Перейти к содержанию

Trojan Takshost.exe Помогите!


Рекомендуемые сообщения

  • Ответов 43
  • Created
  • Последний ответ

Top Posters In This Topic

  • Philionet

    22

  • regist

    19

  • Sandor

    2

  • akoK

    1

1) Переустановите Хром (удалите и поставьте заново).

 

2) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-1534767931-512757578-968526142-1001\...\Run: [AdobeBridge] => [X]
HKU\S-1-5-21-1534767931-512757578-968526142-1001\...\Winlogon: [Shell] explorer.exe, C:\WINDOWS\SysWOW64\cmd.exe /C powershell.exe -NoP -sta -NonI -W Hidden -Command Invoke-Expression((Get-ItemProperty HKCU:\\Software\Wow32Win).Value) <==== ATTENTION
ShortcutTarget: explorer.lnk -> C:\ProgramData\Adobe\SLCache\Logs\64.exe (No File)
FF HKLM\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\e10ssaffplg.xpi => not found
FF HKLM-x32\...\Firefox\Extensions: [{4ED1F68A-5463-4931-9384-8FFF5ED91D92}] - C:\Program Files (x86)\McAfee\SiteAdvisor\e10ssaffplg.xpi => not found
FF Plugin-x32: @tools.google.com/Google Update;version=3 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [No File]
FF Plugin-x32: @tools.google.com/Google Update;version=9 -> C:\Program Files (x86)\Google\Update\1.3.33.17\npGoogleUpdate3.dll [No File]
CHR DefaultSearchKeyword: Default -> go.mail.ru
CHR DefaultSuggestURL: Default -> hxxp://suggests.go.mail.ru/chrome?q={searchTerms}
CHR HKLM\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
CHR HKLM-x32\...\Chrome\Extension: [fheoggkfdfchfphceeifdbepaooicaho] - hxxp://clients2.google.com/service/update2/crx
S2 SoftwareUpdater; "C:\Users\kolxoznik\AppData\Roaming\Software Updater\SoftwareUpdater.exe" [X]
S3 mfesapsn; \??\C:\Program Files (x86)\McAfee\SiteAdvisor\x64\mfesapsn.sys [X]
2018-05-26 21:07 - 2018-05-30 16:53 - 000000812 _____ C:\Users\kolxoznik\AppData\Roaming\config.json
2018-05-26 21:07 - 2018-05-28 15:44 - 000000031 _____ C:\Users\kolxoznik\AppData\Roaming\start.cmd
2018-05-30 17:14 - 2018-02-27 23:24 - 000000000 ____D C:\WINDOWS\System32\Tasks\McAfee
2018-05-30 17:05 - 2018-05-30 17:26 - 000000004 _____ () C:\ProgramData\lock.dat
2018-05-26 21:07 - 2018-05-30 16:53 - 000000812 _____ () C:\Users\kolxoznik\AppData\Roaming\config.json
2018-02-21 20:13 - 2018-06-03 20:25 - 000000182 _____ () C:\Users\kolxoznik\AppData\Roaming\sp_data.sys
2018-05-26 21:07 - 2018-05-28 15:44 - 000000031 _____ () C:\Users\kolxoznik\AppData\Roaming\start.cmd
bl (HKLM-x32\...\{2A075BB4-E976-4278-BF3F-E5C6945D84C0}) (Version: 1.0.0 - Your Company Name) Hidden
ph (HKLM-x32\...\{185F9795-9663-4F13-9EF9-307A282ADB5A}) (Version: 1.0.0 - Your Company Name) Hidden
Task: {26EE192A-7529-449B-BFBA-4A662E683F83} - System32\Tasks\SystemSecurity\CheckUpdate => C:\Users\kolxoznik\AppData\Local\Temp\OmagarableQuest.exe [2018-06-03] (SoftEther VPN Project at University of Tsukuba, Japan.) <==== ATTENTION
Task: {434D2747-BA29-4033-A69E-3543AC20F843} - \AzureSDKService -> No File <==== ATTENTION
Task: {81689500-43EB-4388-8788-52696AA4FFED} - \Windows\Services Manager\gthread-1.9 -> No File <==== ATTENTION
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mcapexe => ""=""
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\McMPFSvc => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\mfemms => ""="Service"
EmptyTemp:
Reboot:
End::
и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

 

3) Деинсталируйте те две программы, теперь они должны быть видны в списке.

4) Сделайте свежие логи FRST.

