Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] taskhost.exe (http://forum.oszone.net/showthread.php?t=240854)

avelor 18-08-2012 20:14 1972456
taskhost.exe
 
Не получается удалить вирус taskhost.exe. При работе в интернете показывает всплывающие окна, иногда выдает "соединение закрыто удаленным сервером" или перенаправляет на другие страницы.

iskander-k 18-08-2012 20:40 1972476
Временно отключите:
Антивирус/Файерволл


Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\zgbnfom.dll','');
 QuarantineFile('C:\Documents and Settings\Владелец\Application Data\txt.exe','');
 QuarantineFile('C:\WINDOWS\system32\5A.tmp','');
 QuarantineFile('C:\WINDOWS\system32\1.tmp','');
 DeleteFile('C:\WINDOWS\system32\1.tmp');
 DeleteFile('C:\WINDOWS\system32\5A.tmp');
 DeleteFile('C:\Documents and Settings\Владелец\Application Data\txt.exe');
 DeleteFile('C:\WINDOWS\system32\zgbnfom.dll');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 DeleteFileMask('C:\9vO3wAguztbDWTq', '*.*', true);
 DeleteDirectory('C:\9vO3wAguztbDWTq');
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Services\Schedule', 'Start', 2);
 RegKeyStrParamWrite('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','AutoCreateQuarantine', '"' + GetAVZDirectory + 'avz.exe' + '"' + ' Script=' + '"' + GetAVZDirectory + 'Script.txt' + '"');
 AddLineToTxtFile(GetAVZDirectory + 'Script.txt', 'begin'+#13#10+' CreateQurantineArchive(GetAVZDirectory' + ' + ' + Chr(39) + 'quarantine.zip' + Chr(39) + ');'+#13#10+' RegKeyParamDel('+Chr(39)+'HKEY_CURRENT_USER'+Chr(39) + ', ' +Chr(39)+'Software\Microsoft\Windows\CurrentVersion\Run'+Chr(39)+ ', '+Chr(39)+'AutoCreateQuarantine'+Chr(39)+');'+#13#10+' ExecuteFile('+Chr(39)+'explorer.exe'+Chr(39) + ', ' + 'GetAVZDirectory, 1, 0, false);'+#13#10+' ExitAVZ;'+#13#10+'end.');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU', 2, 3, true);
 ExecuteRepair(13);
RebootWindows(true);
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

Нужно Пофиксить в эти строки в HiJackThis.
Код:
O2 - BHO: MyCentria Internet Mate v2.0 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}
O20 - AppInit_DLLs: C:\WINDOWS\system32\zgbnfom.dll

Сделайте повторные логи AVZ + RSIT

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

avelor 19-08-2012 11:25 1972710
Не удалось пофиксить в HiJackThis следующую строку, т.к. её там нет:
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\zgbnfom.dll

regist 19-08-2012 12:38 1972745
avelor, в AVZ отключите AVZPM

почистим немного мусор, пофиксьте в HiJackThis следующие строки

Код:
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - (no file)
-------------

Выполните скрипт в AVZ при наличии доступа в интернет:

Код:
begin
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
 If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
 Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
 if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

--------------------------

смените все пароли !

что с проблемой ?

avelor 19-08-2012 14:47 1972783
После удаления опасных файлов через Malwarebytes' Anti-Malware вирус никак себя не проявляет.

iskander-k 19-08-2012 14:50 1972786
Смените все ваши пароли в интернете.


Время: 19:03.

Время: 19:03.
© OSzone.net 2001-