Win32.Mutant.yf

Printable View

24.06.2008, 17:20
igor2999

Вложений: 3

Win32.Mutant.yf

Вот такая беда. Проверяю на вирусы - RemoveIT Pro v4 пишет:
15:30:23: Infected file (Win32.Mutant.yf) C:\WINDOWS\system32\winctrl32.dll
15:30:23: Infected file (Sys32.winnt32) C:\WINDOWS\system32\winnt32.dll
15:30:24: Infected file (Sys32.wlctrl32) C:\WINDOWS\system32\wlctrl32.dll
удаляет их, а после перезагрузки они появляются снова.
Comodo после каждой загрузки Окон пишет:
Программа входа в систему Windows NT пытается подключиться к интернету. Возможно что smss.exe использует winlogon.exe для соединения с интернетом.
Иногда таких попыток соединиться с интернетом 5-6, иногда десятки без перерыва - разные программы очень желают выйти в интернет.
Не могу вычислить кто этим всем занимаеться. Очень надеюсь на Вашу помощь.
24.06.2008, 17:50
PavelA

Антивирус надо отключить.

Забавная ситуация! Основного - winctrl32.dll в логе не видно.
Зато есть защитники:
C:\WINDOWS\system32\Drivers\Hpw20.sys
C:\WINDOWS\system32\Drivers\Yho42.sys

Их надо удалить через Icesword. В дополнение к ним winctrl32.dll,wlctrl32.dll

Затем выполнить скрипт:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Hpw20');
StopService('Hpw20');
QuarantineFile('C:\WINDOWS\system32\winlogon.scr','');
DeleteService('Xho42');
DeleteService('Pah86');
QuarantineFile('C:\WINDOWS\system32\Drivers\Yho42.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Hpw20.sys','');
DeleteFile('C:\WINDOWS\System32\Drivers\Pah86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Xho42.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Hpw20.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

Загрузить карантин по ссылке вверху и сделать новые логи.
24.06.2008, 22:32
igor2999

Вложений: 3

Всё сделал. Большое спасибо. Я чист?
24.06.2008, 22:33
igor2999

Да карантин не высылаю - там ничего нет.
24.06.2008, 22:55
PavelA

C:\WINDOWS\system32\winlogon.scr
Хотелось бы проверить вот этот файл
Если найдется, пришлите через карантин.
24.06.2008, 23:04
igor2999

Ни проводник ни IceSword winlogon.scr не обнаружили.
24.06.2008, 23:14
Синауридзе Александр

[QUOTE=igor2999;246446]Ни проводник ни IceSword winlogon.scr не обнаружили.[/QUOTE]
[url]http://virusinfo.info/showthread.php?t=4567[/url]
24.06.2008, 23:27
igor2999

AVZ не нашёл winlogon.scr, winlogon*.scr
25.06.2008, 10:56
PavelA

Удаляем мусор:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\winlogon.scr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После этого повтори логи с п.10
26.06.2008, 00:03
igor2999

Вложений: 2

Done
26.06.2008, 10:04
PavelA

Все вычистили. Можно немножко повысить безопасность.
См. низ лога АВЗ, там есть некоторые вещи ,которые можно позакрывать.
26.06.2008, 14:54
igor2999

Большущее спасибо!!!