Отсутствующий twex.exe + "левый" трафик

Доброго всем. Есть подозрение на вирусную активность.

Началось все с подозрительного трафика (TCP OUT), который генерит svchost.exe на адрес 193.27.246.195, порт 80. Реже на 69.64.445.229, тот же порт.
Через гугл и вышел на подозрение в [COLOR=black]Trojan-Spy.Zbot. [/COLOR]
[COLOR=black]При этом ничего другого подозрительного на машине не происходит, iexplore работает нормально, окошек не появляется, все системные утилиты доступны (правда, в [B]task manager перестало показывать имена пользователей у процессов[/B]). Установлен Comodo Firewall 3, в котором Defense+ ничего не сообщал - ни изменений файлов, ни новых ключей реестра. Да вообще ничего подозрительного давно уже не было, вот что-то стукнуло active connections посмотреть... и на тебе![/COLOR]

[COLOR=black]Проверка Ad-Aware 2008, ESET Nod32 online, "Средство удаления вредоносных..." от Микрософт ничего не дала. Поставил AVZ, который нормально отработал один раз, пока не обновился на свежие базы (хотя может и не в этом причина). [/COLOR]

Сейчас ситуация такая:
1. Трафик на те адреса идет. Причем пытается как с локального адреса, так и когда получаю реальный ip (в инет хожу через vpn провайдера).
2. Файла twex.exe нету, так же как и других, которые появлялись у людей с похожей проблемой на этом форуме (посмотрел несколько топиков, поискал у себя те подозрительные, которые рекомендовали удалять - нету).
3. Ключ userinit "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe" [B]присутствует[/B]! Но не редактируется. Вернее, стираешь все до userinit.exe, стоит перейти на другу ветку даже, возвращаешься - ключ в том же виде. Тоже и в безопасном режиме.

Логи такие получились - от первого запуска, который чудом сам решил сохранить, и второй скрипт со сбором инфомрации, который отработал успешно. Первый до конца не отрабатывает, вылетает с ошибкой access violation, как при отключенном Comodo, так и с ним.
Да, и еще от HijackThis

Прошу помочь разобраться, есть у меня вирус или нет. Очень напрягает паразитный трафик.

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
DeleteFile('C:\WINDOWS\system32\twex.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам и повторите логи...

Спасибо. Скрипт выполнил. Карантил выслал. Логи не получается повторить полностью - скрипт лечения/карантина не завершается нормально, в процессе работы много ошибок доступа (access violation), после этого даже окно программы не реагирует на действия. В папке LOG создается только файл virusinfo_cure.zip. Как бы это побороть?

Второй скрипт (сбора информации) работает нормально. Прикрепляю.

P.S. Уже есть положительные результаты - трафик на левые адреса прекратился.

Лог Хиджака сделайте.

Павел, сделал.
Да, забыл сказать - вернулись имена пользователей, от которых запущены процессы в Диспетчере задач. По упомянутым адресам не было обращений с последней чистки, как прислал карантин.

Имеет смысл выполнить скрипт "лечение/каратин" в safe mode? Все-таки хочется получить от него информацию...

Сделайте полную проверку AVPTool и повторите логи...

Профиксите:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,

повторите лог Хиджака.

[quote=PavelA;365951]Профиксите:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,

повторите лог Хиджака.[/quote]
Сделал.

Чисто...

Получилось логи AVZ сделать! Нашел виновника - Comodo, при выходе из файра и антивиря надо еще самому службы вручную останавливать (одна так и не согласилась) и прибивать процессы. После этого AVZ отработал нормально, логи прикладываю.

Похоже, еще не совсем чисто. Функции он восстановил, но эти строки беспокоят:

[QUOTE]Функция NtEnumerateKey (47) перехвачена (8056EF30->F85B3CA2), перехватчик spoz.sys[/QUOTE]
Такого файла нету, видать опять прячется

И вот это - нормально?
[QUOTE]
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 82FDD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 82FDD1F8 -> перехватчик не определен
и т.д.
[/QUOTE]

P.S. Создался еще virusinfo_cure.zip, прикладываю его на всякий.

А вот это зря!!! :(
Карантин надо по [url]http://virusinfo.info/upload_virus.php?tid=40948[/url] присылать.
Отсюда удалить.

Извиняюсь, переделал

spoz.sys от Даемона. Перехваты его же.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

В карантине guard32.dll ot Comodo + twex.exe
twex.exe был удален ранее.

Пришлите файл
C:\WINDOWS\system32\drivers\ddnt.sys
согласно Приложению 2 Правил.

[quote=AndreyKa;366097]Пришлите файл
C:\WINDOWS\system32\drivers\ddnt.sys
согласно Приложению 2 Правил.[/quote]
Сделал.

[quote]
spoz.sys от Даемона. Перехваты его же.
[/quote]
Так в итоге - плохо/хорошо?

Если Даемон стоит, то это так и должно быть.

[quote=PavelA;366183]Если Даемон стоит, то это так и должно быть.[/quote]
Так Даемон - это DAEMON Tools, эмулятор CD/DVD? Да, стоит. Теперь допонял ;)

По файлу подождем ответа аналитиков...

Дальше [B]интереснее[/B]. Теперь тот проблемный скрипт лечения/карантина отработал без ошибок и при запущенных Comodo Firewall и Antivirus. Результаты интересные - та же 31 функция перехвачена и восстановлена... Объясните, плиз - это комодошные функции или все-таки следы заразы в системе? Теперь и новый источник - [B]spfs.sys[/B]. Это все тот же DAEMON?
[I]
P.S. Скрипт сделал новый карантин - на всякий случай залью.[/I]

spfs.sys-эмулятор, перехваты от него и защитного софта...

[quote=Гриша;366323]По файлу подождем ответа аналитиков...[/quote]
Файлец действительно странный. Хотя вот [URL="http://www.trworkshop.net/forum/viewtopic.php?f=16&t=12078&st=0&sk=t&sd=a&start=0"]тут[/URL] говорят, что это драйвер dongle-ов. У меня как раз установлены использующие защиту по ключу программы - DejaVu и Trados. Может, это как-то поможет вашим аналитикам
В реестре на него ссылки есть, но ошибочные:
ImagePath = \??\C:\WINDOWS\system32\drivers\ddnt.sys

[size="1"][color="#666686"][B][I]Добавлено через 20 минут[/I][/B][/color][/size]

[quote=Гриша;366340]spfs.sys-эмулятор, перехваты от него и защитного софта...[/quote]
Т.е. можно считать (я понимаю, не 100%), что система теперь чистая?

ddnt.sys

Вредоносный код в файлах не обнаружен.

Вернусь к теме. Ad-Aware 2008 обнаружил (раньше не находил) CoolWebSearch:
[QUOTE]CoolWebSearch Malware 10
[584924] File: C:\WINDOWS\system32\dllcache\fixmapi.exe
[584924] File: C:\WINDOWS\system32\fixmapi.exe
[17545] Root: HKU Path: S-1-5-21-861567501-1202660629-1708537768-1003\software\microsoft\internet explorer\main Value: Start Page Data: about:blank[/QUOTE]
Зашлю вам на всякий случай этот fixmapi по приложению 2

CoolWebSearch - рекламокритилка, очень известная и популярная вещь.

А не получается.... карантин пустой. Может, просто запаковать с паролем?

Ручками его запакуйте с паролем "virus" и пришлите...

Сделал

fixmapi.exe

Вредоносный код в файле не обнаружен.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\twex.exe - [B]Trojan-Spy.Win32.Zbot.oog[/B]( DrWEB: Trojan.PWS.Banker.27318, BitDefender: Backdoor.Bot.87472 )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]