Невозможно избавиться от BackDoor.Bulknet.55

Закачал логи

Закачивать логи не нужно,их нужно прикрепить к вашему сообщению ;)

Вложил

профиксите
[code]
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O2 - BHO: NOW!Imaging - {9AA2F14F-E956-44B8-8694-A5B615CDF341} - (no file)
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - (no file)
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O20 - Winlogon Notify: 1_32bean32_1reg - C:\WINDOWS\
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
O23 - Service: ASP.NET State Service aspnet_stateseclogon (aspnet_stateseclogon) - Unknown owner - C:\WINDOWS\system32\exporth.exe (file missing)
O23 - Service: FCI - Unknown owner - C:\WINDOWS\system32\fci.exe (file missing)
[/code]
выполните скрипт
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('%systemroot%\system32\tscupgrd.exe','');
QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....

Спасибо. Но к компу попаду только в субботу вечером, тогда все сделаю и отпишусь. Надеюсь хуже не будет, т.к. дома остается жена, комп и интернет(и не дай бог новые вирусы). Еще раз спасибо.

Закачал карантин.
Эта строчка не пофиксилась
O20 - Winlogon Notify: rpcc - C:\WINDOWS\

[quote=OlegXON;129487]Закачал карантин.[/quote]куда? Сервер после переезда еще не совсем в порядке :).
[QUOTE] Эта строчка не пофиксилась
O20 - Winlogon Notify: rpcc - C:\WINDOWS\[/quote]
Только эта? Хайджек-Лог повторите плз.

А как содержимое карантина отправить?

@OlegXON
у меня такое ощущение, что Вы за эти 2 дня еще кучу всякой дряни наловили :embarasse. Придется начинать сначала - [B]все[/B] логи в студию, плиз.

Новые логи

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\WINDOWS\system32\xuser.exe','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать прошлый и новый карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11883[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O20 - Winlogon Notify: 1_32bean32_1reg - C:\WINDOWS\
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
[/CODE]

O20 - Winlogon Notify: 1_32bean32_1reg - C:\WINDOWS\
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
Не пофиксилось

вот 1 рекомендация по поводу 1_32bean32_1reg [url]http://www.z-oleg.com/secur/virlist/vir1153.php[/url]

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\system32\rpcc.dll','');
DeleteFile('C:\Windows\system32\rpcc.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
если файл попадёт в карантин то прислать его согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11883[/url]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O20 - Winlogon Notify: rpcc - C:\WINDOWS\[/CODE]

Ничего.
Выделяю нажимаю Fix и ничего

[size="1"][color="#666686"][B][I]Добавлено через 11 минут[/I][/B][/color][/size]

А карантин закачался?

Выполните рекомендации,данные выше,последний карантин который вы загрузили [B]Вс Авг 26 23:56:51 File size 1307637[/B] и он скорей всего чистый,нужен ещё карантин который появился сегодня.

Хорошо сегодня вечером сделаю. Закачивал оба карантина и вчерашний и сегодняшний. Просто имя файла одно, наверное надо было переименовать один из них. А то я сначала послал сегодняшний, а потом вчерашний.

[size="1"][color="#666686"][B][I]Добавлено через 9 часов 21 минуту[/I][/B][/color][/size]

Закачал сегодняшний карантин

c:\WINDOWS\system32\xuser.exe Trojan-Spy.Win32.Webmoner.do
выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\WINDOWS\system32\xuser.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
смените пароли к кошелькам ...
повторите логи ...

Скрипт выполнил
Пароли сменил
Новые логи

c:\windows\system32\winlogon.exe-слегка патченный по моему 21 августа 2007 года .Прислать на исследования ;)
Я бы заменил на оригинальный ;)
hosts почистить надо ;)

hosts почистил
winlogon.exe выслал

[size="1"][color="#666686"][B][I]Добавлено через 1 час 5 минут[/I][/B][/color][/size]

Что-то еще сделать?