Помогите избавиться от twext.exe и его троянов...
Помогите избавиться от twext.exe и его троянов...
Последний раз редактировалось Mr_Kiss; 29.01.2009 в 18:38.
Судя по логам, ни twext.exe, ни "его троянов" у вас уже нет, только следы в реестре.
Отключите восстановление системы!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('D:\WINDOWS\BAGENTLS.exe'); DeleteFile('D:\WINDOWS\VKRDNGCA.exe'); DeleteFile('D:\WINDOWS\jjaczjjj.exe'); DeleteFile('D:\WINDOWS\system32\twext.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
I am not young enough to know everything...
Пояснения:
1. Я получил предупреждение от провайдера о спам-вирусах на компе, после этого начал проверять разными средствами
2. AVP Removal Tool нашел какой-то троян и прибил его, но каждый раз ругался на twext.exe, и в реестре постоянно после перезагрузки восcтанавливался ключ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit с сылкой на него
3. Как минимум до выполнения скрипты кол-во исходящих пакетов с компа значительно превышало кол-во входящих
Последний раз редактировалось Mr_Kiss; 29.01.2009 в 18:38.
Ничего плохого. Что с проблемами?
Что с проблемами? Они остались?
Исходящий трафик очень сильно активизируется при загрузке страниц или аналогичных действий
кол-во исходящих пакетов до 5-10ти раз больше входящих
в спокойном состоянии (если ничего не делать) сниффер показывает исходящие пакеты на:
212.117.164.13:1913
66.111.4.73:25
94.100.176.20:25
64.233.183.27:25
216.157.145.27:25
и еще по мелочи...
лог virusinfo_syscure.zip сделайте и прикрутите к теме.
сделал...
Последний раз редактировалось Mr_Kiss; 29.01.2009 в 18:38.
Для начала для проверки выолните скрипт:
То, что попадет в карантин пришлите по Правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINDOWS\system32\mmmiadia.dll',''); QuarantineFile('D:\Documents and Settings\Enter\Enter.exe',''); QuarantineFile('D:\WINDOWS\system32\drivers\netsik.sys',''); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Файл сохранён как 081225_235043_virus_4953f223afbad.zip
Размер файла 107363
MD5 08c4e9026e06ac24f63604896cb9c98b
Еще обнаружил 3 очень подозрительных файла
D:\Documents and Settings\Enter\S87ekhV.exe
D:\Documents and Settings\Enter\svchost.exe
D:\Documents and Settings\Enter\vasdrvwin.exe
Все три файла в карантине - вредоносные, причем подхватили совсем недавно, в предыдущих логах их не было!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('D:\WINDOWS\system32\drivers\netsik.sys'); DeleteFile('D:\Documents and Settings\Enter\Enter.exe'); DeleteFile('D:\WINDOWS\system32\mmmiadia.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('netsik'); BC_Activate; RebootWindows(true); end.
Остальные подозрительные файлы запакуйте в zip-архив с паролем virus и загрузите по ссылке для карантина.
Сделайте новые логи.
Добавлено через 2 минуты
P.S. Пора ставить антивирус, а то не будем успевать вас лечить!
Последний раз редактировалось Bratez; 26.12.2008 в 04:12. Причина: Добавлено
I am not young enough to know everything...
Похоже дочка в Инете пошарилась... пока на работе был... в поисках музыки Ранеток...
Файл сохранён как 081226_044748_virus_495437c41c94b.zip
Размер файла 235098
MD5 0aef5865a5296048ab2beb934d467b59
При попытке скана 3х подозрительных файлов, CureIt в них ничего не нашел, зато прибил вирус BackDoor.Zapinit в файле user32.dll
Какая-то гадость настолько занимает сетевой интерфейс что его невозможно отключить, даже комп при перезагрузке зависает...
Последний раз редактировалось Mr_Kiss; 29.01.2009 в 18:38.
Все три файла в последнем архиве - трояны. В системе они не прописаны, просто удалите их. А в логах опять что-то новенькое.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; QuarantineFile('D:\WINDOWS\system32\drivers\ati64si.sys',''); BC_ImportALL; BC_Activate; RebootWindows(true); end.
Пришлите новый карантин согласно приложению 3 правил.
Добавлено через 43 секунды
А user32.dll был вылечен или удален?
Последний раз редактировалось Bratez; 26.12.2008 в 05:22. Причина: Добавлено
I am not young enough to know everything...
В AVZ -> файл-> Выполнить скрипт
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('ati64si'); DeleteFile('D:\WINDOWS\system32\drivers\ati64si.sys'); BC_ImportDeletedList; BC_DeleteSvc('ati64si'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите логи по правилам.
сделал
Последний раз редактировалось Mr_Kiss; 29.01.2009 в 18:38.
Теперь чисто.
I am not young enough to know everything...
Огромное спасибо за помощь !!!
Как говориться респект вам всем и уважуха...
Теперь меркантильный вопрос:
Я регулярно проверяю свой комп на вирусы
Основная проблема в том, что большая часть антивирусов не обнаруживает вирусы, по которым приходится обращаться в вам за помощью...
Поскажите по каким признакам в логах AVZ можно понять, что на компе есть вирус чтоб обратиться к специалистам, таким как вы ?
Записывайтесь в "Студенты". Будем обучать, причем совершенно бесплатно.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Уважаемый(ая) Mr_Kiss, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.