Имя пользователя:
Пароль:
 | Правила  

Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] taskhost.exe

Ответить
Настройки темы
[решено] taskhost.exe

Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt info.txt
(44.2 Kb, 14 просмотров)
Тип файла: txt log.txt
(30.3 Kb, 14 просмотров)
Приветствую. Вчера "поймал" taskhost.exe вследствии чего обращаюсь к Вам за помощью. Сделал необходимые опереции для получения логов перед созданием темы. Возможно что-то получилось неправильно т.к. пролистав логи замечал различные ошибки. Заранее благодарен.

Отправлено: 14:55, 17-10-2012

 

Аватара для alex_sev

Ветеран


Консультант


Сообщения: 1544
Благодарности: 489

Профиль | Отправить PM | Цитировать


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код: Выделить весь код
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Администратор\0.6400479282573084.exe','');
 QuarantineFile('C:\Program Files (x86)\GUM539D.tmp','');
 QuarantineFile('C:\Program Files (x86)\GUT539E.tmp','');
 DeleteFile('C:\Program Files (x86)\GUM539D.tmp');
 DeleteFile('C:\Program Files (x86)\GUT539E.tmp');
 DeleteFile('C:\Users\Администратор\0.6400479282573084.exe');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1804', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
ExecuteSysClean;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код: Выделить весь код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код: Выделить весь код
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве

-------
Лечение через PM не провожу.

Это сообщение посчитали полезным следующие участники:

Отправлено: 15:10, 17-10-2012 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt mbam-log-2012-10-17 (16-16-39).txt
(4.2 Kb, 13 просмотров)

1. quarantine.zip по форме отправил.
2. MBAM лог прикрепил.

Отправлено: 16:18, 17-10-2012 | #3


Ветеран


Консультант


Сообщения: 1514
Благодарности: 413

Профиль | Отправить PM | Цитировать


Удалите в MBAM только

Код: Выделить весь код
Обнаруженные ключи в реестре:  3
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{7AE8CE5B-53AE-4824-84EF-800A0EC46BB8} (Trojan.Agent) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7AE8CE5B-53AE-4824-84EF-800A0EC46BB8} (Trojan.Agent) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0FC295D4-DC13-4F8F-8634-6283EB3DC86F} (Adware.K.SmartFind) -> 
C:\Users\Администратор\AppData\Roaming\Microsoft\taskhost.exe (Trojan.Agent) -> Действие не было предпринято.
C:\Program Files (x86)\sponsorkeyword - сами ставили ? если нет деинсталируйте.

Сделайте новый лог сканирования MBAM.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 16:23, 17-10-2012 | #4


Аватара для alex_sev

Ветеран


Консультант


Сообщения: 1544
Благодарности: 489

Профиль | Отправить PM | Цитировать


Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.

Выполните скрипт в АВЗ (Файл - Выполнить скрипт):

Код: Выделить весь код
begin
ExecuteAVUpdate;
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.'+#13#10+'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 QuarantineFile('C:\Users\Администратор\AppData\Roaming\Microsoft\taskhost.exe','');
 DeleteFile('C:\Users\Администратор\AppData\Roaming\Microsoft\taskhost.exe');
ExecuteSysClean;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки, выполните такой скрипт:

Код: Выделить весь код
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Полученный архив quarantine.zip из папки с распакованной утилитой AVZ отправьте с помощью этой формы или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.

Повторите сканирование в MBAM если файл:

Код: Выделить весь код
C:\Users\Администратор\AppData\Roaming\Microsoft\taskhost.exe
будет найден - удалите его.
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS

-------
Лечение через PM не провожу.

Это сообщение посчитали полезным следующие участники:

Отправлено: 16:23, 17-10-2012 | #5


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: rar USER-ПК_2012-10-17_17-46-48.rar
(511.5 Kb, 12 просмотров)
Тип файла: txt mbam-log-2012-10-17 (17-45-17).txt
(2.7 Kb, 11 просмотров)

1. Удалил всё необходимое по просьбе regist.
2. Отправил новый quarantine.zip по форме.
3. При повторном сканировании MBAM taskhost.exe не обнаружен.
4. Прикрепил новый лог MBAM и UVS.

Отправлено: 18:35, 17-10-2012 | #6


Ветеран


Консультант


Сообщения: 1514
Благодарности: 413

Профиль | Отправить PM | Цитировать


прокси 78.85.35.222:6588 сами прописывали ?

Выполните скрипт в uVS

Код: Выделить весь код
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref HTTP://BROWSERHELP2.RU
restart
компьютер перезагрузится, что с проблемой ?
  • Загрузите SecurityCheck by screen317 отсюда или отсюда и сохраните утилиту на Рабочем столе
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7)
  • Когда увидите консоль, нажмите любую клавишу для продолжения сканирования
  • Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу.
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем checkup.txt;
  • Прикрепите файл к следующему сообщению.
Подробнее читайте в руководстве.

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 21:02, 17-10-2012 | #7


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


Вложения
Тип файла: txt checkup.txt
(1.1 Kb, 10 просмотров)

Прокси не прописывал.
После выполнения скрипта в uVS - Opera открывается нормально с экспресс-панели (как обычно), до этого откывались speed2.ru и browserhelp2.ru, но после их закрытия ничего не беспокоило (браузер работал в норме). С системой вроде бы всё нормально. При поиске проблемы с taskhost.exe неоднократно видел что у людей происходит загрузка цп или оперативной памяти, но я такого не заметил. Возможно всё работает нормально из-за большого колличества оперативной памати и хорошего процессора?

Последний раз редактировалось KnowUs, 17-10-2012 в 23:05.


Отправлено: 22:58, 17-10-2012 | #8


Ветеран


Консультант


Сообщения: 1514
Благодарности: 413

Профиль | Отправить PM | Цитировать


Выполните ещё такой скрипт

Код: Выделить весь код
;uVS v3.76 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref 78.85.35.222:6588
Обновите Internet Explorer,
Microsoft Security Essentials Antivirus up to date!
Sun Java устарела. Деинсталлируйте старую версию и установите новую

-------

Это сообщение посчитали полезным следующие участники:

Отправлено: 23:28, 17-10-2012 | #9


Новый участник


Сообщения: 5
Благодарности: 0

Профиль | Отправить PM | Цитировать


alex_sev и regist большое спасибо за помощь. Все проблемы решены.

Отправлено: 07:09, 18-10-2012 | #10



Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » [решено] taskhost.exe

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Разное - Постоянная загрузка процессора приложением taskhost.exe никола Microsoft Windows 7 7 26-12-2014 10:36
Taskhost.exe грузит систему, не работает Opera Agentsmith216 Лечение систем от вредоносных программ 1 19-09-2012 21:55
[решено] taskhost.exe avelor Лечение систем от вредоносных программ 5 19-08-2012 14:50
[решено] taskhost.exe Kirill0894 Лечение систем от вредоносных программ 19 20-07-2012 16:20
[решено] taskhost.exe модифицированный win32 terehov1993 Лечение систем от вредоносных программ 12 06-07-2012 10:46




 
Переход