В ноутбуке перестали нормально работать word и excel. Антивирус выдает, что обнаружил троян. Мог перелезть со стационарного компа, где куча игр, часто с вирусами. Вот логи.

Здравствуйте,

Сейчас займуся анализом логов :)

Что именно находит Avira? Лог на детект можете дать?

У вас Windows сборка?

Удалите Ask.com через Установка/Удаление программ


Проверьте файл d:\405970bb8aab6602be\wgasetup.exe на virustotal (http://www.virustotal.com/) и ссылку на результат проверки дайте в вашем следующем сообщении.

Запустите HiJackThis, проведите процедуру сканирования заново, после чего установите галочки на этих строках и нажмите кнопку Fix checked:

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - - (no file)

В доверенную зону сами добавляли

O15 - Trusted Zone: http://software.kuaiche.com


Если нет, пофиксите тоже.

Запустите AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"

begin
ExecuteRepair(1);
RebootWindows(true);
end.

Скачайте Malwarebytes' Anti-Malware (http://www.techspot.com/downloads/4716-malwarebytes-anti-malware.html) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (http://data.mbamupdates.com/tools/mbam-rules.exe).

Farger,
У вас Windows сборка? »

Windows устанавливал знакомый. Значит, наверно, сборка.
Удалите Ask.com через Установка/Удаление программ »

ask toolbar не удаляется и не переустанавливается.
роверьте файл d:\405970bb8aab6602be\wgasetup.exe на virustotal и ссылку на результат проверки дайте в вашем следующем сообщении. »

d:\405970bb8aab6602be\wgasetup.exe не обнаруживается.

Остальное пофиксила и поскриптила )
Логи Авиры и Malwarebyte вот

1. ask toolbar не удаляется и не переустанавливается. »

Какие-то ошибки во время удаления появляются?

2. d:\405970bb8aab6602be\wgasetup.exe не обнаруживается. »

Запустите AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"

begin
QuarantineFile('d:\405970bb8aab6602be\wgasetup.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив с именем quarantine.zip, отправьте полученный файл quarantine.zip из папки AVZ через данную форму (http://support.kaspersky.ru/virlab/helpdesk.html). В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Я не могу открыть ваш архив сканирования MBAM. Пожалуйста, прикрепите к вашему сообщению лог сканирования, не надо архивировать его.

4. Сделайте новые логи AVZ+HJT.

5. Теперь при повторном сканировании Avira, какие-то детекты еще появляются?

Farger,
Какие-то ошибки во время удаления появляются? »
нет, предлагает просто исправить или изменить, я нажимаю, а мастер отвечает, что ask toolbar уже установлен. Finish.
Авира ничего не нашел.

Farger, Проверьте файл d:\405970bb8aab6602be\wgasetup.exe на virustotal и ссылку на результат проверки дайте в вашем следующем сообщении. »

Вредоносный код в файле не обнаружен.

Вы скрипты все выполняли?

1. Удалите в Malwarebytes (запустите сканирование еще раз, после этого удалите)
Заражённые файлы:
c:\WINDOWS\system32\secushr.dat (Malware.Trace) -> No action taken.


2. Запустите AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"

begin
ExecuteRepair(1);
RebootWindows(true);
end.

3. Найти этот файл можете: C:\Program Files\TRADOS\T7_FL\TT\WordLang.exe

Если да, проверьте на virustotal (http://www.virustotal.com/)

4. Как удалить панель инструментов Ask.com

Как удалить Панель инструментов?
Панель инструментов можно с легкостью удалить, следуя нижеуказанным инструкциям для операционной системы Windows XP.
- Закройте все открытые веб-браузеры
- В меню «Пуск» в Windows выберите пункт «Панель управления»
- Выберите «Установка и удаление программ»
- Выберите программу с логотипом Ask и подписью «Панель инструментов Ask» (или с подписью нашей партнерской торговой марки для настраиваемой Панели инструментов)
- Щелкните «Изменить/Удалить»

Найти этот файл можете: C:\Program Files\TRADOS\T7_FL\TT\WordLang.exe
Если да, проверьте на virustotal »

http://www.virustotal.com/file-scan/report.html?id=406a75509a5ee7401ea5762ac9313ccde849cd6f98a79a4dd42db3db486e5f8e-1298463361

Удалили в MBAM, скрипт выполнили?

