Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

Обнаружил Вирус hoax.win32.archsms , Вирус

1 2 След.
RSS
 
Валерий Грачёв
Валерий Грачёв
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 29.04.2015
Размещено 29.04.2015 18:36:49
Здравствуйте!Недавно столкнулся с такой заразой,как hoax win32 archsms.Каспер кричал на него.Я думал,что удалил его,а не тут то было.Он хитро прячется в system 32,по видом winlogon/exe и еще несколькими файлами.Просканировал компьютер,ничего.Скачал прогу AVZ.Прикреплю файлы с протоколами.Подскажите,что делать то?
С Уважением,Валерий.
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 29.04.2015 20:11:08
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
 
Валерий Грачёв
Валерий Грачёв
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 29.04.2015
Размещено 29.04.2015 20:27:56
Хм,а как ? Запускать start.exe?
Изменено: Валерий Грачёв - 29.04.2015 20:28:48
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 29.04.2015 20:29:47
Цитата
Валерий Грачёв написал:
Хм,а как ? Запускать start.exe?

Да.
В инструкции всё детально показано.
Изменено: RP55 RP55 - 29.04.2015 20:31:05
 
Валерий Грачёв
Валерий Грачёв
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 29.04.2015
Размещено 29.04.2015 20:31:31
ой,лол) Простите,сейчас
 
Валерий Грачёв
Валерий Грачёв
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 29.04.2015
Размещено 29.04.2015 20:47:49
Вот
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 29.04.2015 21:30:27
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
Код
     



;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAMDATA\VKSAVER

delref HTTP://HELP.YANDEX.RU/YABROWSER/
delref HTTP://WWW.GOOGLE.COM
del %SystemRoot%\TEMP\CPUZ135\CPUZ135_X64.SYS

del %SystemDrive%\PROGRAMDATA\MTA SAN ANDREAS ALL\COMMON\TEMP\FAIRPLAYKD.SYS

deldirex %SystemDrive%\USERS\SS\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\SS\APPDATA\ROAMING\ZONA\PLUGINS\ZTRANSCODE

deldirex %SystemDrive%\USERS\SS\APPDATA\ROAMING\ZONA\PLUGINS\ZUPDATER

deldirex %SystemDrive%\USERS\SS\APPDATA\ROAMING\ZONA\PLUGINS\ZXULRUNNER10

bl 90E32A5792E0D24FE593BC4455FCDD2A 674256
delref \\?\C:\PROGRAM FILES (X86)\ZONA\ZONA.EXE
del \\?\C:\PROGRAM FILES (X86)\ZONA\ZONA.EXE

delref HTTP://4GAME.COM/?CLIENT-APP=V2
delref HTTP://JAVA.COM/HELP
del %SystemDrive%\USERS\SS\APPDATA\LOCAL\TEMP\1865133F3.SYS

del %SystemDrive%\USERS\SS\APPDATA\LOCAL\TEMP\187A5093D.SYS

;-------------------------------------------------------------

delref %SystemDrive%\USERS\SS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GIGHMMPIOBKLFEPJOCNAMGKKBIGLIDOM\2.29_0\BETAFISH ADBLOCKER
bl 955B828EA976DCA1FAFEA0765A31AEEC 16577506
delall %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\42.0.2311.135\RESOURCES.PAK
delref %SystemDrive%\USERS\SS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GMLLLBGHNFKPFLEMIHLJEKBAPJOPFJIK\2.2015.427.11450_1\BOOKMARK MANAGER
delref %SystemDrive%\USERS\SS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JOPDPBOLKLKLAIOOKIKGMDINFBOOIIPJ\1.1_0\WEBSITE RECOMMENDATION LITE
delref %SystemDrive%\USERS\SS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MMNGLJDJKKPKPKGKBDGEPFBCJOMCLBAN\1.0.4_0\ДЕРЕВЯННЫЙ ХРОМ
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F06417076FF}
exec32 MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F03217076FF}
deltmp
delnfr
restart


-------------
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
-------
+
У вас компоненты двух антивирусов в системе.
AVAST  и KASPERSKY INTERNET SECURITY 2013

