При каждой загрузке компьютера nod32 выдает одно и тоже сообщение Вирус Win32/AutoRun.IRCBot.BJ червь. Комментарий: "Событие в новом файле, созданном приложением C:\windows\woot.exe. Файл был перемещен в карантин. Вы можете закрыть это окно. "
При каждой загрузке компьютера nod32 выдает одно и тоже сообщение Вирус Win32/AutoRun.IRCBot.BJ червь. Комментарий: "Событие в новом файле, созданном приложением C:\windows\woot.exe. Файл был перемещен в карантин. Вы можете закрыть это окно. "
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); QuarantineFile('C:\WINDOWS\Downloaded Program Files\Nocs.dll',''); QuarantineFile('C:\windows\wind7upd.exe',''); QuarantineFile('C:\windows\system32\config\systemprofile\Application Data\Microsoft\svchosts.exe',''); QuarantineFile('C:\windows\system32\config\systemprofile\Application Data\Microsoft\roummoo.exe',''); QuarantineFile('C:\windows\mshost.exe',''); QuarantineFile('C:\windows\System32\woot.exe',''); QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\tekew.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\quukymmypoun.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\zoumedoo.exe',''); DeleteService('spuypy0lja'); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\poossoory.exe',''); DeleteService('d2ugimpyawj3a'); QuarantineFile('C:\windows\System32\drivers\CDAC11BA.EXE',''); QuarantineFile('C:\windows\System32\drivers\CdaC15BA.SYS',''); QuarantineFile('C:\windows\woot.exe',''); QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\quesouzu.exe',''); QuarantineFile('c:\program files\common files\real\update_ob\realsched.exe',''); TerminateProcessByName('c:\windows\woot.exe'); TerminateProcessByName('c:\documents and settings\Администратор\application data\microsoft\quesouzu.exe'); QuarantineFile('c:\windows\system32\drivers\cdac11ba.exe',''); DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\quesouzu.exe'); DeleteFile('C:\windows\woot.exe'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\poossoory.exe'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\zoumedoo.exe'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\quukymmypoun.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zebika'); DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft\tekew.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','pepoussooc'); DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\winlogon.exe'); RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Firewall auto setup'); DeleteFile('C:\windows\System32\woot.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Windows Data Serivce'); DeleteFile('C:\windows\mshost.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','mshost'); DeleteFile('C:\windows\system32\config\systemprofile\Application Data\Microsoft\roummoo.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','pepoussooc'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','pepoussooc'); DeleteFile('C:\windows\system32\config\systemprofile\Application Data\Microsoft\svchosts.exe'); RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','svchosts.exe'); RegKeyParamDel('HKEY_USERS','S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Run','svchosts.exe'); DeleteFile('C:\windows\wind7upd.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
Сделайте новые логи
Venus Doom, спасибо. Выполнила скрипт в AVZ. Вот логи. картин отправила
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\windows\System32\quukymmypoun.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','zebika'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
snifer67 спасибо) Вот новый лог.
Плохого не увидел. Что с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Сейчас сообщение о вирусе перестало появляться. Единственное, когда загружается компьютер, на рабочем столе появляется черное окошко, в котором написано C:/Documets and Settings/Администратор/ net start haspnt. Через несколько секунд появляется надпись процесс завершен и окошко исчезает. Что это может быть?
Добавлено через 3 часа 45 минут
Теперь появляется сообщение : вероятно модифицированный Win32/AutoRun.IRCBot.DI.Событие в новом файле, созданном приложением C:\windows\System32\svchost.exe. Файл был перемещен в карантин. Вы можете закрыть это окно.
Последний раз редактировалось natali_izyum; 28.12.2009 в 23:18. Причина: Добавлено
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Простите, какую ломалку?)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
С Новым Годом!!! Начала проверку компьютера Dr.Web. Он нашел мне кучу файлов, инфицированных Trojan.Click.19892. Что это может быть? Не понимаю откуда этот вирус берется, может у меня какая-то программа?
Выполните скрипт в аттаче, результат c:\avz_log.txt приложите к сообщению.
Вложение 201948
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 48
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\администратор\application data\microsoft\poossoory.exe - Trojan.Win32.Agent.derz
- c:\documents and settings\администратор\application data\microsoft\quesouzu.exe - Trojan.Win32.Agent.derz
- c:\documents and settings\администратор\application data\microsoft\quukymmypoun.exe - Trojan.Win32.Agent.derz
- c:\documents and settings\администратор\application data\microsoft\tekew.exe - Trojan.Win32.Agent.derz
- c:\documents and settings\администратор\application data\microsoft\zoumedoo.exe - Trojan.Win32.Agent.derz
- c:\windows\downloaded program files\nocs.dll - not-a-virus:AdWare.Win32.NocsBar.g
- c:\windows\system32\config\systemprofile\applicati on data\microsoft\roummoo.exe - Trojan.Win32.Agent.derz
- c:\windows\system32\config\systemprofile\applicati on data\microsoft\svchosts.exe - Trojan.Win32.CryptoVB.ba
- c:\windows\system32\woot.exe - Trojan.Win32.Inject.amcs ( DrWEB: BackDoor.IRC.Sdbot.6107 )
- c:\windows\wind7upd.exe - Trojan-Downloader.Win32.Genome.abon ( DrWEB: Trojan.DownLoad1.21875, BitDefender: Trojan.Generic.2909654, NOD32: IRC/SdBot trojan, AVAST4: Win32:Delf-NCC [Drp] )
- c:\windows\woot.exe - Trojan.Win32.Buzus.cvsx ( AVAST4: Win32:Malware-gen )
Уважаемый(ая) natali_izyum, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.