25 ответов в этой теме

[Алексс]

Откопал сегодня случайно, что грузится в реестре файлик с неким именем twext.exe. при удалениизаписи, востанавливается. Есть парочка twext.dll, но они кажется от винды. twext.exe открыт потсоянно и не хочет копироваться (всё равно достану ведь). кто-то встречал подобное? Тикет вышлю через небольшое время, как к файлику доберусь.

[Borka]

кто-то встречал подобное?

У меня такое было - такие же симпотмы. Мой суслик уже детектится
E:ZZZZtwext.exe - infected with Trojan.PWS.Panda.12

---
С уважением,
Borka.

[In Web We Trust]

[v.martyanov]

А, старый добрый NTOS...

[ILNARus]

логи hijackthis и RKU в студию.
Вирус-троян. Может быть не один.


Очистите темп-папки, кэш проводников и корзину.

[ILNARus]

уже 3 ответа...

[Алексс]

Сейчас файлик снесу и посмотрю что будет. dll я так понимаю не от сего авиря? (машина в сети работает, немного смахивает на файл сервер, но только немного и выключать просто так не хочется).

[v.martyanov]

Нам его пришлите перед сносом :-)

[Алексс]

Нам его пришлите перед сносом :-)

или кто-то правит мои сообщения кроме меня или у меня галюцинации?
Кажется писал же ответ :(
http://www.virustotal.com/ru/analisis/d927...e4df8670d9ef726
тикеты
[drweb.com #603684]
[drweb.com #603685]
по [drweb.com #603684] пришёл уже ответ на автомате.
Ваш запрос был проанализирован. Решено автоматически. Запись о новом вирусе добавлена в базу.
Вирус: Trojan.Packed.142.

Надеюь найдёт и излечит:)
Может кто подскажет что этот вирь делает в машине?

[Vlad]

А кто может подсказать, как избавиться от этого файла в реестре?
Сам вирус успешно прибит, но после каждой перезагрузки запись о twext.exe появляется в ключе:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinitC:WINDOWSsystem32userinit.exe,C:WINDOWSsystem32t
wext.exe

[ILNARus]

что еще осталось, либо восстановление системы, хотя врядли...
логи бы посмотреть... хотя бы HJ и RkU
-------------------------------------------------
Безопасный Интернет
Я в контакте

[mrbelyash]

Вручную,редактором реестра...Должно быть

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonUserinitC:WINDOWSsystem32userinit.exe,

Все что после запятой-удалить
-------------------------------------------

http://mrbelyash.narod.ru/utils.html
Искренне Ваш,мистер Беляш

[ILNARus]

вроде написали, что удаляют, но восстановливается...



кстати, как заставить отчет обновиться http://www.virustotal.com/ru/analisis/d927...e4df8670d9ef726, а то не видно что Веб определяет
-------------------------------------------------
Безопасный Интернет
Я в контакте

[Vlad]

Он восстанавливается.
Причем, все даже веселее. У меня установлен Ad-Ware с плагином Ad-Watch, который постоянно мониторит изменения реестра. Так вот, при загрузке Ad-Watch ловит изменение и восстанавливает старое правильное значение ключа, ключ тут же меняется обратно, Ad-Watch простестует... И так до бесконечности. :)
То есть, запущена какая-то гадость, которая постоянно готова менять ключ на не правильный.

[v.martyanov]

Ну вам уже посоветовали тулзины, логи которых нужно смотреть ;-)

[mrbelyash]

IE?
Сделайте лог Хайджеком и прикрепите лог сюда.
http://wiki.drweb.com/index.php/HijackThis
И лог RKU....Скачать можно здесь
http://wiki.drweb.com/index.php/Скрытые_процессы

-------------------------------------------

http://mrbelyash.narod.ru/utils.html
Искренне Ваш,мистер Беляш

[Алексс]

Сам вирус успешно прибит, но после каждой перезагрузки запись о twext.exe появляется в ключе:

Значить не прибит файл то.

[v.martyanov]

Может, прибит да не весь.

[Vlad]

Вот логи.
В HijackThis строка записи twext.exe в реестр есть, но она не прибивается...

[Vlad]

Второй лог