ничего зловредного не вижу... но стороки так и не профиксились ....
Printable View
ничего зловредного не вижу... но стороки так и не профиксились ....
Может, с правами на эти ключи что-то не то?
Может в реестре найти и запретить выполнение?
Выполняться там уже нечему. А вот попробовать прибить эти ключи руками и посмотреть на результат - это имеет смысл.
O20 - Winlogon Notify: 1_32bean32_1reg - C:\WINDOWS\
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
Чтобы это убрать мне в реестре надо поискать 1_32bean32_1reg и rpcc?
Откройте ветку:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
на следующем уровне ищите [B]1_32bean32_1reg [/B]и [B]rpcc[/B] и пробуйте удалить.
Хорошо. Вечером попробую
[size="1"][color="#666686"][B][I]Добавлено через 4 часа 6 минут[/I][/B][/color][/size]
Записи в реестре не удалились, но они запрещены.
Дрвеб не находит нового. Правда Оутпост Фаервол нашел Спамбот и отправил в карантин.
Тему думаю можно закрыть
[QUOTE=OlegXON;130761]о. Правда Оутпост Фаервол нашел Спамбот и отправил в карантин.
[/QUOTE]
что конкретно ? ... вышлите пожалуйста по правилам....
[FONT=Arial][SIZE=1]Карантин
Дата[/SIZE][/FONT][FONT=Arial][SIZE=1]Время [/SIZE][/FONT][FONT=Arial][SIZE=1]18:15:19
[/SIZE][/FONT][FONT=Arial][SIZE=1]Объект [/SIZE][/FONT][FONT=Arial][SIZE=1]Spambot
[/SIZE][/FONT][FONT=Arial][SIZE=1]Действие[U]Удалить[/U][/SIZE][/FONT][U][FONT=Arial][SIZE=1]Восстановить[/SIZE][/FONT][/U]
18:15:19 Malware Spambot
[FONT=Arial][SIZE=1][FONT=Verdana][SIZE=2]Это запись журнала Фаервола. Где находиться карантин и как извлечь файл я не знаю. Оутпост не может удалить этот объект, только в карантин [/SIZE][/FONT]
[/SIZE][/FONT]
где-то так... \Agnitum\Outpost Firewall\Plugins\AntiSpyware\quarantine
Нашел карантин и закачал
на вирустотале никто ничего подозрительного не нашел .... подождем что скажет вирлаб ...
[QUOTE='OlegXON;130761']Записи в реестре не удалились, но они запрещены.[/QUOTE]
Доступ запрещён?
Да для всех пользователей доступ запрещен
в Regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
- безопастность - разрешения для винлогон - полный доступ ...
поставить значек ...
[quote=V_Bond;131068]в Regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon
- безопастность - разрешения для винлогон - полный доступ ...
поставить значек ...[/quote]
Галочку полный доступ поставить на Разрешить или Запретить
[QUOTE]Галочку полный доступ поставить на Разрешить или Запретить[/QUOTE]
Разрешить естественно ;)
Опять поймал заразу. Будет время посмотрите пожалуйста.
выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи...
Скрипт выполнил