предположительно win32.HLLW.Lime

Небольшая локалка, шары на файловом сервере подключены как сетевые диски на локальных ПК. В сетевых дисках нескольких пользователей были замечены autorun.inf и скрытая папка с .ехе файлом.
Вирус на сервере к счастью не активируется - некому его там локально запускать и детектится CureIT и НОДом (правда последний запаздывает с обновлением баз, первая модификация была добавлена после моего рапорта, сейчас вот про вторую модификацию послал)

на локальном ПК вирус хитро спрятан и не детектится НОД и CureIT. Единственный видимый признак - авторан и ехе на сетевом диске пользователя.

ещё заметил на сервере непонятное UDP подключение с этого ПК на
uvjek.kuvai.svoje.aljosaborkovic.com
порт к сожалению не записал. На самом ПК это подключение не видно. (возможно было кратковременное и я просто не успел)

Во вложении логи хайджек, авз и два архива с куском вируса (пароль 1234567890 )

Запустите AVZ.
В меню AVZPM -> Установить драйвер расширенного мониторинга.
Перезагрузите компьютер.
Выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.

[url]http://virusinfo.info/showpost.php?p=605799&postcount=6257[/url]
результат выполнения п-та 2 диагностики во вложении
спасибо

Нет ничего подозрительного.

не могу возразить... там странная история вообще получается.

Сначала у новой сотрудницы, которая полдня поработала за ПК, при подключении сетевых дисков, на них появились авторан инф и скрытая папка.
Антивирус НОД на сервере на тот момент не детектил. Антивирус на локальном ПК не детектил. (за сутки мой запрос в Исете обработали и добавили вирус в базу)
CureIT отловило файл на сервере, память чистая
им же просканировал ПК - чистый
Восстановил систему из образа и не стал заморачиваться с отловом.

Через пару дней второй случай, по которому я уже отписал сюда, с другим ПК. Если сопоставить время создания авторана на сетевом диске и логов интернет-сервера, то счастье пришло с одноклассников (в первом случае статистика на нового юзера ещё не была заведена, но предположительно тоже гость из соцсетей).
НОД на сервере задетектил авторан, но упорно игнорировал .ехе даже при тыканьи носом. CureIT согласился что это вирус, но в памяти сервера чисто.
НОД на ПК молчал, CureIT на ПК нашел что-то вроде csrss.exe в %userprofile% и все, память так же чистая.

На сервере чисто вот уже два дня.

Странная история... но раз в логах заразы не видно, то пока наверное можно закрыть. Возможно это какой-то недовирус который срабатывает при запуске и не оставляет ничего в системе.

Спасибо за внимание.