-
Junior Member
- Вес репутации
- 52
Последствия после удаления
Всем добрый вечер.
Итак,поставил к себе чужой хард,на нём упала винда,решил почистить-форматнуть,но как только прогрузилась моя ось,рабочий стол не прогрузился,вместо него было сообщение о том что мой хадр заражён и т.п. в общем это был Trojan-Ransom.Win32.SMSer, с таким не сталкивался, но смекнул,запустил экр.лупу и вышел в броузер,нашёл смс код для вируса,после того как я его ввёл он вроде отстал,на компе стоит доктор веб, так же пользовался avz что бы постить комп,первые пару часов работаро всё норм, но потом при запуске любого файла стало вылетать сообщение о тоам что он не являетчся приложением win32,далее я поставил каспера,обновил базы, почистил,он мне там наловил кучу хлама,тоянов,червей, вродебы вылечил, но осталась одна проблема, которой я посвещаю эту тему,он убил мой dvd rom когда пытаюсь на него зайти пишет что он не являетчся приложением win32,как пытался вылечить:отключал виртуально так и физически,откавал дрова,удалял дрова,в общем всё по полной,никак немогу найти решение,жду совета,сносить ось и ставить по новой как вариант не рассматриваю,спасибо за ответы.
Последний раз редактировалось arman1231; 19.02.2010 в 02:10.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
polword
сделано
-
1. Профиксите в HijackThis как "профиксить в HiJackThis"
Код:
R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O9 - Extra button: Microsoft Knowledge Base - {8B2D996F-B7D1-4961-A929-414D9CF5BA7B} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
O9 - Extra 'Tools' menuitem: Microsoft Knowledge Base - {8B2D996F-B7D1-4961-A929-414D9CF5BA7B} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Системное восстановление!!!как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\Temp\b.exe','');
QuarantineFile('C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe','');
DeleteFile('C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe');
DeleteFile('C:\WINDOWS\Temp\b.exe');
DeleteFileMask('C:\WINDOWS\Tasks', '*.job', false);
DeleteFileMask('C:\Program Files\Lavasoft', '*.*', true);
DeleteDirectory('C:\Program Files\Lavasoft');
DeleteService('Bonjour Service');
DeleteFileMask('%programfiles%\Bonjour\','*.*',true);
DeleteDirectory('%programfiles%\Bonjour\');
DelCLSID('{9999A076-A9E2-4C99-8A2B-632FC9429223}');
RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
ExecuteRepair(14);
BC_DeleteSvc('Bonjour Service');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- обновите базы AVZ
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)
PokerStars - сами ставили?
-
-
Junior Member
- Вес репутации
- 52
Про PokerStars могу сказать , что устанавливал не я, но точно кто то из родных.
На счёт сабжа,после ребута стал заходить на диск в режиме проводника,но так же не открывает файлы на диске по той же причине.
Последний раз редактировалось arman1231; 19.02.2010 в 13:12.
-
!!!! - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
отсюда убрать
Добавлено через 6 минут
надо отключать
!!! - Системное восстановление!!!как- посмотреть можно тут
Последний раз редактировалось polword; 19.02.2010 в 13:12.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 52
Сообщение от
polword
!!!! - Файл
quarantine.zip из папки AVZ загрузите по ссылке
Прислать запрошенный карантин вверху темы
отсюда убрать
Добавлено через 6 минут
!!! -
Системное восстановление!!!как- посмотреть можно тут
Сделано
-
- Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteRepair(9);
RebootWindows(true);
end.
отпишитесь
-
-
Junior Member
- Вес репутации
- 52
Если есть диск в приводе,то тогда пишет что не является прил вин32,если нет диска,то пишет *выберите программу для запуска приложения*
Системное восстановление отключил в начале когда первые логи присылал
Вот новые логи:
Последний раз редактировалось arman1231; 19.02.2010 в 16:09.
-
Junior Member
- Вес репутации
- 52
Отпишитесь кто нибудь,какие дальнейшие действия.
Добавлено через 3 часа 51 минуту
Ребят помогите не могу компом пользоваться
Последний раз редактировалось arman1231; 19.02.2010 в 21:33.
Причина: Добавлено
-
Выполните скрипт в AVZ
Код:
begin
ExecuteRepair(19);
RebootWindows(true);
end.
Компьютер перезагрузится.
Что с этой проблемой?
Сообщение от
arman1231
Если есть диск в приводе,то тогда пишет что не является прил вин32,если нет диска,то пишет *выберите программу для запуска приложения*
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 52
Скрипт выполнил.
По поводу проблемы.
При двойном клике мыши по иконке сд привода выдаётся сообщение о том что *не является прил вин32*
ежели заходить с помощью проводника на диск,он там видит скрытый autorun.inf
с кодом
[autorun]
open=Installer.exe
icon=disc.ico
больше ничего
CDBurnerXP сд привод физически не видит даже,но зато появился новый привод с рандомным названием,по свойствам и характеристикам копирующий настоящий.
Диспетчер устройств видит два сд привода, как физический так и виртуальный.
После некоторых наблюдений заметил что не работает автоматическое заполнение тома сд привода, хотя после заполнения вручную проблема не исчезает.
Жду коментария по сабжу.
Последний раз редактировалось arman1231; 20.02.2010 в 12:51.
-
Junior Member
- Вес репутации
- 52
Есть ли сдвиги?
Добавлено через 10 часов 36 минут
ну хоть кто нибудь помогите
Последний раз редактировалось arman1231; 20.02.2010 в 23:22.
Причина: Добавлено
-
Деинсталлируйте эмулятор CD дисков.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
-