Ссылка на комментарий
Поделиться на другие сайты

1) Откройте Блокнот (Старт =>Программы => Стандартные => Блокнот). Скопируйте в него следующий код:

Start::
CreateRestorePoint:
HKU\S-1-5-21-1534767931-512757578-968526142-1001\...\Winlogon: [Shell] explorer.exe, C:\WINDOWS\SysWOW64\cmd.exe /C powershell.exe -NoP -sta -NonI -W Hidden -Command Invoke-Expression((Get-ItemProperty HKCU:\\Software\Wow32Win).Value) <==== ATTENTION
ShortcutTarget: explorer.lnk -> C:\ProgramData\Adobe\SLCache\Logs\64.exe (No File)
CustomCLSID: HKU\S-1-5-21-1534767931-512757578-968526142-1001_Classes\CLSID\{0E270DAA-1BE6-48F2-AC49-FC88D88562FE}\InprocServer32 -> %%systemroot%%\system32\shell32.dll => No File
Task: {999D437C-EA0F-422C-A38B-2A9DD2A822C6} - \Windows\Services Manager\gthread-5.1 -> No File <==== ATTENTION
Task: {F162A5DC-1720-4EE0-AB35-5E18B8D52934} - \Microsoft\Windows\UNP\RunCampaignManager -> No File <==== ATTENTION
EmptyTemp:
Reboot:
End::

и сохраните как fixlist.txt в папку с Farbar Recovery Scan Tool. При сохранении выберите кодировку Юникод!
Отключите до перезагрузки антивирус, запустите FRST, нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
 
2) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,    

(uVS)

  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

Прикрепил! 
Слушайте , меня постоянно пытается кто-то взломать в почте к примеру. Вот сейчас домой пришел, решил в почту зайти , захожу - а меня выбило от туда, ввожу свой пароль , а он неверный, посмотрел кто заходил на почту, вижу , что заходили со Львова из Украины. Такое Ощущение , что на компьютере стоит KeyLogger какой нибудь, Можете помочь мне с этим ? Слава богу, что везде стоит привязка по номеру телефона.

Постоянно Касперский блокирует доступ к веб камере каким то процессам на компьютере , допустим к Host Process for Windows Tasks ( Путь программы C:\Windows\System32\taskhostw.exe и вот я запустил программу первую самую AutoransVTChecker , запустил процесс , потом под конец вылетела такая ошибка ( прикрепил по ссылке на imgur.com) и после пишет , что было проверено на virustotal, так и должно быть?

https://imgur.com/a/7XTERjs

 

DESKTOP-988NFI8_2018-06-04_12-08-45.7z

Ссылка на комментарий
Поделиться на другие сайты

 

 


вот я запустил программу первую самую AutoransVTChecker , запустил процесс , потом под конец вылетела такая ошибка
попробуйте снова её запустить.

+  Остатки Avast удалите https://safezone.cc:443/threads/chistka-sistemy-posle-nekorrektnogo-udalenija-antivirusa.58/

Ссылка на комментарий
Поделиться на другие сайты

Нет, все равно вылетает программа и под конец пишет

на всякий случай уточню. Запускаете правой кнопкой от имени адмистратора?

 

+

  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

     

    ;uVS v4.0.12 [http://dsrt.dyndns.org]
    ;Target OS: NTv10.0
    v400c
    BREG
    
    ;---------command-block---------
    zoo %SystemDrive%\PROGRAM FILES (X86)\KINGSOFT\WPS OFFICE\10.1.0.5644\WTOOLEX\WPSUPDATE.EXE
    zoo %SystemDrive%\USERS\KOLXOZ~1\APPDATA\LOCAL\TEMP\CHROME_BITS_7336_7432\767_ALL_STHSET.CRX3
    delall %SystemDrive%\USERS\KOLXOZ~1\APPDATA\LOCAL\TEMP\CHROME_BITS_7336_7432\767_ALL_STHSET.CRX3
    delref %SystemDrive%\USERS\KOLXOZNIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\PROFILE 1\EXTENSIONS\FHEOGGKFDFCHFPHCEEIFDBEPAOOICAHO\5.1.0.641_0\MCAFEE® WEBADVISOR
    delref %SystemDrive%\USERS\KOLXOZNIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\FHEOGGKFDFCHFPHCEEIFDBEPAOOICAHO\5.1.0.644_0\MCAFEE® WEBADVISOR
    delref %SystemDrive%\USERS\KOLXOZNIK\APPDATA\LOCAL\YANDEX\YANDEXBROWSER\USER DATA\DEFAULT\EXTENSIONS\PBDPAJCDGKNPENDPMECAFMOPKNEFAFHA\1.1.3\QUICK SEARCHER
    delref %SystemDrive%\USERS\KOLXOZNIK\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\SYSTEMTABLE\1.2_0
    delref %SystemDrive%\USERS\KOLXOZNIK\DESKTOP\SUPREME_ORDER_DESKTOP_5_0_8_RU
    delref %SystemDrive%\USERS\KOLXOZNIK\DESKTOP\SUPREME_ORDER_DESKTOP_6.5
    delref %SystemDrive%\USERS\KOLXOZNIK\DESKTOP\SUPREME_ORDER_DESKTOP_6_RU_FINAL
    delref %SystemDrive%\USERS\KOLXOZNIK\DESKTOP\SUPREME BOTS\SUPREME_ORDER_DESKTOP_6.5
    delref %SystemDrive%\USERS\KOLXOZ~1\APPDATA\LOCAL\TEMP\WCT3D22.TMP
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES\AVAST SOFTWARE\AVAST\SETUP\OVERSEER.EXE
    zoo %SystemDrive%\PROGRAMDATA\ADOBE\SLCACHE\LOGS\64.EXE
    delall %SystemDrive%\PROGRAMDATA\ADOBE\SLCACHE\LOGS\64.EXE
    delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\5.4.0\DRIVERBOOSTER.EXE
    bl F8F3E2CBA7E7F30E109AF7BFE70DF529 1023
    zoo %SystemDrive%\USERS\KOLXOZNIK\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EXPLORER.LNK
    delall %SystemDrive%\USERS\KOLXOZNIK\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\EXPLORER.LNK
    delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
    delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
    delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
    delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
    delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
    delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
    delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
    delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\ADOBE\OOBE\PDAPP\CCM\UTILITIES\NPADOBEAAMDETECT64.DLL
    delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
    delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
    delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
    apply
    deltmp
    czoo
    restart
    
