Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   taskhost.exe (http://forum.oszone.net/showthread.php?t=245054)

iib 19-10-2012 21:25 2008765
taskhost.exe
 
Вложений: 2
Словил taskhost.exe. грузит процессор. Nod32 поместил его в карантин, а удалить не смог. Сначала файл был в C:\Documents and Settings\Admin\Application Data\
Удалил его тупо отключив нод. После перезагрузки нод нашел его в с/windows/system32/ Скрипты выполнил, надеюсь все правильно. Заранее спасибо

thyrex 20-10-2012 00:21 2008833
Пофиксите в Hijack
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://browserhelp2.ru
Цитата:
Цитата iib
После перезагрузки нод нашел его в с/windows/system32/ »
Вирус? В каком файле?

iib 20-10-2012 13:12 2008989
1. пофиксил, этой строки больше нет.

2. сейчас у нода на карантине с/windows/system32/taskhost.exe (написано еще win32/SpyVoltar.A троянская программа)

iskander-k 20-10-2012 14:44 2009033
• Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

iib 21-10-2012 12:15 2009474
все сделал. После сканирования нод занес в карантин еше файлов 20. и все. процессор до сих пор поднимается до 90%

thyrex 21-10-2012 13:08 2009498
Лог МВАМ где?

iib 22-10-2012 21:56 2010399
Вложений: 1
вот

thyrex 23-10-2012 00:12 2010480
Выполните скрипт в AVZ
Код:
begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
if not IsWOW64
 then
  begin
  SearchRootkit(true, true);
  SetAVZGuardStatus(true);
  end;
QuarantineFile('C:\Documents and Settings\Admin\0.5819478022619758.exe', 'MBAM: Trojan.Agent');
QuarantineFile('C:\Documents and Settings\Admin\ms.exe', 'MBAM: Trojan.Agent');
DeleteFile('C:\Documents and Settings\Admin\0.5819478022619758.exe');
DeleteFile('C:\Documents and Settings\Admin\ms.exe');
DeleteFile('C:\WINDOWS\system32\drivers\etc\hоsts');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.

Выполните скрипт в AVZ
Код:
begin
CreateQurantineArchive('c:\quarantine.zip');
end.
Отправьте c:\quarantine.zip при помощи этой формы

iib 24-10-2012 11:17 2011198
все сделал

thyrex 24-10-2012 12:43 2011247
Что с проблемой?

iib 25-10-2012 09:46 2011759
Все также к сожалению

alex_sev 25-10-2012 09:54 2011766
Скачайте ComboFix здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."


Время: 00:49.

Время: 00:49.
© OSzone.net 2001-