Win32.Mutant.yf

**igor2999** · 24.06.2008, 17:20

Вот такая беда. Проверяю на вирусы - RemoveIT Pro v4 пишет:
15:30:23: Infected file (Win32.Mutant.yf) C:\WINDOWS\system32\winctrl32.dll
15:30:23: Infected file (Sys32.winnt32) C:\WINDOWS\system32\winnt32.dll
15:30:24: Infected file (Sys32.wlctrl32) C:\WINDOWS\system32\wlctrl32.dll
удаляет их, а после перезагрузки они появляются снова.
Comodo после каждой загрузки Окон пишет:
Программа входа в систему Windows NT пытается подключиться к интернету. Возможно что smss.exe использует winlogon.exe для соединения с интернетом.
Иногда таких попыток соединиться с интернетом 5-6, иногда десятки без перерыва - разные программы очень желают выйти в интернет.
Не могу вычислить кто этим всем занимаеться. Очень надеюсь на Вашу помощь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 24.06.2008, 17:50

Антивирус надо отключить.

Забавная ситуация! Основного - winctrl32.dll в логе не видно.
Зато есть защитники:
C:\WINDOWS\system32\Drivers\Hpw20.sys
C:\WINDOWS\system32\Drivers\Yho42.sys

Их надо удалить через Icesword. В дополнение к ним winctrl32.dll,wlctrl32.dll

Затем выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Hpw20');
 StopService('Hpw20');
 QuarantineFile('C:\WINDOWS\system32\winlogon.scr','');
 DeleteService('Xho42');
 DeleteService('Pah86');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Yho42.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Hpw20.sys','');
 DeleteFile('C:\WINDOWS\System32\Drivers\Pah86.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Xho42.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Hpw20.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Загрузить карантин по ссылке вверху и сделать новые логи.

**igor2999** · 24.06.2008, 22:32

Всё сделал. Большое спасибо. Я чист?

**igor2999** · 24.06.2008, 22:33

Да карантин не высылаю - там ничего нет.

**PavelA** · 24.06.2008, 22:55

C:\WINDOWS\system32\winlogon.scr
Хотелось бы проверить вот этот файл
Если найдется, пришлите через карантин.

**igor2999** · 24.06.2008, 23:04

Ни проводник ни IceSword winlogon.scr не обнаружили.

**Синауридзе Александр** · 24.06.2008, 23:14

Сообщение от igor2999

Ни проводник ни IceSword winlogon.scr не обнаружили.

http://virusinfo.info/showthread.php?t=4567

**igor2999** · 24.06.2008, 23:27

AVZ не нашёл winlogon.scr, winlogon*.scr

**PavelA** · 25.06.2008, 10:56

Удаляем мусор:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\winlogon.scr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После этого повтори логи с п.10

**igor2999** · 26.06.2008, 00:03

Done

**PavelA** · 26.06.2008, 10:04

Все вычистили. Можно немножко повысить безопасность.
См. низ лога АВЗ, там есть некоторые вещи ,которые можно позакрывать.

**igor2999** · 26.06.2008, 14:54

Большущее спасибо!!!

Win32.Mutant.yf (заявка № 25271)

Опции темы

Win32.Mutant.yf

Похожие темы

Backdoor.Win32.IRCBot.epu и TrojanDownloader.Win32.Mutant.aim

Downloader.Win32.Mutant.aim

win32.mutant

Win32.Mutant.yf

троян win32.mutant.aim

Ваши права в разделе