Backdoor w pliku winlogon.exe

[Smirx]

To mój pierwszy post na SafeGroup więc witam serdecznie
Kolega poprosił mnie niedawno o pomoc z komputerem (wirusy). Skleciłem więc przy pomocy SARDU USB z paroma programami AV ( Avire, Dr.Web, F-secure, Panda, Kaspersky, VBA) - było łącznie ponad 100 infekcji. Odpaliłem system i skasowałem nie działający już chyba Avast, przejechałem CCleanerem, zainstalowałem darmowy Comodo AV i PrivateFirewall, zdefragmentowałem w międzyczasie (koszmar, mniej niż 10% wolnego miejsca na dysku i praktycznie cały pofragmentowany) no i w końcu przeskanowałem Comodo już na systemie no i znalazł to:

Backdoor.Win32.Sinowal.~CRSR@102220679 C:\WINDOWS\system32\winlogon.exe
Heur.Suspicious@25378469 C:\WINDOWS\SoftwareDistribution\Download\b9d130fa80314e011858d19f69b5e71a90922860|Unsfx|update\iereseticons.exe

Mam obawy ,że jak pozwole wyczyścić winlogon.exe to moge nie odpalić już systemu. Nie wiem na 100% ale wole nie ryzykować z nie moim komputerem. Czy ktoś mógłby mi pomóc w tej kwestii?
Najwyraźniej system jeszcze nie jest w 100% czysty, co mam zrobic dalej, jak usunąć te dwie infekcje?

[Eugeniusz]

Zainstaluj Hitmana Pro, jeśli coś wykryje aktywuj licencję i usuń zagrożenia.

[zord]

winlogon to bardzo ważny plik systemowy i usunięcie go źle się skończy
trzeba go podmienić na zdrowy możesz to zrobić przez konsole odzyskiwania co jest dość skomplikowane
albo uruchomić komputer z płyty z linuxem i normalnie go podmienić

[Smirx]

Dziękuje za szybkie odpowiedzi

@ Eugeniusz
HitmanPro znalazł coś takiego dla odmiany: window.exe w C:\WINDOWS\system32 i oznaczył jako medium risk malware

@ zord
no właśnie Mam CD z tym systemem, czy ten plik można skopiować bezpośrednio z płyty? Troche nie wiem jak sie do tego zabrać

[zord]

na płycie w windowsem jest w folderze I386 WINLOGON.EX_ to jest archiwum wystarczy rozpakować

[Smirx]

Dziękuje za podpowiedź zord. Na szczęście na kompie nie ma hasła i dzięki ubuntu plik zamieniłem bez problemu. Comodo już nie wykrywa infekcji.
Pozdrawiam

[Kolos28]

Dziękuje za podpowiedź zord. Na szczęście na kompie nie ma hasła i dzięki ubuntu plik zamieniłem bez problemu. Comodo już nie wykrywa infekcji.
Pozdrawiam

To tylko pokazuje jaki Comodo kozak i że nie sypie FP

[KaMiL]

Tak, bo COMODO to idealny AV i nie zdarzają mu się w ogóle FP :-)

[Kolos28]

Tak, bo COMODO to idealny AV i nie zdarzają mu się w ogóle FP :-)

Jak każdy AV potrafi mieć FP ale widać że w tym przypadku się nie mylił więc bez "uszczypnięć" proszę...

[Flash999]

Usuń to co wykrył Hitman Pro. Daj zestaw logów, aby upewnić się że komputer jest czysty.

[tommyklab]

Ja bym tam jeszcze sprawdził pełnym skanem system progsem MBAM