Последствия после удаления

[arman1231]

Всем добрый вечер.
Итак,поставил к себе чужой хард,на нём упала винда,решил почистить-форматнуть,но как только прогрузилась моя ось,рабочий стол не прогрузился,вместо него было сообщение о том что мой хадр заражён и т.п. в общем это был Trojan-Ransom.Win32.SMSer, с таким не сталкивался, но смекнул,запустил экр.лупу и вышел в броузер,нашёл смс код для вируса,после того как я его ввёл он вроде отстал,на компе стоит доктор веб, так же пользовался avz что бы постить комп,первые пару часов работаро всё норм, но потом при запуске любого файла стало вылетать сообщение о тоам что он не являетчся приложением win32,далее я поставил каспера,обновил базы, почистил,он мне там наловил кучу хлама,тоянов,червей, вродебы вылечил, но осталась одна проблема, которой я посвещаю эту тему,он убил мой dvd rom когда пытаюсь на него зайти пишет что он не являетчся приложением win32,как пытался вылечить:отключал виртуально так и физически,откавал дрова,удалял дрова,в общем всё по полной,никак немогу найти решение,жду совета,сносить ось и ставить по новой как вариант не рассматриваю,спасибо за ответы.

[polword]

Внимательно прочитайте и точно выполните

[arman1231]

Внимательно прочитайте и точно выполните

сделано

[polword]

1. Профиксите в HijackThis как "профиксить в HiJackThis"

Код:

 R3 - URLSearchHook: (no name) - - (no file)
 O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - (no file)
 O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
 O9 - Extra button: Microsoft Knowledge Base - {8B2D996F-B7D1-4961-A929-414D9CF5BA7B} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)
 O9 - Extra 'Tools' menuitem: Microsoft Knowledge Base - {8B2D996F-B7D1-4961-A929-414D9CF5BA7B} - http://support.microsoft.com/default.aspx?scid=FH;EN-US;KBHOWTO (file missing)

2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Системное восстановление!!!как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\WINDOWS\Temp\b.exe','');
 QuarantineFile('C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe','');
 DeleteFile('C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe');
 DeleteFile('C:\WINDOWS\Temp\b.exe');
 DeleteFileMask('C:\WINDOWS\Tasks', '*.job', false);
 DeleteFileMask('C:\Program Files\Lavasoft', '*.*', true);
 DeleteDirectory('C:\Program Files\Lavasoft');
 DeleteService('Bonjour Service');
 DeleteFileMask('%programfiles%\Bonjour\','*.*',true);
 DeleteDirectory('%programfiles%\Bonjour\');
 DelCLSID('{9999A076-A9E2-4C99-8A2B-632FC9429223}');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\Eventlog\Application\Bonjour Service');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 ExecuteRepair(14);
 BC_DeleteSvc('Bonjour Service');
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- обновите базы AVZ
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

PokerStars - сами ставили?

[arman1231]

Про PokerStars могу сказать , что устанавливал не я, но точно кто то из родных.
На счёт сабжа,после ребута стал заходить на диск в режиме проводника,но так же не открывает файлы на диске по той же причине.

[polword]

!!!! - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

отсюда убрать

Добавлено через 6 минут

надо отключать
!!! - Системное восстановление!!!как- посмотреть можно тут

[arman1231]

!!!! - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

отсюда убрать

Добавлено через 6 минут

!!! - Системное восстановление!!!как- посмотреть можно тут

Сделано

[polword]

- Выполните скрипт в AVZ

Код:

begin
 ExecuteRepair(6);
 ExecuteRepair(8);
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
 ExecuteRepair(9);
 RebootWindows(true);
end.

отпишитесь

[arman1231]

Если есть диск в приводе,то тогда пишет что не является прил вин32,если нет диска,то пишет *выберите программу для запуска приложения*
Системное восстановление отключил в начале когда первые логи присылал
Вот новые логи:

[arman1231]

Отпишитесь кто нибудь,какие дальнейшие действия.

Добавлено через 3 часа 51 минуту

Ребят помогите не могу компом пользоваться

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ExecuteRepair(19);
RebootWindows(true);
end.

Компьютер перезагрузится.

Что с этой проблемой?

Если есть диск в приводе,то тогда пишет что не является прил вин32,если нет диска,то пишет *выберите программу для запуска приложения*

[arman1231]

Скрипт выполнил.
По поводу проблемы.
При двойном клике мыши по иконке сд привода выдаётся сообщение о том что *не является прил вин32*
ежели заходить с помощью проводника на диск,он там видит скрытый autorun.inf
с кодом
[autorun]
open=Installer.exe
icon=disc.ico
больше ничего
CDBurnerXP сд привод физически не видит даже,но зато появился новый привод с рандомным названием,по свойствам и характеристикам копирующий настоящий.
Диспетчер устройств видит два сд привода, как физический так и виртуальный.
После некоторых наблюдений заметил что не работает автоматическое заполнение тома сд привода, хотя после заполнения вручную проблема не исчезает.

Жду коментария по сабжу.

[arman1231]

Есть ли сдвиги?

Добавлено через 10 часов 36 минут

ну хоть кто нибудь помогите

[AndreyKa]

Деинсталлируйте эмулятор CD дисков.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 4
• В ходе лечения вредоносные программы в карантинах не обнаружены