Невозможно избавиться от BackDoor.Bulknet.55

**V_Bond** · 31.08.2007, 00:26

ничего зловредного не вижу... но стороки так и не профиксились ....

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**pig** · 31.08.2007, 02:54

Может, с правами на эти ключи что-то не то?

**OlegXON** · 31.08.2007, 08:49

Может в реестре найти и запретить выполнение?

**pig** · 31.08.2007, 12:36

Выполняться там уже нечему. А вот попробовать прибить эти ключи руками и посмотреть на результат - это имеет смысл.

**OlegXON** · 31.08.2007, 15:28

O20 - Winlogon Notify: 1_32bean32_1reg - C:\WINDOWS\
O20 - Winlogon Notify: rpcc - C:\WINDOWS\
Чтобы это убрать мне в реестре надо поискать 1_32bean32_1reg и rpcc?

**Bratez** · 31.08.2007, 15:35

Откройте ветку:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows NT\CurrentVersion\Winlogon
на следующем уровне ищите 1_32bean32_1reg и rpcc и пробуйте удалить.

**OlegXON** · 31.08.2007, 20:25

Хорошо. Вечером попробую

Добавлено через 4 часа 6 минут

Записи в реестре не удалились, но они запрещены.
Дрвеб не находит нового. Правда Оутпост Фаервол нашел Спамбот и отправил в карантин.
Тему думаю можно закрыть

**V_Bond** · 31.08.2007, 20:34

Сообщение от OlegXON

о. Правда Оутпост Фаервол нашел Спамбот и отправил в карантин.

что конкретно ? ... вышлите пожалуйста по правилам....

**OlegXON** · 31.08.2007, 22:51

Карантин
ДатаВремя 18:15:19
Объект Spambot
ДействиеУдалитьВосстановить
18:15:19 Malware Spambot
Это запись журнала Фаервола. Где находиться карантин и как извлечь файл я не знаю. Оутпост не может удалить этот объект, только в карантин

**V_Bond** · 31.08.2007, 22:56

где-то так... \Agnitum\Outpost Firewall\Plugins\AntiSpyware\quarantine

**OlegXON** · 31.08.2007, 23:00

Нашел карантин и закачал

**V_Bond** · 31.08.2007, 23:11

на вирустотале никто ничего подозрительного не нашел .... подождем что скажет вирлаб ...

**pig** · 01.09.2007, 01:16

Сообщение от OlegXON

Записи в реестре не удалились, но они запрещены.

Доступ запрещён?

**OlegXON** · 01.09.2007, 01:48

Да для всех пользователей доступ запрещен

**V_Bond** · 01.09.2007, 22:30

в Regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Winlogon
- безопастность - разрешения для винлогон - полный доступ ...
поставить значек ...

**OlegXON** · 05.09.2007, 17:39

Сообщение от V_Bond

в Regedit
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\Cu rrentVersion\Winlogon
- безопастность - разрешения для винлогон - полный доступ ...
поставить значек ...

Галочку полный доступ поставить на Разрешить или Запретить

**Bratez** · 05.09.2007, 17:48

Галочку полный доступ поставить на Разрешить или Запретить

Разрешить естественно

**OlegXON** · 11.09.2007, 21:20

Опять поймал заразу. Будет время посмотрите пожалуйста.

**V_Bond** · 11.09.2007, 22:52

выполните скрипт....

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

повторите логи...