действие не было предпринято.
C:\Windows\ControlCenter\Distrib\RemoveWAT.exe (HackTool.Wpakill) -> Действие не было предпринято.
C:\Users\UpdatusUser\Desktop\Control Center.lnk (Rogue.ControlCenter) -> Действие не было предпринято.
Это все Ваше?
-
-
Junior Member
- Вес репутации
- 50
Ну что такое WPAkill я понимаю, а насчёт остального ничего не знаю.
-
C:\Users\UpdatusUser\Desktop\Control Center.lnk - ярлык на рабочем столе не знаете откуда?
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
Techno
C:\Users\UpdatusUser\Desktop\Control Center.lnk - ярлык на рабочем столе не знаете откуда?
По-моему это папка GodMode
-
-
-
Junior Member
- Вес репутации
- 50
Вроде ничего не беспокоит. В диспетчере задач работает два процесса taskhost, так и должно быть?
-
Сообщение от
Stormy
В диспетчере задач работает два процесса taskhost
Это нормально.
-
-
Junior Member
- Вес репутации
- 50
Ну вроде всё тогда=)
Спасибо за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\users\\admin\\appdata\\roaming\\taskhost.exe - Trojan.Win32.Jorik.Buterat.tlt
-