Скрипт сделала.

wordlang.exe_
Вредоносный код в файле не обнаружен.

Лог MBAM:

Еще раз сделайте контрольные логи AVZ.

Farger,

откройте AVZ -> Мастер поиска и устранения проблем -> Системные проблемы -> Все проблемы -> Пуск
Поставьте галочки и Исправить.

В общем, что с проблемами?

Farger,
выполнено.
Но с excel все равно проблемы: открываю файл, идет подготовка к установке --> не найден пакет PRO11.MSI по такому-то пути. Задайте другой путь. Задаю путь, где у меня повис PRO11.MSI. Ответ: этот файл не является правильным пакетом установки Microsoft Office 2003.
Word работает, но пару раз сообщалось об ошибке и закрывалось приложение.

По логам у вас чисто. Может следует переустановить Microsoft Office 2003?! На всякий случай: Установка, восстановление и переустановка приложений и компонентов Microsoft Office 2003 (http://support.microsoft.com/kb/821593/ru)

Farger,
не хочет. Говорит во время установки произошла неисправимая ошибка. PRO11.MSI не найден по такому пути:
C:\DOCUME~1\9335~1\LOCALS~1\Temp\RarSFX0\. Укажите другой. Указываю: папка Documents and settings. Отвечает, что это неправильно, надо указать этот пакет в папке Office.
Все это началось, когда я икселевский файл открывала. Что-то заглючило, и вот это сообщение все время выдается. Отрываю икселевский файл, начинается подготовка к установке и все как выше.
Переместить тему в другой раздел?

Farger,
Я деинсталлировала Традос. Икселевские документы открываются, так что на данный момент порядок. Подозрения с файла в Традосе Wordlang.exe у меня не пропали, хотя все вроде нормально с ним. Но вот эффект положительный. Если больше нет никаких соображений, я закрываю тему.

Спасибо за помощь с троянами!

8. Searching for vulnerabilities
>> Services: potentially dangerous service allowed: TermService (Службы терминалов)
>> Services: potentially dangerous service allowed: SSDPSRV (Служба обнаружения SSDP)
>> Services: potentially dangerous service allowed: Schedule (Планировщик заданий)
>> Services: potentially dangerous service allowed: RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
>> Security: disk drives' autorun is enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
>> Security: automatic logon is enabled

Что из этого вам нужно?

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/public-beta/ATF-Cleaner.exe)

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

- не работайте за компьютером с правами администратора
- не используйте при возможности Internet Explorer или отключите в нем ActiveX. Если используете Mozilla Firefox, то добавьте в нем плагин NoScript.
- не забывайте регулярно устанавливать обновления Windows и обновлять антивирусные базы.
- выполняйте ежедневное сканирование системы
- не кликайте на ссылках в электронной почте и не открывайте вложения в которых вы сомневаетесь.
- установите программу предотвращения вторжений, которая защищает компьютер в реальном времени (если это функция отсутствует в вашем антивирусе или реализована частично). Например PC Tools ThreatFire (http://www.threatfire.com/), WinPatrol (http://www.winpatrol.com/) или Spyware Terminator (http://www.spywareterminator.com/)
- выполняйте ежедневное сканирование системы.
- скачайте и установите SpywareBlaster (http://www.javacoolsoftware.com/spywareblaster.html). Он предотвратит установку ActiveX компонентов программ-шпионов и других потенциально нежелательных программ, а также ограничит действия потенциально нежелательных или опасных веб-сайтов.
- используйте файрвол для безопасного нахождения в сети. Например: COMODO (http://www.comodo.com/), PC Tools Firewall Plus (http://www.pctools.com/ru/firewall/), Outpost (http://www.agnitum.ru/) или Online Armor (http://rus.tallemu.com/).
- помимо регулярного сканирования системы штатным антивирусом, можете один раз в неделю просканировать систему антивирусной утилитой Dr.Web CureIt! (http://www.freedrweb.com/cureit/)

+ у вас установлен антивирус Avira. Пожалуйста, не забывайте обновлять ваш антивирус.
+ обновите Adobe Acrobat (http://get.adobe.com/reader/)