Помогите избавиться от twext.exe и его троянов...

Помогите избавиться от twext.exe и его троянов...

Судя по логам, ни twext.exe, ни "его троянов" у вас уже нет, только следы в реестре.

[b]Отключите восстановление системы![/b]

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\BAGENTLS.exe');
DeleteFile('D:\WINDOWS\VKRDNGCA.exe');
DeleteFile('D:\WINDOWS\jjaczjjj.exe');
DeleteFile('D:\WINDOWS\system32\twext.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Сделайте новые логи (только п.2 и 3 раздела Диагностика).

Пояснения:
1. Я получил предупреждение от провайдера о спам-вирусах на компе, после этого начал проверять разными средствами
2. AVP Removal Tool нашел какой-то троян и прибил его, но каждый раз ругался на twext.exe, и в реестре постоянно после перезагрузки восcтанавливался ключ
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit с сылкой на него
3. Как минимум до выполнения скрипты кол-во исходящих пакетов с компа значительно превышало кол-во входящих

Ничего плохого. Что с проблемами?

[quote=light59;326317]Ничего плохого. Что с проблемами?[/quote]
Извините, не понял вопроса ?

Что с проблемами? Они остались?

Исходящий трафик очень сильно активизируется при загрузке страниц или аналогичных действий
кол-во исходящих пакетов до 5-10ти раз больше входящих
в спокойном состоянии (если ничего не делать) сниффер показывает исходящие пакеты на:
212.117.164.13:1913
66.111.4.73:25
94.100.176.20:25
64.233.183.27:25
216.157.145.27:25

и еще по мелочи...

лог virusinfo_[B]sys[/B]cure.zip сделайте и прикрутите к теме.

сделал...

Для начала для проверки выолните скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\mmmiadia.dll','');
QuarantineFile('D:\Documents and Settings\Enter\Enter.exe','');
QuarantineFile('D:\WINDOWS\system32\drivers\netsik.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

То, что попадет в карантин пришлите по Правилам.

Файл сохранён как 081225_235043_virus_4953f223afbad.zip
Размер файла 107363
MD5 08c4e9026e06ac24f63604896cb9c98b

Еще обнаружил 3 очень подозрительных файла
D:\Documents and Settings\Enter\S87ekhV.exe
D:\Documents and Settings\Enter\svchost.exe
D:\Documents and Settings\Enter\vasdrvwin.exe

Все три файла в карантине - вредоносные, причем подхватили совсем недавно, в предыдущих логах их не было!

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\system32\drivers\netsik.sys');
DeleteFile('D:\Documents and Settings\Enter\Enter.exe');
DeleteFile('D:\WINDOWS\system32\mmmiadia.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('netsik');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.

Остальные подозрительные файлы запакуйте в zip-архив с паролем [I]virus[/I] и загрузите по ссылке для карантина.

Сделайте новые логи.

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

P.S. Пора ставить антивирус, а то не будем успевать вас лечить! ;)

[quote=Bratez;326727]Все три файла в карантине - вредоносные, причем подхватили совсем недавно, в предыдущих логах их не было!
[/quote]
Похоже дочка в Инете пошарилась... пока на работе был... в поисках музыки Ранеток...

Файл сохранён как 081226_044748_virus_495437c41c94b.zip
Размер файла 235098
MD5 0aef5865a5296048ab2beb934d467b59

При попытке скана 3х подозрительных файлов, CureIt в них ничего не нашел, зато прибил вирус BackDoor.Zapinit в файле user32.dll

Какая-то гадость настолько занимает сетевой интерфейс что его невозможно отключить, даже комп при перезагрузке зависает...

Все три файла в последнем архиве - трояны. В системе они не прописаны, просто удалите их. А в логах опять что-то новенькое.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('D:\WINDOWS\system32\drivers\ati64si.sys','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.

[size="1"][color="#666686"][B][I]Добавлено через 43 секунды[/I][/B][/color][/size]

А user32.dll был вылечен или удален?

[quote=Bratez;326741]А user32.dll был вылечен или удален?[/quote]
вылечен

Файл сохранён как 081226_075059_virus_495462b363a49.zip
Размер файла 12124
MD5 ca1b8167dc17ebd5e608a04d4c606fad

[URL="http://virusinfo.info/showthread.php?t=7239"]В AVZ -> файл-> Выполнить скрипт[/URL]

[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('ati64si');
DeleteFile('D:\WINDOWS\system32\drivers\ati64si.sys');
BC_ImportDeletedList;
BC_DeleteSvc('ati64si');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
Повторите логи по правилам.

сделал

Теперь чисто.

Огромное спасибо за помощь !!!
Как говориться респект вам всем и уважуха...

Теперь меркантильный вопрос:
Я регулярно проверяю свой комп на вирусы
Основная проблема в том, что большая часть антивирусов не обнаруживает вирусы, по которым приходится обращаться в вам за помощью...

Поскажите по каким признакам в логах AVZ можно понять, что на компе есть вирус чтоб обратиться к специалистам, таким как вы ?

Записывайтесь в "Студенты". Будем обучать, причем совершенно бесплатно.