Замучил червь Win32/AutoRun.IRCBot.BJ

При каждой загрузке компьютера nod32 выдает одно и тоже сообщение Вирус Win32/AutoRun.IRCBot.BJ червь. Комментарий: "Событие в новом файле, созданном приложением C:\windows\woot.exe. Файл был перемещен в карантин. Вы можете закрыть это окно. "

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
QuarantineFile('C:\WINDOWS\Downloaded Program Files\Nocs.dll','');
QuarantineFile('C:\windows\wind7upd.exe','');
QuarantineFile('C:\windows\system32\config\systemprofile\Application Data\Microsoft\svchosts.exe','');
QuarantineFile('C:\windows\system32\config\systemprofile\Application Data\Microsoft\roummoo.exe','');
QuarantineFile('C:\windows\mshost.exe','');
QuarantineFile('C:\windows\System32\woot.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\tekew.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\quukymmypoun.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\zoumedoo.exe','');
DeleteService('spuypy0lja');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\poossoory.exe','');
DeleteService('d2ugimpyawj3a');
QuarantineFile('C:\windows\System32\drivers\CDAC11BA.EXE','');
QuarantineFile('C:\windows\System32\drivers\CdaC15BA.SYS','');
QuarantineFile('C:\windows\woot.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\quesouzu.exe','');
QuarantineFile('c:\program files\common files\real\update_ob\realsched.exe','');
TerminateProcessByName('c:\windows\woot.exe');
TerminateProcessByName('c:\documents and settings\Администратор\application data\microsoft\quesouzu.exe');
QuarantineFile('c:\windows\system32\drivers\cdac11ba.exe','');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\quesouzu.exe');
DeleteFile('C:\windows\woot.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\poossoory.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\zoumedoo.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\quukymmypoun.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zebika');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\tekew.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pepoussooc');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Firewall auto setup');
DeleteFile('C:\windows\System32\woot.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Data Serivce');
DeleteFile('C:\windows\mshost.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mshost');
DeleteFile('C:\windows\system32\config\systemprofile\Application Data\Microsoft\roummoo.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','pepoussooc');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','pepoussooc');
DeleteFile('C:\windows\system32\config\systemprofile\Application Data\Microsoft\svchosts.exe');
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','svchosts.exe');
RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','svchosts.exe');
DeleteFile('C:\windows\wind7upd.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Пришлите карантин согласно приложению 3 правил

Сделайте новые логи

[URL="javascript:insertNick('Venus%20Doom',%20'546261');"][B][COLOR=brown]Venus Doom[/COLOR][/B][/URL], спасибо. Выполнила скрипт в AVZ. Вот логи. картин отправила

Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\windows\System32\quukymmypoun.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','zebika');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

[URL="javascript:insertNick('snifer67',%20'546862');"][B][COLOR=brown]snifer67[/COLOR][/B][/URL] спасибо) Вот новый лог.

Плохого не увидел. Что с проблемой?

Сейчас сообщение о вирусе перестало появляться. Единственное, когда загружается компьютер, на рабочем столе появляется черное окошко, в котором написано C:/Documets and Settings/Администратор/ net start haspnt. Через несколько секунд появляется надпись процесс завершен и окошко исчезает. Что это может быть?

[size="1"][color="#666686"][B][I]Добавлено через 3 часа 45 минут[/I][/B][/color][/size]

Теперь появляется сообщение : вероятно модифицированный Win32/AutoRun.IRCBot.DI.Событие в новом файле, созданном приложением C:\windows\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно. :sad:

[QUOTE='natali_izyum;547828']на рабочем столе появляется черное окошко, в котором написано C:/Documets and Settings/Администратор/ net start haspnt.[/QUOTE]От чего ломалку используете? :)

[QUOTE='natali_izyum;547828']Теперь появляется сообщение : вероятно модифицированный Win32/AutoRun.IRCBot.DI.[/QUOTE]Новые логи делайте

Простите, какую ломалку?)

[QUOTE='natali_izyum;548341']Простите, какую ломалку?)[/QUOTE]C:\Program Files\Sable\WINNT\startnt.bat

1С, скорее всего.

С Новым Годом!!! Начала проверку компьютера Dr.Web. Он нашел мне кучу файлов, инфицированных Trojan.Click.19892. Что это может быть? Не понимаю откуда этот вирус берется, может у меня какая-то программа?

Выполните скрипт в аттаче, результат c:\avz_log.txt приложите к сообщению.
[ATTACH]201948[/ATTACH]

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]48[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\администратор\application data\microsoft\poossoory.exe - [B]Trojan.Win32.Agent.derz[/B][*] c:\documents and settings\администратор\application data\microsoft\quesouzu.exe - [B]Trojan.Win32.Agent.derz[/B][*] c:\documents and settings\администратор\application data\microsoft\quukymmypoun.exe - [B]Trojan.Win32.Agent.derz[/B][*] c:\documents and settings\администратор\application data\microsoft\tekew.exe - [B]Trojan.Win32.Agent.derz[/B][*] c:\documents and settings\администратор\application data\microsoft\zoumedoo.exe - [B]Trojan.Win32.Agent.derz[/B][*] c:\windows\downloaded program files\nocs.dll - [B]not-a-virus:AdWare.Win32.NocsBar.g[/B][*] c:\windows\system32\config\systemprofile\application data\microsoft\roummoo.exe - [B]Trojan.Win32.Agent.derz[/B][*] c:\windows\system32\config\systemprofile\application data\microsoft\svchosts.exe - [B]Trojan.Win32.CryptoVB.ba[/B][*] c:\windows\system32\woot.exe - [B]Trojan.Win32.Inject.amcs[/B] ( DrWEB: BackDoor.IRC.Sdbot.6107 )[*] c:\windows\wind7upd.exe - [B]Trojan-Downloader.Win32.Genome.abon[/B] ( DrWEB: Trojan.DownLoad1.21875, BitDefender: Trojan.Generic.2909654, NOD32: IRC/SdBot trojan, AVAST4: Win32:Delf-NCC [Drp] )[*] c:\windows\woot.exe - [B]Trojan.Win32.Buzus.cvsx[/B] ( AVAST4: Win32:Malware-gen )[/LIST][/LIST]