Итак я пожалуй начну)
У меня стоит тройная степень защиты в виде outpost firewall Nod32 trojan remover (скоро залью на сайт)
Странно, но при попадании ко мне некого twex.exe (Windows/system32/twex.exe) trojan remover, который каждый раз при запуске проверяет на наличие "левых" или зараженных файлов и ключи реестра в течении минуты. И так он мне намекнул, что есть в наличии файл twex.exe. Немного погуглив нашел вот что
Trojan-Spy.Win32.Zbot.ikh
Детектирование добавлено 21 дек 2008
Технические детали Троянская программа-шпион, предназначенная для похищения конфиденциальной информации пользователя. Является приложением Windows (PE-EXE файл). Имеет размер 67072 байта.
Инсталляция
Троянец копирует свой исполняемый файл в системный каталог Windows:
%System%\twex.exe
Для автоматического запуска при каждом следующем старте системы троян добавляет ссылку на свой исполняемый файл в ключ автозапуска системного реестра:
[HKLM\software\microsoft\windows nt\currentversion\winlogon]
"userinit" = "C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,
если хотите ознакомиться поподробнее
Попытался удалить ключ реестра, который он добавляет в winlogon, но удалить его так и не получилось.
Пытался снести его несколькими
1.Добавить файл в карантин - но он упорно сопротивлялся добавляя в диспетчер задач процесс winlogon, который опять же завершить нельзя
2.Удалить сам файл twex.exe не получалось несмотря на то, что имел нулевой размер.
3.Пытался заменить этот файл с таким же названием на свой - опять же казус.
Единственное что помогло ZBotKiller
ZBotKiller копировал в папку с заразой запустил и все оказалось очень просто - файл был удален, запись реестра стерта. Надеюсь это кому-то поможет=)
