SafeGroup

SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Backdoor w pliku winlogon.exe
Pełna wersja: Backdoor w pliku winlogon.exe
Aktualnie przeglądasz uproszczoną wersję forum. Kliknij tutaj, by zobaczyć wersję z pełnym formatowaniem.

Smirx

15.05.2011, 16:18
To mój pierwszy post na SafeGroup więc witam serdecznie Smile
Kolega poprosił mnie niedawno o pomoc z komputerem (wirusy). Skleciłem więc przy pomocy SARDU USB z paroma programami AV ( Avire, Dr.Web, F-secure, Panda, Kaspersky, VBA) - było łącznie ponad 100 infekcji. Odpaliłem system i skasowałem nie działający już chyba Avast, przejechałem CCleanerem, zainstalowałem darmowy Comodo AV i PrivateFirewall, zdefragmentowałem w międzyczasie (koszmar, mniej niż 10% wolnego miejsca na dysku i praktycznie cały pofragmentowany) no i w końcu przeskanowałem Comodo już na systemie no i znalazł to:

Backdoor.Win32.Sinowal.~CRSR@102220679 C:\WINDOWS\system32\winlogon.exe
Heur.Suspicious@25378469 C:\WINDOWS\SoftwareDistribution\Download\b9d130fa80314e011858d19f69b5e71a90922860|Unsfx|update\iereseticons.exe

Mam obawy ,że jak pozwole wyczyścić winlogon.exe to moge nie odpalić już systemu. Nie wiem na 100% ale wole nie ryzykować z nie moim komputerem. Czy ktoś mógłby mi pomóc w tej kwestii?
Najwyraźniej system jeszcze nie jest w 100% czysty, co mam zrobic dalej, jak usunąć te dwie infekcje?

Eugeniusz

15.05.2011, 16:21
Zainstaluj Hitmana Pro, jeśli coś wykryje aktywuj licencję i usuń zagrożenia.

zord

15.05.2011, 16:30
winlogon to bardzo ważny plik systemowy i usunięcie go źle się skończy
trzeba go podmienić na zdrowy możesz to zrobić przez konsole odzyskiwania co jest dość skomplikowane Tongue
albo uruchomić komputer z płyty z linuxem i normalnie go podmienić

Smirx

15.05.2011, 16:48
Dziękuje za szybkie odpowiedzi

@ Eugeniusz
HitmanPro znalazł coś takiego dla odmiany: window.exe w C:\WINDOWS\system32 i oznaczył jako medium risk malware

@ zord
no właśnie WinkMam CD z tym systemem, czy ten plik można skopiować bezpośrednio z płyty? Troche nie wiem jak sie do tego zabrać

zord

15.05.2011, 17:04
na płycie w windowsem jest w folderze I386 WINLOGON.EX_ to jest archiwum wystarczy rozpakować

Smirx

15.05.2011, 21:52
Dziękuje za podpowiedź zord. Na szczęście na kompie nie ma hasła i dzięki ubuntu plik zamieniłem bez problemu. Comodo już nie wykrywa infekcji.
Pozdrawiam

Kolos28

15.05.2011, 22:03
Smirx napisał(a):Dziękuje za podpowiedź zord. Na szczęście na kompie nie ma hasła i dzięki ubuntu plik zamieniłem bez problemu. Comodo już nie wykrywa infekcji.
Pozdrawiam

To tylko pokazuje jaki Comodo kozak i że nie sypie FPTongue

KaMiL

16.05.2011, 18:17
Tak, bo COMODO to idealny AV i nie zdarzają mu się w ogóle FP :-)

Kolos28

16.05.2011, 18:20
kamil10506 napisał(a):Tak, bo COMODO to idealny AV i nie zdarzają mu się w ogóle FP :-)

Jak każdy AV potrafi mieć FP ale widać że w tym przypadku się nie mylił więc bez "uszczypnięć" proszę...Wink

Flash999

18.05.2011, 15:03
Usuń to co wykrył Hitman Pro. Daj zestaw logów, aby upewnić się że komputer jest czysty.

tommyklab

13.11.2011, 11:25
Ja bym tam jeszcze sprawdził pełnym skanem system progsem MBAM
SafeGroup > Bezpieczeństwo > Pomoc po zainfekowaniu > Backdoor w pliku winlogon.exe