Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] троян? (http://forum.oszone.net/showthread.php?t=200171)

alexim 22-02-2011 09:47 1618917
троян?
 
В ноутбуке перестали нормально работать word и excel. Антивирус выдает, что обнаружил троян. Мог перелезть со стационарного компа, где куча игр, часто с вирусами. Вот логи.

Farger 22-02-2011 15:31 1619224
Здравствуйте,

Сейчас займуся анализом логов :)

Farger 22-02-2011 15:57 1619248
Что именно находит Avira? Лог на детект можете дать?

У вас Windows сборка?

Удалите Ask.com через Установка/Удаление программ


Проверьте файл d:\405970bb8aab6602be\wgasetup.exe на virustotal и ссылку на результат проверки дайте в вашем следующем сообщении.

Запустите HiJackThis, проведите процедуру сканирования заново, после чего установите галочки на этих строках и нажмите кнопку Fix checked:

Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
R3 - URLSearchHook: (no name) - - (no file)
В доверенную зону сами добавляли

Код:
O15 - Trusted Zone: http://software.kuaiche.com

Если нет, пофиксите тоже.

Запустите AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"

Код:
begin
ExecuteRepair(1);
RebootWindows(true);
end.
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно.

alexim 22-02-2011 17:41 1619320
Farger,
Цитата:
Цитата Farger
У вас Windows сборка? »
Windows устанавливал знакомый. Значит, наверно, сборка.
Цитата:
Цитата Farger
Удалите Ask.com через Установка/Удаление программ »
ask toolbar не удаляется и не переустанавливается.
Цитата:
Цитата Farger
роверьте файл d:\405970bb8aab6602be\wgasetup.exe на virustotal и ссылку на результат проверки дайте в вашем следующем сообщении. »
d:\405970bb8aab6602be\wgasetup.exe не обнаруживается.

Остальное пофиксила и поскриптила )
Логи Авиры и Malwarebyte вот

Farger 23-02-2011 00:30 1619683
1.
Цитата:
Цитата alexim
ask toolbar не удаляется и не переустанавливается. »
Какие-то ошибки во время удаления появляются?

2.
Цитата:
Цитата alexim
d:\405970bb8aab6602be\wgasetup.exe не обнаруживается. »
Запустите AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"
Код:
begin
QuarantineFile('d:\405970bb8aab6602be\wgasetup.exe','');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В папке с AVZ появится архив с именем quarantine.zip, отправьте полученный файл quarantine.zip из папки AVZ через данную форму. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Результаты ответа, сообщите здесь, в теме.

3. Я не могу открыть ваш архив сканирования MBAM. Пожалуйста, прикрепите к вашему сообщению лог сканирования, не надо архивировать его.

4. Сделайте новые логи AVZ+HJT.

5. Теперь при повторном сканировании Avira, какие-то детекты еще появляются?

alexim 23-02-2011 11:49 1619852
Farger,
Цитата:
Цитата Farger
Какие-то ошибки во время удаления появляются? »
нет, предлагает просто исправить или изменить, я нажимаю, а мастер отвечает, что ask toolbar уже установлен. Finish.
Авира ничего не нашел.

alexim 23-02-2011 14:24 1619965
Farger,
Цитата:
Цитата Farger
Проверьте файл d:\405970bb8aab6602be\wgasetup.exe на virustotal и ссылку на результат проверки дайте в вашем следующем сообщении. »
Вредоносный код в файле не обнаружен.

Farger 23-02-2011 14:43 1619980
Вы скрипты все выполняли?

1. Удалите в Malwarebytes (запустите сканирование еще раз, после этого удалите)
Код:
Заражённые файлы:
c:\WINDOWS\system32\secushr.dat (Malware.Trace) -> No action taken.
2. Запустите AVZ, меню "Файл - Выполнить Скрипт", скопировать нижеуказанный текст, нажать "Запустить"

Код:
begin
ExecuteRepair(1);
RebootWindows(true);
end.
3. Найти этот файл можете: C:\Program Files\TRADOS\T7_FL\TT\WordLang.exe

Если да, проверьте на virustotal

4. Как удалить панель инструментов Ask.com

Код:
Как удалить Панель инструментов?   
Панель инструментов можно с легкостью удалить, следуя нижеуказанным инструкциям для операционной системы Windows XP.   
- Закройте все открытые веб-браузеры 
- В меню «Пуск» в Windows выберите пункт «Панель управления» 
- Выберите «Установка и удаление программ» 
- Выберите программу с логотипом Ask и подписью «Панель инструментов Ask» (или с подписью нашей партнерской торговой марки для настраиваемой Панели инструментов) 
- Щелкните «Изменить/Удалить»

alexim 23-02-2011 15:20 1620002
Цитата:
Цитата Farger
Найти этот файл можете: C:\Program Files\TRADOS\T7_FL\TT\WordLang.exe
Если да, проверьте на virustotal »
http://www.virustotal.com/file-scan/...f8e-1298463361

Farger 23-02-2011 15:25 1620007
Удалили в MBAM, скрипт выполнили?

alexim 23-02-2011 18:55 1620161
Скрипт сделала.

wordlang.exe_
Вредоносный код в файле не обнаружен.

Лог MBAM:

Farger 23-02-2011 19:15 1620181
Еще раз сделайте контрольные логи AVZ.

alexim 24-02-2011 10:08 1620526
Farger,

Farger 24-02-2011 10:39 1620552
откройте AVZ -> Мастер поиска и устранения проблем -> Системные проблемы -> Все проблемы -> Пуск
Поставьте галочки и Исправить.

В общем, что с проблемами?

alexim 24-02-2011 11:11 1620578
Farger,
выполнено.
Но с excel все равно проблемы: открываю файл, идет подготовка к установке --> не найден пакет PRO11.MSI по такому-то пути. Задайте другой путь. Задаю путь, где у меня повис PRO11.MSI. Ответ: этот файл не является правильным пакетом установки Microsoft Office 2003.
Word работает, но пару раз сообщалось об ошибке и закрывалось приложение.

Farger 24-02-2011 12:49 1620643
По логам у вас чисто. Может следует переустановить Microsoft Office 2003?! На всякий случай: Установка, восстановление и переустановка приложений и компонентов Microsoft Office 2003

alexim 24-02-2011 16:25 1620828
Farger,
не хочет. Говорит во время установки произошла неисправимая ошибка. PRO11.MSI не найден по такому пути:
C:\DOCUME~1\9335~1\LOCALS~1\Temp\RarSFX0\. Укажите другой. Указываю: папка Documents and settings. Отвечает, что это неправильно, надо указать этот пакет в папке Office.
Все это началось, когда я икселевский файл открывала. Что-то заглючило, и вот это сообщение все время выдается. Отрываю икселевский файл, начинается подготовка к установке и все как выше.
Переместить тему в другой раздел?

alexim 24-02-2011 17:42 1620898
Farger,
Я деинсталлировала Традос. Икселевские документы открываются, так что на данный момент порядок. Подозрения с файла в Традосе Wordlang.exe у меня не пропали, хотя все вроде нормально с ним. Но вот эффект положительный. Если больше нет никаких соображений, я закрываю тему.

alexim 25-02-2011 12:42 1621482
Спасибо за помощь с троянами!

Farger 25-02-2011 13:02 1621500
Код:
8. Searching for vulnerabilities 
>> Services: potentially dangerous service allowed: TermService (Службы терминалов) 
>> Services: potentially dangerous service allowed: SSDPSRV (Служба обнаружения SSDP) 
>> Services: potentially dangerous service allowed: Schedule (Планировщик заданий) 
>> Services: potentially dangerous service allowed: RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) 
> Services: please bear in mind that the set of services depends on the use of the PC (home PC, office PC connected to corporate network, etc)!
 >> Security: disk drives' autorun is enabled 
>> Security: anonymous user access is enabled 
>> Security: sending Remote Assistant queries is enabled 
>> Security: automatic logon is enabled
Что из этого вам нужно?

Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner

скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли

если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли.

- не работайте за компьютером с правами администратора
- не используйте при возможности Internet Explorer или отключите в нем ActiveX. Если используете Mozilla Firefox, то добавьте в нем плагин NoScript.
- не забывайте регулярно устанавливать обновления Windows и обновлять антивирусные базы.
- выполняйте ежедневное сканирование системы
- не кликайте на ссылках в электронной почте и не открывайте вложения в которых вы сомневаетесь.
- установите программу предотвращения вторжений, которая защищает компьютер в реальном времени (если это функция отсутствует в вашем антивирусе или реализована частично). Например PC Tools ThreatFire, WinPatrol или Spyware Terminator
- выполняйте ежедневное сканирование системы.
- скачайте и установите SpywareBlaster. Он предотвратит установку ActiveX компонентов программ-шпионов и других потенциально нежелательных программ, а также ограничит действия потенциально нежелательных или опасных веб-сайтов.
- используйте файрвол для безопасного нахождения в сети. Например: COMODO, PC Tools Firewall Plus, Outpost или Online Armor.
- помимо регулярного сканирования системы штатным антивирусом, можете один раз в неделю просканировать систему антивирусной утилитой Dr.Web CureIt!

+ у вас установлен антивирус Avira. Пожалуйста, не забывайте обновлять ваш антивирус.
+ обновите Adobe Acrobat

alexim 25-02-2011 21:46 1621854
Спасибо!


Время: 02:29.

Время: 02:29.
© OSzone.net 2001-