Удалите один из антивирусов.
И зачистите его так: http://pchelpforum.ru/f26/t71649/#post621939
 
Валерий Грачёв
Валерий Грачёв
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 29.04.2015
Размещено 29.04.2015 22:19:05
в процессах присутсвует winlogon.exe .Я просто читал,про вирус Haox.Win32.arch там говорилось,что он может менять директорию
 
Валерий Грачёв
Валерий Грачёв
Пользователь
Сообщений: 10
Баллов: 5
Регистрация: 29.04.2015
Размещено 29.04.2015 22:22:14
Цитата
RP55 RP55 написал:
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
Код
      



;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAMDATA\VKSAVER

delref HTTP://HELP.YANDEX.RU/YABROWSER/
delref HTTP://WWW.GOOGLE.COM
del %SystemRoot%\TEMP\CPUZ135\CPUZ135_X64.SYS

del %SystemDrive%\PROGRAMDATA\MTA SAN ANDREAS ALL\COMMON\TEMP\FAIRPLAYKD.SYS

deldirex %SystemDrive%\USERS\SS\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\SS\APPDATA\ROAMING\ZONA\PLUGINS\ZTRANSCODE

deldirex %SystemDrive%\USERS\SS\APPDATA\ROAMING\ZONA\PLUGINS\ZUPDATER

deldirex %SystemDrive%\USERS\SS\APPDATA\ROAMING\ZONA\PLUGINS\ZXULRUNNER10

bl 90E32A5792E0D24FE593BC4455FCDD2A 674256
delref \\?\C:\PROGRAM FILES (X86)\ZONA\ZONA.EXE
del \\?\C:\PROGRAM FILES (X86)\ZONA\ZONA.EXE

delref HTTP://4GAME.COM/?CLIENT-APP=V2
delref HTTP://JAVA.COM/HELP
del %SystemDrive%\USERS\SS\APPDATA\LOCAL\TEMP\1865133F3.SYS

del %SystemDrive%\USERS\SS\APPDATA\LOCAL\TEMP\187A5093D.SYS

;-------------------------------------------------------------

delref %SystemDrive%\USERS\SS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GIGHMMPIOBKLFEPJOCNAMGKKBIGLIDOM\2.29_0\BETAFISH ADBLOCKER
bl 955B828EA976DCA1FAFEA0765A31AEEC 16577506
delall %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\42.0.2311.135\RESOURCES.PAK
delref %SystemDrive%\USERS\SS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GMLLLBGHNFKPFLEMIHLJEKBAPJOPFJIK\2.2015.427.11450_1\BOOKMARK MANAGER
delref %SystemDrive%\USERS\SS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JOPDPBOLKLKLAIOOKIKGMDINFBOOIIPJ\1.1_0\WEBSITE RECOMMENDATION LITE
delref %SystemDrive%\USERS\SS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MMNGLJDJKKPKPKGKBDGEPFBCJOMCLBAN\1.0.4_0\ДЕРЕВЯННЫЙ ХРОМ
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F06417076FF}
exec32 MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F03217076FF}
deltmp
delnfr
restart


-------------
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
-------
+
У вас компоненты двух антивирусов в системе.
AVAST  и KASPERSKY INTERNET SECURITY 2013

Удалите один из антивирусов.
И зачистите его так:  http://pchelpforum.ru/f26/t71649/#post621939
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 29.04.2015 22:29:30
1) В Malwarebytes - всё найденное удалите.
( поместите в карантин )

--------
2) Далее: Выполните лог в АdwСleaner
http://forum.esetnod32.ru/forum9/topic7084/
после завершения сканирования:
Записи относящиеся к Mail.Ru можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Браузер расширения.

В адресной строке браузера пропишите:
для
Яндекс браузер:
browser://extensions/

ХРОМ:
chrome://extensions/

Опера:  
opera://extensions

Firefox:
about:addons

nternet Explorer:
Зайти в раздел настроек браузера, выбрать меню "Настроить надстройки":
В открывшемся окне кликните на расширение.

Откроется список расширений браузера.


Отключите все неизвестные вам расширения.
* Если возникнет необходимость потом их можно включить.
Оцените результат.
 
1 2 След.
Читают тему