их удаляешь, а они снова появляются
Backdoor.Bulknet и другие
Printable View
их удаляешь, а они снова появляются
Backdoor.Bulknet и другие
Отключите:
- ПК от Интернета
- Системное восстановление
- Антивирус и Файрволл
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Mps03');
QuarantineFile('C:\WINDOWS.0\System32\drivers\Fil36.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Mps03.sys','');
QuarantineFile('C:\WINDOWS.0\system32\drivers\nocashio.sys','');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Mps03.sys');
DeleteFile('C:\WINDOWS.0\System32\drivers\Fil36.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки закачайте карантин по правилам и повторите логи.
Winlogon продолжает запрашивать исх соединение с подозрительных IP
Карантин закачал, логи обновил
Отключите:
- ПК от Интернета
- Системное восстановление
- Антивирус и Файрволл
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Hln46');
TerminateProcessByName('\??\c:\windows.0\system32\winlogon.exe');
QuarantineFile('\??\c:\windows.0\system32\winlogon.exe','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Hln46.sys','');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Hln46.sys');
DeleteFile('\??\c:\windows.0\system32\winlogon.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки закачайте карантин по правилам и повторите логи.
А может не стоит удалять winlogon.exe, это вроде бы не вирус, а программа для входа в систему Windows NT
Если этот файл удалить, то система будет загружаться?
А почему эти sys файлы снова и снова плодятся?