Червь Win32/AutoRun.Agent.TV

Добрый день! Постоянно появляется червь Win32/AutoRun.Agent.TV. Обнаруживается НОДом, возникает в тех же папках, из которых ранее был удален.
Прилагаю логи и надеюсь на Вашу помощь.

Уважаемый(ая) [B]Invictus[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

[CODE]
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)


[/CODE]

Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]

Пофиксил строки. Прилагаю лог MBAM.

[QUOTE]Версия базы данных: v2014.03.10.06
[/QUOTE]
Лог сделан с устаревшей базой данных.

Хм... Обновился по Вашей ссылке в раннем посте, до обновления были базы 2013 года.
Как считаете, стоит ли удалять ту заразу, которую он сумел обнаружить?

Лучше сделать лог с актуальными базами т.к. могут быть ложные срабатывания у программы со старыми базами.

Согласен с Вами, но некоторые файлы действительно заражены. Особенно те двое, что были распознаны MBAM как загрузчики троянов (vxd.exe).
Если они будут удалены, не появятся ли они снова?
Есть ли определенный скрипт для этой ситуации?

[b]Invictus[/b], прикрепите лог и по логу будет видно, что делать дальше.

[quote="Invictus;1155803"]загрузчики троянов (vxd.exe).[/quote]
Заархивируйте эти два файла в zip архив с паролем [COLOR="Red"]virus[/COLOR] и загрузите по ссылке [b][color=Red]Прислать запрошенный карантин[/color][/b] вверху темы.

Прошу прощения за долгую задержку.
Касательно загрузчиков: тут-то я и напортачил - удалил :(. После этого ровно на один день зараза исчезла.
Провел новое сканирование: теперь их стало больше.
Прилагаю новый лог.
[spoiler]Все настолько плохо?[/spoiler]

[QUOTE]Версия базы данных: v2014.03.10.06
[/QUOTE]
Базы по прежнему устаревшие.

Виноват, нашел базы за 27.08.2014.
Выложу свежий лог после обновления и сканирования.

UPD: свежий лог.

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).

[CODE]
Обнаруженные параметры в реестре: 2
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{D4027C7F-154A-4066-A1AD-4243D8127440} (PUP.Optional.FrostwireTB.A) -> Параметры: -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440} (PUP.Optional.FrostwireTB.A) -> Параметры: |ФJf@Ў*BCШt@ -> Действие не было предпринято.

Обнаруженные папки: 2
C:\Users\Iskander\AppData\Roaming\OpenCandy (PUP.Optional.OpenCandy) -> Действие не было предпринято.
C:\Users\Iskander\AppData\Roaming\OpenCandy\8063B97548164201AD044711044E477D (PUP.Optional.OpenCandy) -> Действие не было предпринято.

Обнаруженные файлы:
C:\Users\Iskander\AppData\Roaming\OpenCandy\8063B97548164201AD044711044E477D\Trial-14.0.1000.88_en-US_1004739_ROW-EN.exe (PUP.Optional.OpenCandy) -> Действие не было предпринято.
[/CODE]

Готово, удалил указанные файлы.

Что с проблемой?

Пока все тихо, атак нет.
Большое Вам спасибо за помощь. :)

MBAM деинсталируйте.

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

[url=http://virusinfo.info/showthread.php?t=121902]Советы и рекомендации после лечения компьютера[/url]