Не могу вылечиться от twex.exe

**Sailor** · 12.02.2009, 09:52

Здравствуйте.

Некоторое время назад подцепил вирус(исполняемый файл - twex.exe, копируется в windows\system32\), думал что вылечил его, но..

Сегодня решил усилить безопасность своего компьютера: работать под учеткой со стандартными правами, а не админскими.
Создал, значит, вторую учетку со стандартными правами, после загрузки под этой учеткой - в процессах появился вирус twex.exe, прописался в [HKLM\software\microsoft\windows nt\currentversion\winlogon]
с ключом
"userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\syste m32\twex.exe, ".

Более того, он прописался и в учетку администратора тоже.
В настоящее время вирус удален из учетки администратора, указанный выше ключ реестра исправлен на стандартное "userinit" = "C:\WINDOWS\system32\userinit.exe. А вот во второй учетке я все оставил как есть, при этом ни нод32, ни CureIt, ни AVZ не может ничего найти. Вирус там точно есть, т.к. простой поиск виндоуз находит файл twex.exe в папке Application data (пробовал прямо натравливать на этот файл нод, CureIt, AVZ - все тщетно).

Помогите, пожалуйста, чувствую засела где-то зараза и не могу спать спокойно

Спасибо.

P.S. не могу приаттачить третий файл - virusinfo_cure.zip, у него размер 7мб

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Aleksandra** · 12.02.2009, 10:21

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\twex.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Сделайте новые логи (только п.2 и 3 раздела Диагностика).

**Rene-gad** · 12.02.2009, 10:24

Сообщение от Sailor

не могу приаттачить третий файл - virusinfo_cure.zip, у него размер 7мб

Куда Вы его аттачите??? Читайте правила Как присылать запрошенные файлы

**Sailor** · 12.02.2009, 12:21

Aleksandra

при выполнении скрипта - выходит ошибка (скрипт после этого останавливает работу):

---------------------------
Антивирусная утилита AVZ
---------------------------
Failed to set data for 'DisplayName'
---------------------------
ОК
---------------------------

Добавлено через 1 минуту

Сообщение от Rene-gad

Куда Вы его аттачите??? Читайте правила Как присылать запрошенные файлы

Извините, возможно я что-то не понимаю, но в правилах написано:

*Логи нужно прикрепить к теме вложениями (а не запостить в теме).

вот я и пытался прикрепить к теме вложениями файл лога

**Гриша** · 12.02.2009, 12:24

Это аутпост мешает, удалите его и выполните скрипт или попробуйте выполнить скрипт без этой сроки:

Код:

SearchRootkit(true, true);

**Rene-gad** · 12.02.2009, 12:58

Сообщение от Sailor

вот я и пытался прикрепить к теме вложениями файл лога

virusinfo_cure.zip - это архив с карантином, его надо сюда: http://virusinfo.info/upload_virus.php?tid=39555

**Sailor** · 12.02.2009, 13:05

Готово, логи приаттачил.

настораживает вот это:

C:\WINDOWS\system32\ntshrui.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\ntshrui.dll>>> Поведенческий анализ

**Sailor** · 12.02.2009, 13:16

Сообщение от Rene-gad

virusinfo_cure.zip - это архив с карантином, его надо сюда: http://virusinfo.info/upload_virus.php?tid=39555

понял, спасибо

**Aleksandra** · 12.02.2009, 14:02

Ничего зловредного в логах нет.

Добавлено через 1 минуту

Сообщение от Sailor

настораживает вот это:

C:\WINDOWS\system32\ntshrui.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\system32\ntshrui.dll>>> Поведенческий анализ

Это нормально.