Набор: csrcs.exe, twex.exe, autoit, трояны.

Подозрения начались когда шло обращение по https к банковскому сайту - при успешном (!) вводе пароля появлялась табличка с ошибкой Sysfader:Iexplore.exe память не может быть read и т.д. (в гугле насчитал с два десятка причин и следствий этой ошибки - ничего не помогает). Поубивал все графические эффекты и надстройки в эксплорер. Перестановил эксплорер на новый (с SP2). При углубленном анализе нашел csrcs.exe и сотоварищи (AutoIt). Поскольку вирус занес себя в доверенные приложения в Nod32 (v.2.50) антивирь его не видел в упор. Удаление ключей реестра не помогло. Более того, csrcs периодически запускает cmd.exe, а из под него net.exe (по данным Process Explorer). Периодически идут запросы в турцию:
[B]svchost.exe:964 TCP computer.mshome.net:1907 79.135.187.20:http[/B] даже при удаленных exe-шниках. По этому адресу живет на скорую руку настроенный апач. Далее обнаружил c:\WINDOWS\Offline Web Pages\svchost.exe. Удалил. Пока не появлялся. Однако, svchost.exe упорно лезет к хозяину в жаркую турцию. Система в целом работает не стабильно. Сейчас пишу сообщение сдвинув табличку с очередной ошибкой эксплорера. Еще замечен неудаляемый c:\WINDOWS\system32\ht8x2.exe, в описании которого значится - AutoIt v3 Compiled Script, v.1.8.2.3, язык - Македонский!

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,
O4 - Startup: is-45BAU.lnk = ?
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\senekabsiymsnv.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\senekabsiymsnv.sys');
DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=38870[/url]).
Сделайте новые логи.

Проделал все согласно инструкции. Часть файлов я уже удалил вручную до этого поэтому в карантине их нет. Обращения трояна к хозяину прекратились. Система работает стабильно. Ошибка sysfader исчезла. Однако, остался вопрос - что это было, что он собирает, типичное ли поведение или это модифицировано с надписью "специально для вас"? Ведь ошибка была только если в банк-клиенте (который работает через веб-интерфейс) ввести именно правильный пароль. При неправильном все ок. Где почитать можно про это?

Огромное спасибо Вам!

[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]

Сейчас будут логи. Проблема не решена окончательно - "подарки" остались.

Забыл написать: перед созданием новых логов желательно установить AVZPM и перезагрузиться. Ну если я чуток не успел, давайте пока так.

Проблема

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Проблема сложнее чем я думал. Проснулся нод32, опять стадо вирусни. Прокси, трояны... Разбираться буду. Тогда уж включу фичу в авз - лишний ребут не помеха :). Минут через 20 скину все логи скрины. Подозреваю это все-таки модифицированные с определенной целью версии. Спасибо.

К сожалению, не выключил нод, поэтому он съел трояна до того как авз успел на него посмотреть... надеюсь это не проблема.

Авз не видит этих файлов. Нод обнаружил не все и удалил. Во вложении ветки реестра по поиску seneka и результаты поиска файлов по слову seneka. Все удалено. Завтра будут новые логи.

Кого увидел AVZ:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\drivers\senekabsiymsnv.sys - [B]Trojan.Win32.Monderc.gep[/B][/LIST][/LIST]