Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 30.

Замучал червь Win32/AutoRun.IRCBot.BJ (заявка № 53315)

  1. #1
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    20
    Вес репутации
    32

    Thumbs up Замучал червь Win32/AutoRun.IRCBot.BJ

    Добрый день!

    При каждой загрузке ноутбука NOD32 очищает удалением - изолирует некий файл C:\x.bat Антивирус распознает его как Win32/AutoRun.IRCBot.BJ червь. Вдобавок, при запуске флешки загружается файл Autorun/INF, который NOD32 убивает, но флешкой после этого нельзя пользоваться - приходится перезагружать ноут... После перезагрузки иногда флешка нормально открывается, а иногда - нет... :-((( Помогите пожалуйста.
    Вот логи
    Последний раз редактировалось gingerboy; 31.08.2009 в 17:27.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Поставьте надежный пароль на учетные записи с правами Администратора.
    Установите обновления безопасности на Windows.

    Закройте все программы. Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\usbmngr.exe','');
     QuarantineFile('C:\WINDOWS\usb_drv.exe','');
     ExecuteRepair(1);
     ExecuteRepair(13);
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
    Сделайте новый лог по пункту 2 Диагностики и приложите к этой теме.

  4. #3
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    20
    Вес репутации
    32
    Скрипт выполнил, винда еще не обновилась.... после перезагрузки NOD32 опять завел старую песню про Win32/AutoRun.IRCBot.BJ.... карантин выслал, вот новый лог:
    Вложения Вложения
    Последний раз редактировалось Bratez; 31.08.2009 в 13:47.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    205
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
     TerminateProcessByName('c:\windows\usbmngr.exe');
     TerminateProcessByName('c:\windows\usb_drv.exe');
     DeleteFile('c:\windows\usb_drv.exe');
     DeleteFile('c:\windows\usbmngr.exe');
     DeleteFile('C:\Documents and Settings\Артём\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
     BC_ImportDeletedList;
     ExecuteSysclean;
     Executerepair(13);
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Повторите лог.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  6. #5
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    20
    Вес репутации
    32
    Большое спасибо, NOD32 больше не ругается :-) Вот новый лог:
    Вложения Вложения
    Последний раз редактировалось Bratez; 31.08.2009 в 13:48.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    205
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DelBHO('{A55F9C95-2BB1-4EA2-BC77-DFAAB78832CE}');
     DeleteFile('C:\Documents and Settings\Артём\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
     DeleteFileMask('%Tmp%', '*.*', true);
     BC_ImportDeletedList;
     ExecuteSysclean;
     ExecuteRepair(13);
     BC_Activate;
     SetAVZPMStatus(true);
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Повторите лог.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  8. #7
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    20
    Вес репутации
    32
    Скрипт выполнил, после перезагрузки винда якобы нашла новое оборудование... наверное надо его удалить в диспетчере устройств? вот новый лог:
    Вложения Вложения
    Последний раз редактировалось Bratez; 31.08.2009 в 13:48.

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    205
    Выполните это.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  10. #9
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    20
    Вес репутации
    32
    Выполнил вариант Олега Зайцева (скрипт в AVZ)

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    205
    Сделайте новый лог.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  12. #11
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    20
    Вес репутации
    32
    Сделал, вот новый лог:
    Вложения Вложения

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    205
    Попробуйте этот метод.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  14. #13
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    20
    Вес репутации
    32
    вроде сделал, написанный вариант скопировал в "блокнот" в windows XP и сохранил без расширения. когда винда спросила "заменить имеющийся файл", нажал "да"

  15. #14
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Белый Сокол
    Регистрация
    25.06.2008
    Адрес
    Кишингтон-сити
    Сообщений
    1,103
    Вес репутации
    205
    Удалите все файлы из папки LOG в директории AVZ и сделайте новый лог virusinfo_syscheck.zip.
    "Убей в себе амбиции и ты будешь видеть людей насквозь."
    Антивирусные утилиты в помощь пользователю:
    Dr.Web CureIt! - IceSword - ComboFix - Gmer - RSIT - AVPTool

  16. #15
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    20
    Вес репутации
    32
    Файлы удалил, вот новый лог:

    virusinfo_syscheck.zip

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Удалите Spybot Search and Destroy - он переписывает hosts файл на основе активированной иммунизации.
    Потом повторите: http://virusinfo.info/showpost.php?p=454125&postcount=2

  18. #17
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    20
    Вес репутации
    32
    Spybot удалил, код выполнил

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Лог по п.2 Диагностики повторите, плыыз

  20. #19
    Junior Member Репутация
    Регистрация
    10.08.2009
    Сообщений
    20
    Вес репутации
    32
    Сделал, вот новый лог:

    virusinfo_syscheck.zip

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от gingerboy Посмотреть сообщение
    код выполнил
    какой код? Нужно ЗАМЕНИТЬ файл c:\windows\system32\drivers\etc\hosts по образцу отсюда: http://virusinfo.info/showpost.php?p=454125&postcount=2

    Добавлено через 29 секунд

    Потом повторите лог по п.2 Диагностики.
    Последний раз редактировалось Rene-gad; 31.08.2009 в 17:34. Причина: Добавлено

  • Уважаемый(ая) gingerboy, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 9
      Последнее сообщение: 29.01.2010, 21:25
    2. червь Win32/AutoRun.IRCBot.BJ
      От Januk в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.01.2010, 02:39
    3. Замучил червь Win32/AutoRun.IRCBot.BJ
      От natali_izyum в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 07.01.2010, 00:27
    4. Завелся Win32/AutoRun.IRCBot.BJ червь
      От Grimassa в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 05.11.2009, 20:30
    5. Помогите! Win32/AutoRun.IRCBot.L червь
      От sultanenok в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.10.2009, 12:41

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00827 seconds with 17 queries