остатки трояна на компе

[gufy426]

добрый день. через Авант браузер подцепил какой-то троян, из-за него был блокирован доступ практически ко всем сайтам антивирусов... Пришлось браузер снести, поставил Мозиллу, проверил систему ДрВебом, тот нашел пару троянов и их вроде бы удалил, но впечатление такое, что в системе все равно что-то осталось, вот логи:

[Шапельский Александр]

Пофиксите в Hijack

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe

Перезагрузите ПК, сделайте новый лог Hijack

[gufy426]

перезагрузил, сделал

[polword]

в логе чисто

вот это

Internet Explorer v6.00 SP2

- надо обновить

- Установите Internet-Explorer 8.(даже если Вы его не используете)
- поставте все последние обновления системы Windows - тут

[gufy426]

вроде сделал. Логи прислать?

[polword]

еще что-нибудь беспокоит?

[gufy426]

только то, что AVZ находит в реестре ключи со словами lowsec и sdra64 - это как раз от того вируса, при этом удалить он их не может, и самое странное, что непосредственно в самом реестре, если зайти через regedit, эти ключи не видны.

[DefesT]

Просканируйтесь ZbotKiller'ом

[gufy426]

он ничего не находит

[thyrex]

Такой лог сделайте http://virusinfo.info/showpost.php?p=457118&postcount=1

[gufy426]

сделал, тут что-то нашло

[thyrex]

Удалите в МВАМ

Код:

Заражено ключей реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

Заражено значений реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Заражено файлов:
C:\Documents and Settings\Стас\Рабочий стол\avz4\Quarantine\2010-03-23\avz00037.dta (Backdoor.Bot) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.

[gufy426]

сделал, вроде бы удалилось из MBAM. Но AVZ все равно продолжает находить несуществующие ключи

[AndreyKa]

Но AVZ все равно продолжает находить несуществующие ключи

Это вы про что?

Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519

[gufy426]

базы обновил. проблема в следующем: если в AVZ запустить поиск по реестру со словом lowsec (это была скрытая папка, где сидел троян), то он находит в реестре ключи с этим словом. Но при попытке найти их через regedit и удалить эти ключи не находятся. Такаяя же ситуация при попытке найти sdra64 (это был exe-файл от вируса). AVZ их видит, но удалить не может. А через реестр они не видны.

Добавлено через 5 минут

процедуру, описанную в первом сообщении, выполнил

[AndreyKa]

Скриншот окна с найденными ключами сделайте.

[gufy426]

вот они

[AndreyKa]

Это сохранённая пред-предыдущая конфигурация компьютера.
Не обращайте внимания.

[gufy426]

понятно, спасибо