-
Junior Member
- Вес репутации
- 52
остатки трояна на компе
добрый день. через Авант браузер подцепил какой-то троян, из-за него был блокирован доступ практически ко всем сайтам антивирусов... Пришлось браузер снести, поставил Мозиллу, проверил систему ДрВебом, тот нашел пару троянов и их вроде бы удалил, но впечатление такое, что в системе все равно что-то осталось, вот логи:
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в Hijack
Код:
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe
Перезагрузите ПК, сделайте новый лог Hijack
-
-
Junior Member
- Вес репутации
- 52
-
в логе чисто
вот это
Internet Explorer v6.00 SP2
- надо обновить
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- поставте все последние обновления системы Windows - тут
-
-
Junior Member
- Вес репутации
- 52
вроде сделал. Логи прислать?
-
еще что-нибудь беспокоит?
-
-
Junior Member
- Вес репутации
- 52
только то, что AVZ находит в реестре ключи со словами lowsec и sdra64 - это как раз от того вируса, при этом удалить он их не может, и самое странное, что непосредственно в самом реестре, если зайти через regedit, эти ключи не видны.
-
Просканируйтесь ZbotKiller'ом
-
-
Junior Member
- Вес репутации
- 52
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
-
Удалите в МВАМ
Код:
Заражено ключей реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Заражено файлов:
C:\Documents and Settings\Стас\Рабочий стол\avz4\Quarantine\2010-03-23\avz00037.dta (Backdoor.Bot) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
сделал, вроде бы удалилось из MBAM. Но AVZ все равно продолжает находить несуществующие ключи
-
Сообщение от
gufy426
Но AVZ все равно продолжает находить несуществующие ключи
Это вы про что?
Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519
-
-
Junior Member
- Вес репутации
- 52
базы обновил. проблема в следующем: если в AVZ запустить поиск по реестру со словом lowsec (это была скрытая папка, где сидел троян), то он находит в реестре ключи с этим словом. Но при попытке найти их через regedit и удалить эти ключи не находятся. Такаяя же ситуация при попытке найти sdra64 (это был exe-файл от вируса). AVZ их видит, но удалить не может. А через реестр они не видны.
Добавлено через 5 минут
процедуру, описанную в первом сообщении, выполнил
Последний раз редактировалось gufy426; 28.03.2010 в 22:24.
Причина: Добавлено
-
Скриншот окна с найденными ключами сделайте.
-
-
Junior Member
- Вес репутации
- 52
-
Это сохранённая пред-предыдущая конфигурация компьютера.
Не обращайте внимания.
-
-
Junior Member
- Вес репутации
- 52