Отсутствующий twex.exe + "левый" трафик

[Ronny]

По файлу подождем ответа аналитиков...

Файлец действительно странный. Хотя вот тут говорят, что это драйвер dongle-ов. У меня как раз установлены использующие защиту по ключу программы - DejaVu и Trados. Может, это как-то поможет вашим аналитикам
В реестре на него ссылки есть, но ошибочные:
ImagePath = \??\C:\WINDOWS\system32\drivers\ddnt.sys

Добавлено через 20 минут

spfs.sys-эмулятор, перехваты от него и защитного софта...

Т.е. можно считать (я понимаю, не 100%), что система теперь чистая?

[Гриша]

ddnt.sys

Вредоносный код в файлах не обнаружен.

[Ronny]

Вернусь к теме. Ad-Aware 2008 обнаружил (раньше не находил) CoolWebSearch:

CoolWebSearch Malware 10
[584924] File: C:\WINDOWS\system32\dllcache\fixmapi.exe
[584924] File: C:\WINDOWS\system32\fixmapi.exe
[17545] Root: HKU Path: S-1-5-21-861567501-1202660629-1708537768-1003\software\microsoft\internet explorer\main Value: Start Page Data: about:blank

Зашлю вам на всякий случай этот fixmapi по приложению 2

[PavelA]

CoolWebSearch - рекламокритилка, очень известная и популярная вещь.

[Ronny]

А не получается.... карантин пустой. Может, просто запаковать с паролем?

[Гриша]

Ручками его запакуйте с паролем "virus" и пришлите...

[Ronny]

Сделал

[Гриша]

fixmapi.exe

Вредоносный код в файле не обнаружен.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 5
• Обработано файлов: 8
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\twex.exe - Trojan-Spy.Win32.Zbot.oog( DrWEB: Trojan.PWS.Banker.27318, BitDefender: Backdoor.Bot.87472 )

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !