[решено] троян?

Farger · Отправлено: **15:31, 22-02-2011** | #2

Здравствуйте,

Сейчас займуся анализом логов

Farger · Отправлено: **15:57, 22-02-2011** | #3

Что именно находит Avira? Лог на детект можете дать?

У вас Windows сборка?

Удалите Ask.com через Установка/Удаление программ

Проверьте файл d:\405970bb8aab6602be\wgasetup.exe на virustotal и ссылку на результат проверки дайте в вашем следующем сообщении.

Запустите HiJackThis, проведите процедуру сканирования заново, после чего установите галочки на этих строках и нажмите кнопку Fix checked:

Код:

 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - - (no file)

В доверенную зону сами добавляли

Код:

 O15 - Trusted Zone: http://software.kuaiche.com

Если нет, пофиксите тоже.

Запустите AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"

Код:

begin
ExecuteRepair(1);
RebootWindows(true); 
end.

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

alexim · Отправлено: **17:41, 22-02-2011** | #4

Farger,

Цитата Farger:

У вас Windows сборка? »

Windows устанавливал знакомый. Значит, наверно, сборка.

Цитата Farger:

Удалите Ask.com через Установка/Удаление программ »

ask toolbar не удаляется и не переустанавливается.

Цитата Farger:

роверьте файл d:\405970bb8aab6602be\wgasetup.exe на virustotal и ссылку на результат проверки дайте в вашем следующем сообщении. »

d:\405970bb8aab6602be\wgasetup.exe не обнаруживается.

Остальное пофиксила и поскриптила )
Логи Авиры и Malwarebyte вот

Farger · Отправлено: **00:30, 23-02-2011** | #5

1.

Цитата alexim:

ask toolbar не удаляется и не переустанавливается. »

Какие-то ошибки во время удаления появляются?

2.

Цитата alexim:

d:\405970bb8aab6602be\wgasetup.exe не обнаруживается. »

Запустите AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"

Код:

begin
QuarantineFile('d:\405970bb8aab6602be\wgasetup.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив с именем quarantine.zip, отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Я не могу открыть ваш архив сканирования MBAM. Пожалуйста, прикрепите к вашему сообщению лог сканирования, не надо архивировать его.

4. Сделайте новые логи AVZ+HJT.

5. Теперь при повторном сканировании Avira, какие-то детекты еще появляются?

alexim · Отправлено: **11:49, 23-02-2011** | #6

Farger,

Цитата Farger:

Какие-то ошибки во время удаления появляются? »

нет, предлагает просто исправить или изменить, я нажимаю, а мастер отвечает, что ask toolbar уже установлен. Finish.
Авира ничего не нашел.

alexim · Отправлено: **14:24, 23-02-2011** | #7

Farger,

Цитата Farger:

Проверьте файл d:\405970bb8aab6602be\wgasetup.exe на virustotal и ссылку на результат проверки дайте в вашем следующем сообщении. »

Вредоносный код в файле не обнаружен.

Farger · Отправлено: **14:43, 23-02-2011** | #8

Вы скрипты все выполняли?

1. Удалите в Malwarebytes (запустите сканирование еще раз, после этого удалите)

Код:

Заражённые файлы:
c:\WINDOWS\system32\secushr.dat (Malware.Trace) -> No action taken.

2. Запустите AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"

Код:

begin
ExecuteRepair(1);
RebootWindows(true); 
end.

3. Найти этот файл можете: C:\Program Files\TRADOS\T7_FL\TT\WordLang.exe

Если да, проверьте на virustotal

4. Как удалить панель инструментов Ask.com

Код:

Как удалить Панель инструментов?    
Панель инструментов можно с легкостью удалить, следуя нижеуказанным инструкциям для операционной системы Windows XP.    
- Закройте все открытые веб-браузеры  
- В меню «Пуск» в Windows выберите пункт «Панель управления»  
- Выберите «Установка и удаление программ»  
- Выберите программу с логотипом Ask и подписью «Панель инструментов Ask» (или с подписью нашей партнерской торговой марки для настраиваемой Панели инструментов)  
- Щелкните «Изменить/Удалить»

alexim · Отправлено: **15:20, 23-02-2011** | #9

Цитата Farger:

Найти этот файл можете: C:\Program Files\TRADOS\T7_FL\TT\WordLang.exe
Если да, проверьте на virustotal »

http://www.virustotal.com/file-scan/...f8e-1298463361

Farger · Отправлено: **15:25, 23-02-2011** | #10

Удалили в MBAM, скрипт выполнили?