Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Помогите избавиться от twext.exe и его троянов... (заявка № 36256)

  1. #1
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    80
    Вес репутации
    58

    Thumbs up Помогите избавиться от twext.exe и его троянов...

    Помогите избавиться от twext.exe и его троянов...
    Последний раз редактировалось Mr_Kiss; 29.01.2009 в 18:38.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Судя по логам, ни twext.exe, ни "его троянов" у вас уже нет, только следы в реестре.

    Отключите восстановление системы!

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('D:\WINDOWS\BAGENTLS.exe');
     DeleteFile('D:\WINDOWS\VKRDNGCA.exe');
     DeleteFile('D:\WINDOWS\jjaczjjj.exe');
     DeleteFile('D:\WINDOWS\system32\twext.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи (только п.2 и 3 раздела Диагностика).
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    80
    Вес репутации
    58
    Пояснения:
    1. Я получил предупреждение от провайдера о спам-вирусах на компе, после этого начал проверять разными средствами
    2. AVP Removal Tool нашел какой-то троян и прибил его, но каждый раз ругался на twext.exe, и в реестре постоянно после перезагрузки восcтанавливался ключ
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit с сылкой на него
    3. Как минимум до выполнения скрипты кол-во исходящих пакетов с компа значительно превышало кол-во входящих
    Последний раз редактировалось Mr_Kiss; 29.01.2009 в 18:38.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Ничего плохого. Что с проблемами?

  6. #5
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    80
    Вес репутации
    58
    Цитата Сообщение от light59 Посмотреть сообщение
    Ничего плохого. Что с проблемами?
    Извините, не понял вопроса ?

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    Что с проблемами? Они остались?

  8. #7
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    80
    Вес репутации
    58
    Исходящий трафик очень сильно активизируется при загрузке страниц или аналогичных действий
    кол-во исходящих пакетов до 5-10ти раз больше входящих
    в спокойном состоянии (если ничего не делать) сниффер показывает исходящие пакеты на:
    212.117.164.13:1913
    66.111.4.73:25
    94.100.176.20:25
    64.233.183.27:25
    216.157.145.27:25

    и еще по мелочи...

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    лог virusinfo_syscure.zip сделайте и прикрутите к теме.

  10. #9
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    80
    Вес репутации
    58
    сделал...
    Последний раз редактировалось Mr_Kiss; 29.01.2009 в 18:38.

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Для начала для проверки выолните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\system32\mmmiadia.dll','');
     QuarantineFile('D:\Documents and Settings\Enter\Enter.exe','');
     QuarantineFile('D:\WINDOWS\system32\drivers\netsik.sys','');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    То, что попадет в карантин пришлите по Правилам.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    80
    Вес репутации
    58
    Файл сохранён как 081225_235043_virus_4953f223afbad.zip
    Размер файла 107363
    MD5 08c4e9026e06ac24f63604896cb9c98b

    Еще обнаружил 3 очень подозрительных файла
    D:\Documents and Settings\Enter\S87ekhV.exe
    D:\Documents and Settings\Enter\svchost.exe
    D:\Documents and Settings\Enter\vasdrvwin.exe

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Все три файла в карантине - вредоносные, причем подхватили совсем недавно, в предыдущих логах их не было!

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('D:\WINDOWS\system32\drivers\netsik.sys');
     DeleteFile('D:\Documents and Settings\Enter\Enter.exe');
     DeleteFile('D:\WINDOWS\system32\mmmiadia.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('netsik');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Остальные подозрительные файлы запакуйте в zip-архив с паролем virus и загрузите по ссылке для карантина.

    Сделайте новые логи.

    Добавлено через 2 минуты

    P.S. Пора ставить антивирус, а то не будем успевать вас лечить!
    Последний раз редактировалось Bratez; 26.12.2008 в 04:12. Причина: Добавлено
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    80
    Вес репутации
    58
    Цитата Сообщение от Bratez Посмотреть сообщение
    Все три файла в карантине - вредоносные, причем подхватили совсем недавно, в предыдущих логах их не было!
    Похоже дочка в Инете пошарилась... пока на работе был... в поисках музыки Ранеток...

    Файл сохранён как 081226_044748_virus_495437c41c94b.zip
    Размер файла 235098
    MD5 0aef5865a5296048ab2beb934d467b59

    При попытке скана 3х подозрительных файлов, CureIt в них ничего не нашел, зато прибил вирус BackDoor.Zapinit в файле user32.dll

    Какая-то гадость настолько занимает сетевой интерфейс что его невозможно отключить, даже комп при перезагрузке зависает...
    Последний раз редактировалось Mr_Kiss; 29.01.2009 в 18:38.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Все три файла в последнем архиве - трояны. В системе они не прописаны, просто удалите их. А в логах опять что-то новенькое.

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
    QuarantineFile('D:\WINDOWS\system32\drivers\ati64si.sys','');
    BC_ImportALL;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите новый карантин согласно приложению 3 правил.

    Добавлено через 43 секунды

    А user32.dll был вылечен или удален?
    Последний раз редактировалось Bratez; 26.12.2008 в 05:22. Причина: Добавлено
    I am not young enough to know everything...

  16. #15
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    80
    Вес репутации
    58
    Цитата Сообщение от Bratez Посмотреть сообщение
    А user32.dll был вылечен или удален?
    вылечен

    Файл сохранён как 081226_075059_virus_495462b363a49.zip
    Размер файла 12124
    MD5 ca1b8167dc17ebd5e608a04d4c606fad

  17. #16
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для light59
    Регистрация
    14.07.2008
    Адрес
    Пермь
    Сообщений
    5,492
    Вес репутации
    612
    В AVZ -> файл-> Выполнить скрипт

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('ati64si');
     DeleteFile('D:\WINDOWS\system32\drivers\ati64si.sys');
    BC_ImportDeletedList;
     BC_DeleteSvc('ati64si');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Повторите логи по правилам.

  18. #17
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    80
    Вес репутации
    58
    сделал
    Последний раз редактировалось Mr_Kiss; 29.01.2009 в 18:38.

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Теперь чисто.
    I am not young enough to know everything...

  20. #19
    Junior Member Репутация
    Регистрация
    11.06.2008
    Сообщений
    80
    Вес репутации
    58
    Огромное спасибо за помощь !!!
    Как говориться респект вам всем и уважуха...

    Теперь меркантильный вопрос:
    Я регулярно проверяю свой комп на вирусы
    Основная проблема в том, что большая часть антивирусов не обнаруживает вирусы, по которым приходится обращаться в вам за помощью...

    Поскажите по каким признакам в логах AVZ можно понять, что на компе есть вирус чтоб обратиться к специалистам, таким как вы ?

  21. #20
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Записывайтесь в "Студенты". Будем обучать, причем совершенно бесплатно.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  • Уважаемый(ая) Mr_Kiss, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите избавиться от троянов
      От storno2001 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 12.11.2010, 03:05
    2. Помогите избавиться от троянов!
      От Anton063 в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 11.08.2010, 11:16
    3. Помогите избавиться от троянов
      От wheeller в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 30.07.2009, 22:57
    4. помогите избавиться от троянов
      От чегевара в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 18.03.2009, 12:07
    5. Помогите избавиться от троянов
      От Андрюха59 в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 04:49

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01294 seconds with 19 queries