Доброго Времени Суток, имеется зараженный ноут, был просканен Утилитой Кашперовского и Emsisoft Anti-Malware, вирус найден удален, также была чистка автозагрузки (через Авторан утилиту) всех возможных мест руками, всё удалено, но! после посещения интернета (флеш-модем МегаФон) вирус воскрес!
Какие симптомы:
-на сьемных носителях появляется неудаляемый авторан.инф с папкой RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe
этаже папка с файлом живет на диске С
-после входа в инет через некоторое время подвисает internet explorer and explorer.exe
Думаю может этот гад гдето еще живет? может в драйверах где или еще каким нить способом загружается...
ПС: ноут не мой владельцы чайники антивирус был стар обновив его легче не стало, вирус видит но только его последствия удаляет какойто файл x.bat на диске С....поглядите логи мож какие процессы, драйвера подозрительные...

Уберите virusinfo_cure.zip из вложения!!!

Обновите Internet Explorer до IE8 (http://www.microsoft.com/windows/internet-explorer/worldwide-sites.aspx)

Зоркий глаз сами устанавливали?

Проверьте сами на http://www.virustotal.com файлы


c:\program files\зоркий глаз\base\execctrl.dll
c:\program files\megafon internet\updatedog\ouc.exe


ссылку на результат запостите здесь

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\repsvc.exe');
TerminateProcessByName('C:\WINDOWS\ggdrive32.exe');
QuarantineFile('c:\windows\repsvc.exe','');
QuarantineFile('C:\WINDOWS\system32\repsvc.exe','');
QuarantineFile('C:\WINDOWS\system32\01.scr','');
QuarantineFile('C:\WINDOWS\ggdrive32.exe','');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
DeleteFile('C:\WINDOWS\system32\01.scr');
DeleteFile('c:\windows\repsvc.exe');
DeleteFile('C:\WINDOWS\system32\repsvc.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Remote Registry Service');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.



После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы

Пофиксить в HijackThis (http://forum.oszone.net/post-1430293-2.html) следующие строчки:

R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: (no name) - AutorunsDisabled - (no file)
O4 - HKLM\..\Run: [Remote Registry Service] repsvc.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\ggdrive32.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\ggdrive32.exe
O9 - Extra button: (no name) - AutorunsDisabled - (no file)


Сделайте повторные логи AVZ с обновленными базами!!!+ RSIR

Скачайте Malwarebytes' Anti-Malware (http://www.besttechie.net/mbam/mbam-setup.exe) или с зеркала (http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM

Зоркий глаз сами устанавливали? »
ДА http://exnax.narod.ru/antivir.htm

Файл карантина (virusinfo_cure.zip) не надо вкладывать во вложения, и ссылки не надо на него давать!
Только по требованию хэлпера.
Уберите ссылку, пожалуйста, на virusinfo_cure.zip.
Логи жду

Серьезный случай, забрал ноут к себе...

Установите все новые обновления для Windows!! через дырки лезет эта зараза.
Иначе, борьба с сетевым червем будет подобна борьбе с ветряной мельняцей

- Запустите MBAM
- выберите Perform Full Scan (Провести полную проверку)
- нажмите Scan (Проверить)
- после сканирования выберите Ок и далее Show Results (Показать результаты)
- нажмите Remove Selected (удалить выделенные, внимание - проверьте то, что удаляете).

Заражённые папки:
c:\RECYCLER\r-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> No action taken.

Заражённые файлы:
c:\WINDOWS\nigzss.txt (Malware.Trace) -> No action taken.
c:\xdx.exe (Worm.Palevo) -> No action taken.
После удаления откройте лог и прикрепите его к сообщению.

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.


begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\documents and settings\user\serv8.exe');
TerminateProcessByName('c:\documents and settings\user\ms.exe');
TerminateProcessByName('c:\windows\ggdrive32.exe');
QuarantineFile('C:\xdx.exe','');
QuarantineFile('C:\WINDOWS\system32\88.exe','');
QuarantineFile('C:\WINDOWS\system32\61.exe','');
QuarantineFile('C:\WINDOWS\system32\01.exe','');
QuarantineFile('C:\WINDOWS\system32\00.exe','');
QuarantineFile('G:\autorun.inf','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,explorer.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('c:\documents and settings\user\serv8.exe','');
QuarantineFile('c:\documents and settings\user\ms.exe','');
QuarantineFile('c:\windows\ggdrive32.exe','');
QuarantineFile('C:\Documents and Settings\User\dq.exe','');
DeleteFile('C:\Documents and Settings\User\dq.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('c:\documents and settings\user\ms.exe');
DeleteFile('C:\Documents and Settings\User\serv8.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe,explorer.exe');
DeleteFile('C:\WINDOWS\ggdrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\acleaner.exe');
DeleteFile('G:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\00.exe');
DeleteFile('C:\WINDOWS\system32\01.exe');
DeleteFile('C:\WINDOWS\system32\61.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
DeleteFile('C:\xdx.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Advanced HTTPL Enable');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Tnaww');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run ','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\ggdrive32.exe');
BC_Activate;
ExecuteWizard('TSW', 2, 2, true);
RebootWindows(true);
end.


После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин.Отправьте c:\quarantine.zip при помощи этой (http://www.oszone.net/virusnet/) формы

повторяем все логи

См.

Как ваши дела? В логах чисто

1)Установить все возможные обновления продуктов Adobe (http://www.adobe.com/ru/), которые установлены на вашем компьютере или удалите их.

2)Срочно смените и усложните все пароли (qwert или 1234 не есть сложный пароль): для учетных записей администраторов и пользователей, от e-mail, аккаунтов в интернете и прочие.

3)Деинсталлируйте gmer, запустите C:\WINDOWS\gmer_uninstall.cmd
4)Деинсталлируйте Malwarebytes' Anti-Malware - программа предназначена для временного пользования

Создайте новую контрольную точку восстановления и очистите заражённую:
1. Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
2. Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать.
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1) скачайте ATF Cleaner (http://www.atribune.org/ccount/click.php?id=1), запустите, поставьте галочку напротив Select All и нажмите Empty Selected. если вы используете Firefox, нажмите Firefox - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли если вы используете Opera, нажмите Opera - Select All - Empty Selected нажмите No, если вы хотите оставить ваши сохраненные пароли
Рекомендуем для предотвращения заражения:
- не работать за компьютером с правами администратора
- при использовании Internet Explorer отключить в нем ActiveX и настроить безопасность (рекомендую использовать Firefox c плагином NoScript)
- регулярно устанавливать обновления windows и обновлять антивирусные базы

Всё отлично, адоб удалю, что делает АТФ Клинер с Оперой и Лисой?
ну и на последок...

МБАМ Обновил, инет вкл.

ПС: из за чего всетаки воскресал вирус, грузился какойто драйвер?

Чисто
из за чего всетаки воскресал вирус, »
это сетевой червь, http://ru.wikipedia.org/wiki/%D0%A1%D0%B5%D1%82%D0%B5%D0%B2%D1%8B%D0%B5_%D1%87%D0%B5%D1%80%D0%B2%D0%B8
о делает АТФ Клинер с Оперой и Лисой? »
чистит временные файлы

Вы запускали Combofix?
лог могу увидеть?

Что из этого вам нужно? Для закрытия уязвимостей дам вам скрипт

Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей

Оставим автозапуск программ с CDROM и автозапуск со сменных носителей, автозапуск будет защищать Зоркий Глаз


ПС: Не подскажете ктонить пакует UpdatePack на Офис 2003 может на озоне есть?

Оставим автозапуск программ »
а что с потенциально опасными службами?

ПС: Не подскажете »
посмотрите здесь по офису темы http://forum.oszone.net/forum-115.html
http://forum.oszone.net/thread-166498.html

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://safezone.cc/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://safezone.cc/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up

а что с потенциально опасными службами? »

остальное можно отключить

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

begin
SetServiceStart('TlntSvr', 4);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
end.

Подробнее об отключенных службах здесь http://www.oszone.net/display.php?id=2517

Всё сделал спасибо, ПК вылечен тема закрыта

Рада за вас, чистого инета!