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
  • После выполнения скрипта зайдите в папку, где распакована утилита uVS найдите архив, имя которого соответствует дате и времени запуска скрипта с префиксом ZOO_ (например: ZOO_2013-06-30_22-04-27.7z)

    Если архив отсутствует, то заархивруйте папку ZOO

    с паролем virus.
  • Полученный архив отправьте на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: virus в теле письма.
  • затем свежие логи FRST.
Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты

да, запускаю все от имени администратора.
Не получается запустить скрипт , пишет , что в скрипте либо ошибки, либо там нет команд uVS

Изменено пользователем Philionet
Ссылка на комментарий
Поделиться на другие сайты

 

 


Не получается запустить скрипт , пишет , что в скрипте либо ошибки, либо там нет команд uVS
при копирование с форума, что-то с кодировкой портится. Попробуйте выполнить из файла.

И на всякий случай создайте точку восстановления системы.

Ссылка на комментарий
Поделиться на другие сайты

Сделал точку и выполнил скрипт!


И можете мне пожалуйста сказать и помочь: у меня постоянно кто-то что то пытается взломать, слава богу успеваю зайти и поменять пароль? Я устал уже, второй раз почту ломают за неделю!

Addition.txt

FRST.txt

Изменено пользователем regist
убрал карантин
Ссылка на комментарий
Поделиться на другие сайты

Карантин прикреплять к сообщению запрещено. Отправьте его как вас просили.


Зайдите в Хром и удалите все неиспользуемые рассширения.

После этого проверьте проблему.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • parnishka
      От parnishka
      Вот такая проблема, при сканировании касперский обнаружил какие-то Luiminati в Media get 2 и в папке яндекса троян UDS Shelm, логи скоро сделаю
       
      А и да, компьютер виснет намертво после удаления, приложения открывает через 20 минут а при выключении через кнопку (Пуск не работает, меню не открывается) он пишет что выключается а не выключается 
    • Ivy_Sekoru
      От Ivy_Sekoru
      После включения ноутбука начала появляться сообщения от касперски по поводу обнаружения HEUR:Trojan.Multi.GenBadur.genw
      Выполняла лечение с перезагрузкой но после этого снова появляется тоже самое сообщение
    • Seraph Luteus
      От Seraph Luteus
      Доброго времени суток. Решил провести проверку системы на майнеры и прочие вирусы. Как итог, я выявил сначала такой файл trojan siggen 20 2783, после чего удалил (на что надеюсь) его через антивирусник. После сделал ещё проверки и обнаружил уже net malware.url, а его удалить не получается.  Прошу совета и помощи в решении проблемы у знатоков.
       
      По уже похожей проблеме у другого пользователя собрал нужные логи и прикреплю их. 
      PIKA_2024-11-18_15-41-59_v4.99.4v x64.7z
      FRST.txt Addition.txt AV_block_remove_2024.11.18-15.35.log
    • Aman2008
      От Aman2008
      решил в игрульки поиграть, скачал и касперский находит троян, я перезапускаю и касперский снова его находит, и снова и снова, что делать
    • Ra11lex
      От Ra11lex
      Касперский плюс нашел вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. AVT его тоже находит, лечит, но после перезагрузки он опять тут. Пробовал в безопасном режиме, AVT его уже не находит. Windows 11, с последними обновлениями. Протокол прилагается. Также логи FRST. И результаты отчета uvs. 
      Это уже мой второй ноутбук. Видимо я переносил данные и вирус перенес. Прошлая ветка и решение: 
       
      ОтчетКасперский.txt Addition.txt FRST.txt ITAN_RA_2024-10-24_23-37-40_v4.99.2v x64.7z

×
×
  • Создать...