Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Оперативная память taskhost.exe(1912)

1
RSS
 
Елена С.
Елена С.
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 12.06.2013
Размещено 12.06.2013 16:07:15
Здравствуйте. К сожалению у меня обнаружилось то же, что обсуждалось здесь

http://forum.esetnod32.ru/forum6/topic4972/?PAGEN_1=2

Только другой номер
Сообщение такое
"Оперативная память=taskhost.exe(1912)-модифицированный Win32/SpyEye.CA троянская программа - очистка невозможна"

Помогите, пожалуйста, что делать?
 
Елена С.
Елена С.
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 12.06.2013
Размещено 12.06.2013 16:42:38
Сделала лог из программы uVS
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.06.2013 16:49:15
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
Код
;uVS v3.80.2 script [http://dsrt.dyndns.org]
;Target OS: NTv6.1
OFFSGNSAVE
zoo %SystemDrive%\USERS\HOME\APPDATA\ROAMING\DSITE\UPDATEPROC\UPDATETASK.EXE
addsgn A7679B19919AF4663F95AE5978DFEDFA4F8A945ABBBB1F10DDF084BC385A420D23AE73637F5527AD1FC18427BA2208FA9558688DAA32F229D288A42F38F9DD8C 8 Adware.Downware.1195 [DrWeb]
zoo %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.11\FACEMOODSTLBR.DLL
addsgn 98E01FDA8F6B5C9A68D7AEB15708528C606E778385C9E04372B6C9856D1A484E331847E43E559DC0567CBF6F3213CA047FAAD9D3EDBEB23C16B0D02338733225 64 facemood.dll
zoo %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.11\BH\FACEMOODS.DLL
addsgn 98E01F0229685C9A0BD7AEB15708528C606E778385C9E04372B6C9856D7A814E331847E43E559DC0567CBF6F3213CA047FAAD9D3CDC1B33C16B0D02338733225 64 facemood.dll.bho
zoo %SystemDrive%\PROGRAM FILES\FACEMOODS.COM\FACEMOODS\1.4.17.11\FACEMOODSSRV.EXE
addsgn 988C1F523E294C9A82DFAEB1DB5C120525013B1EB403E0870CA62D37A45F4F1ADC02C3157D5516073B0989E75F5249713BDB4BF64C9EB0A77B7F2D3A4F1F6673 8 facemood
addsgn 1A5C509A5583348CF42B254E3143FE84C9A2FFF689599787C1C34CB1D429354CAA0243A87A551454577FC09FCF23310539DF614F2125F42C4BFBB18F38422215 8 Trojan:Win32/EyeStye.N [Microsoft]
zoo %SystemDrive%\SYSTEMHOST\24FC2AE3DDB.EXE
delall %SystemDrive%\SYSTEMHOST\24FC2AE3DDB.EXE
delall %SystemDrive%\USERS\HOME\APPDATA\ROAMING\DSITE\UPDATEPROC\UPDATETASK.EXE
delref %SystemDrive%\MORF\DOTA.EXE
delref HTTP://WEBALTA.RU/SEARCH
delall %SystemDrive%\USERS\HOME\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
delall %SystemDrive%\USERS\HOME\APPDATA\ROAMING\FUNMOODS\UPDATEPROC\UPDATETASK.EXE
delall %SystemDrive%\USERS\HOME\APPDATA\ROAMING\DEALPLY\UPDATE~1\UPDATE~1.EXE
exec C:\Program Files\DealPly\uninst.exe
exec C:\Program Files\facemoods.com\facemoods\1.4.17.11\uninstall.exe
exec C:\Program Files\McAfee Security Scan\uninstall.exe
exec C:\Program Files\StartNow Toolbar\StartNowToolbarUninstall.exe
delall %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER.EXE
delref %SystemDrive%\PROGRAMDATA\VKSAVER\VKSAVER3.DLL
deltmp
delnfr
delall %SystemDrive%\PROGRAM FILES\DEALPLY\DEALPLYIE.DLL
chklst
delvir
czoo
restart

перезагрузка, пишем о старых и новых проблемах.
архив из каталога uVS (по формату: ZOO_2012-12-31_23-59-59.rar/7z) отправить в почту [email protected], [email protected]
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
Изменено: santy - 12.06.2013 16:50:06
[ Как создать образ автозапуска? ]
 
Елена С.
Елена С.
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 12.06.2013
Размещено 12.06.2013 18:00:32
Спасибо, сделала, надеюсь, что получилось. По крайней мере повторное сканирование вроде бы не обнаружило вирусов в опер. памяти.
В том файле, который вам отправила, может быть, не все программы отражены, т.к. сначала пропустила несколько деинсталляций (не поняла сначала, что их обязательно нужно сделать), а затем запускала скрипт еще раз, и тогда уже и пропущенные деинсталлировала.

Подозрения на вирус начались с того, что перестал нормально работать браузер Google Chrome. Сейчас он деинсталлирован. Попробую еще раз установить, может быть, теперь нормально будет .
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 12.06.2013 18:03:08
сделайте это

Цитата
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic682/
[ Как создать образ автозапуска? ]
 
Елена С.
Елена С.
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 12.06.2013
Размещено 13.06.2013 15:08:35
Спасибо, сделала.

Там предлагались к удалению некоторые файлы, и какие-то сразу удалила.
Но вот такие как "рег. ключ Майкрософт" разве нужно удалять - это не связано с регистрацией Windows ?

И теперь эта программа блокирует доступ к некоторым сайтам, но может это и ничего...

Вновь установленный браузер G.Ch. вроде бы работает нормально.
Изменено: Елена С. - 13.06.2013 15:09:26
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 13.06.2013 16:41:59
лучше вначале проконсультироваться с хелперами по поводу того, что можно удалить в мбам, а что оставить.
---------
деинсталлируйте теперь малваребайт

и выполните наши рекомендации
http://forum.esetnod32.ru/forum9/topic3998/
[ Как создать образ автозапуска? ]
 
1
Читают тему