Невозможно избавиться от BackDoor.Bulknet.55

Printable View

Показывать 40 сообщений этой темы на одной странице

28.08.2007, 01:03
V_Bond

ждем реакции вирлаба .... на winlogon.exe ... по вирустотал он чист... но...
вот и есть ответ [B]он чистый[/B]....
28.08.2007, 01:59
Muzzle

А рекомендации по удалению этих ключей
O20 - Winlogon Notify: 1_32bean32_1reg - C:\WINDOWS\
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
вы делали?
28.08.2007, 02:45
Bratez

[QUOTE]Выделяю нажимаю Fix и ничего[/QUOTE]
Выделяю - это как? Надо галочку ставить ;)
28.08.2007, 08:53
OlegXON

Конечно ставил галочки
28.08.2007, 09:26
V_Bond

повторите лог Hijack ....
28.08.2007, 20:14
OlegXON

Пробовал фиксить и в Защищенном режиме. Эти две строчки остаются
28.08.2007, 20:32
V_Bond

странно ... давайте так...
выполните скрипт...
[code]
begin
DelWinlogonNotifyByKeyName('1_32bean32_1reg');
DelWinlogonNotifyByKeyName('rpcc');
end.
[/code]
28.08.2007, 20:52
Rene-gad

[quote=OlegXON;129958]Пробовал фиксить и в Защищенном режиме. [/quote]если скрипт V_Bonda не сработает - попробуйте этим танком повоевать: [URL]http://virusinfo.info/showthread.php?p=129964[/URL]
ЭДИТ: И Java RE обязательно обновите, актуальная версия [B]1.6.0.02[/B]
28.08.2007, 22:09
OlegXON

Скрипт не помог. С программой не разобрался. Опять в корне диска С появился левый экзешник, надо было прислать, но я удалил. Экзешки всегда с разными именами
28.08.2007, 22:16
V_Bond

раз так, давайте заново логи ..... наверно что-то мы упускаем ....
28.08.2007, 23:01
OlegXON

Что-то нашлось
28.08.2007, 23:12
V_Bond

выполните скрипт ....
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил....
29.08.2007, 00:31
OlegXON

Выполнил скрипт
Закачал карантин
29.08.2007, 00:39
V_Bond

C:\WINDOWS\System32\DRIVERS\smtpdrv.sys Email-Worm.Win32.Agent.I
C:\WINDOWS\system32\ntos.exe Trojan-Spy.Win32.Bancos.afh
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи.....
29.08.2007, 01:05
OlegXON

Логи
29.08.2007, 01:14
V_Bond

в логах чисто ... попробуйте выполнить скрипт из поста 47 ....
29.08.2007, 01:22
OlegXON

Все равно не пофиксились две строкм 020
29.08.2007, 01:38
V_Bond

у вас есть установочный диск ? думаю стоит попробовать заменить winlogon ...
29.08.2007, 03:41
Muzzle

[B]OlegXON[/B], а мои рекомендации по поводу удаление данных строк вы выполняли?
[url]http://www.virusinfo.info/showpost.php?p=129550&postcount=33[/url]
29.08.2007, 09:01
OlegXON

Еще раз выполнил это в Сейф моде. Выслал карантин.

Показывать 40 сообщений этой темы на одной странице

Текущее время: 10:19. Часовой пояс GMT +3.

Page generated in 0.01131 seconds with 10 queries