Ключевое слово - вирус twex.exe

[dedrimk]

Помогите.
Началось с сообщения о вирусе (сообщает Avast) C:\windows\file.bat (VBS:Malware-gen). Сам файл легко удаляетсz, но потом всё равно появляется (отключил восстановление системы и делал под safety mode - hjack + avz + cureit), правда в hjack - запись про twex.exe не удаляется ни в какую.
В автозагрузке ничего подозрительного (на мой взгляд) не стоит.
Стоит фаерволл comodo - он постоянно ругается на services.exe - может быть это както поможет делу.

Логи, согласно правилам - прилагаю. Заранее благодарю (мучаюсь второй день, пока винда жива).

[PavelA]

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\services.exe','');
 QuarantineFile('C:\WINDOWS\system32\twex.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\sxosiax.sys','');
 DeleteFile('C:\WINDOWS\system32\twex.exe');
 DeleteFile('C:\WINDOWS\services.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=43351

[dedrimk]

Спасибо за код.
После перезагрузке сделал логи заново.
По вопросу карантина - если я правильно понял - я добавил все файлы из карантина в архив. Архив загрузил

[PavelA]

Trojan.Win32.Agent2.hht - 'C:\WINDOWS\services.exe' удален.

Логи в нормальном режиме сделайте.

[dedrimk]

Извиняюсь. Сделано! Загрузил карантин заново. Логи тоже. Режим винды - обычный.

[PavelA]

В логах чисто.
Надо поставить СП3 + апдейты.
Желательно разобраться с:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей

[dedrimk]

Павел извините за бока с загрузкой карантина (теперь я понял что надо делать и когда) - в плане что второй раз не надо было загружать (а в первый раз надо было загрузить только те файлы, которые вы указали в коде). Блин, думал не ошибусь. Ну да ладно - впреть умнее буду.

По Сп3 и апдейтам - понял. Сделаю. По службам - починим.
Автозапуск - мне необходим. Авторун лечим просто.

Спасибо за помощь.

[PavelA]

Можете помочь нам отсылкой чистых файлов. Как сделать написано вот в этой теме:
http://virusinfo.info/showthread.php...newpost&t=3519

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 26
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\services.exe - Trojan.Win32.Agent2.hht
  2. c:\windows\system32\twex.exe - Trojan-Spy.Win32.Zbot.rov

Рекомендации:

1. Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !