Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 29.

Отсутствующий twex.exe + "левый" трафик (заявка № 40948)

  1. #1
    Junior Member Репутация
    Регистрация
    03.03.2009
    Сообщений
    23
    Вес репутации
    33

    Thumbs up Отсутствующий twex.exe + "левый" трафик

    Доброго всем. Есть подозрение на вирусную активность.

    Началось все с подозрительного трафика (TCP OUT), который генерит svchost.exe на адрес 193.27.246.195, порт 80. Реже на 69.64.445.229, тот же порт.
    Через гугл и вышел на подозрение в Trojan-Spy.Zbot.
    При этом ничего другого подозрительного на машине не происходит, iexplore работает нормально, окошек не появляется, все системные утилиты доступны (правда, в task manager перестало показывать имена пользователей у процессов). Установлен Comodo Firewall 3, в котором Defense+ ничего не сообщал - ни изменений файлов, ни новых ключей реестра. Да вообще ничего подозрительного давно уже не было, вот что-то стукнуло active connections посмотреть... и на тебе!

    Проверка Ad-Aware 2008, ESET Nod32 online, "Средство удаления вредоносных..." от Микрософт ничего не дала. Поставил AVZ, который нормально отработал один раз, пока не обновился на свежие базы (хотя может и не в этом причина).

    Сейчас ситуация такая:
    1. Трафик на те адреса идет. Причем пытается как с локального адреса, так и когда получаю реальный ip (в инет хожу через vpn провайдера).
    2. Файла twex.exe нету, так же как и других, которые появлялись у людей с похожей проблемой на этом форуме (посмотрел несколько топиков, поискал у себя те подозрительные, которые рекомендовали удалять - нету).
    3. Ключ userinit "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\syste m32\twex.exe" присутствует! Но не редактируется. Вернее, стираешь все до userinit.exe, стоит перейти на другу ветку даже, возвращаешься - ключ в том же виде. Тоже и в безопасном режиме.

    Логи такие получились - от первого запуска, который чудом сам решил сохранить, и второй скрипт со сбором инфомрации, который отработал успешно. Первый до конца не отрабатывает, вылетает с ошибкой access violation, как при отключенном Comodo, так и с ним.
    Да, и еще от HijackThis

    Прошу помочь разобраться, есть у меня вирус или нет. Очень напрягает паразитный трафик.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\twex.exe','');
     DeleteFile('C:\WINDOWS\system32\twex.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    03.03.2009
    Сообщений
    23
    Вес репутации
    33
    Спасибо. Скрипт выполнил. Карантил выслал. Логи не получается повторить полностью - скрипт лечения/карантина не завершается нормально, в процессе работы много ошибок доступа (access violation), после этого даже окно программы не реагирует на действия. В папке LOG создается только файл virusinfo_cure.zip. Как бы это побороть?

    Второй скрипт (сбора информации) работает нормально. Прикрепляю.

    P.S. Уже есть положительные результаты - трафик на левые адреса прекратился.
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Лог Хиджака сделайте.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    03.03.2009
    Сообщений
    23
    Вес репутации
    33
    Павел, сделал.
    Да, забыл сказать - вернулись имена пользователей, от которых запущены процессы в Диспетчере задач. По упомянутым адресам не было обращений с последней чистки, как прислал карантин.

    Имеет смысл выполнить скрипт "лечение/каратин" в safe mode? Все-таки хочется получить от него информацию...
    Вложения Вложения

  7. #6
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Сделайте полную проверку AVPTool и повторите логи...

  8. #7
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Профиксите:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\twex.exe,

    повторите лог Хиджака.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  9. #8
    Junior Member Репутация
    Регистрация
    03.03.2009
    Сообщений
    23
    Вес репутации
    33
    Цитата Сообщение от PavelA Посмотреть сообщение
    Профиксите:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\twex.exe,

    повторите лог Хиджака.
    Сделал.
    Вложения Вложения

  10. #9
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Чисто...

  11. #10
    Junior Member Репутация
    Регистрация
    03.03.2009
    Сообщений
    23
    Вес репутации
    33
    Получилось логи AVZ сделать! Нашел виновника - Comodo, при выходе из файра и антивиря надо еще самому службы вручную останавливать (одна так и не согласилась) и прибивать процессы. После этого AVZ отработал нормально, логи прикладываю.

    Похоже, еще не совсем чисто. Функции он восстановил, но эти строки беспокоят:

    Функция NtEnumerateKey (47) перехвачена (8056EF30->F85B3CA2), перехватчик spoz.sys
    Такого файла нету, видать опять прячется

    И вот это - нормально?
    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 82FDD1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 82FDD1F8 -> перехватчик не определен
    и т.д.
    P.S. Создался еще virusinfo_cure.zip, прикладываю его на всякий.
    Вложения Вложения
    Последний раз редактировалось Ronny; 04.03.2009 в 15:27.

  12. #11
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    А вот это зря!!!
    Карантин надо по http://virusinfo.info/upload_virus.php?tid=40948 присылать.
    Отсюда удалить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  13. #12
    Junior Member Репутация
    Регистрация
    03.03.2009
    Сообщений
    23
    Вес репутации
    33
    Извиняюсь, переделал

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    spoz.sys от Даемона. Перехваты его же.

    Добавлено через 1 минуту

    В карантине guard32.dll ot Comodo + twex.exe
    twex.exe был удален ранее.
    Последний раз редактировалось PavelA; 04.03.2009 в 15:49. Причина: Добавлено
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Пришлите файл
    C:\WINDOWS\system32\drivers\ddnt.sys
    согласно Приложению 2 Правил.

  16. #15
    Junior Member Репутация
    Регистрация
    03.03.2009
    Сообщений
    23
    Вес репутации
    33
    Цитата Сообщение от AndreyKa Посмотреть сообщение
    Пришлите файл
    C:\WINDOWS\system32\drivers\ddnt.sys
    согласно Приложению 2 Правил.
    Сделал.

    spoz.sys от Даемона. Перехваты его же.
    Так в итоге - плохо/хорошо?

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Если Даемон стоит, то это так и должно быть.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    03.03.2009
    Сообщений
    23
    Вес репутации
    33
    Цитата Сообщение от PavelA Посмотреть сообщение
    Если Даемон стоит, то это так и должно быть.
    Так Даемон - это DAEMON Tools, эмулятор CD/DVD? Да, стоит. Теперь допонял

  19. #18
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    По файлу подождем ответа аналитиков...

  20. #19
    Junior Member Репутация
    Регистрация
    03.03.2009
    Сообщений
    23
    Вес репутации
    33
    Дальше интереснее. Теперь тот проблемный скрипт лечения/карантина отработал без ошибок и при запущенных Comodo Firewall и Antivirus. Результаты интересные - та же 31 функция перехвачена и восстановлена... Объясните, плиз - это комодошные функции или все-таки следы заразы в системе? Теперь и новый источник - spfs.sys. Это все тот же DAEMON?

    P.S. Скрипт сделал новый карантин - на всякий случай залью.
    Вложения Вложения

  21. #20
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    spfs.sys-эмулятор, перехваты от него и защитного софта...

  • Уважаемый(ая) Ronny, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Нужна помощь: панель и "левый" антивирус
      От Путник в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 14.05.2010, 22:05
    2. Появился "левый "локальный диск Q
      От Serz1 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 05.03.2010, 21:19
    3. Сыпится "левый" трафик
      От ИгOPь в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 07:43
    4. Ответов: 10
      Последнее сообщение: 03.02.2009, 21:26
    5. Идет "левый" входящий трафик
      От hlamin в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.09.2008, 18:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01317 seconds with 17 queries