Printable View
добрый день. через Авант браузер подцепил какой-то троян, из-за него был блокирован доступ практически ко всем сайтам антивирусов... Пришлось браузер снести, поставил Мозиллу, проверил систему ДрВебом, тот нашел пару троянов и их вроде бы удалил, но впечатление такое, что в системе все равно что-то осталось, вот логи:
Пофиксите в Hijack
[CODE]F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe[/CODE]
Перезагрузите ПК, сделайте новый лог Hijack
перезагрузил, сделал
в логе чисто
вот это
[QUOTE]Internet Explorer v6.00 SP2[/QUOTE]
- надо обновить
- Установите [URL="http://www.microsoft.com/rus/windows/internet-explorer/default.aspx"]Internet-Explorer 8[/URL].(даже если Вы его не используете)
- поставте все последние обновления системы Windows - [URL="http://www.update.microsoft.com"]тут[/URL]
вроде сделал. Логи прислать?
еще что-нибудь беспокоит?
только то, что AVZ находит в реестре ключи со словами lowsec и sdra64 - это как раз от того вируса, при этом удалить он их не может, и самое странное, что непосредственно в самом реестре, если зайти через regedit, эти ключи не видны.
Просканируйтесь ZbotKiller'ом
он ничего не находит
Такой лог сделайте [url]http://virusinfo.info/showpost.php?p=457118&postcount=1[/url]
сделал, тут что-то нашло
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL]
[CODE]Заражено ключей реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Заражено файлов:
C:\Documents and Settings\Стас\Рабочий стол\avz4\Quarantine\2010-03-23\avz00037.dta (Backdoor.Bot) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.[/CODE]
сделал, вроде бы удалилось из MBAM. Но AVZ все равно продолжает находить несуществующие ключи
[QUOTE='gufy426;610573']Но AVZ все равно продолжает находить несуществующие ключи [/QUOTE]Это вы про что?
Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]
базы обновил. проблема в следующем: если в AVZ запустить поиск по реестру со словом lowsec (это была скрытая папка, где сидел троян), то он находит в реестре ключи с этим словом. Но при попытке найти их через regedit и удалить эти ключи не находятся. Такаяя же ситуация при попытке найти sdra64 (это был exe-файл от вируса). AVZ их видит, но удалить не может. А через реестр они не видны.
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
процедуру, описанную в первом сообщении, выполнил
Скриншот окна с найденными ключами сделайте.
вот они
Это сохранённая пред-предыдущая конфигурация компьютера.
Не обращайте внимания.
понятно, спасибо