Форум esetnod32.ru [тема: Обнаружил Вирус hoax.win32.archsms] http://forum.esetnod32.ru Новое в теме Обнаружил Вирус hoax.win32.archsms форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sun, 26 Apr 2026 20:27:27 +0300 Обнаружил Вирус hoax.win32.archsms Обнаружил Вирус hoax.win32.archsms Вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
На этом всё  :)
29.04.2015 23:50:27, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic11970/message84858/ http://forum.esetnod32.ru/messages/forum6/topic11970/message84858/ Wed, 29 Apr 2015 23:50:27 +0300 Обнаружение вредоносного кода и ложные срабатывания Обнаружил Вирус hoax.win32.archsms Обнаружил Вирус hoax.win32.archsms Вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
Спасибо вам огромное!!!
29.04.2015 23:39:25, Валерий Грачёв.]]> http://forum.esetnod32.ru/messages/forum6/topic11970/message84857/ http://forum.esetnod32.ru/messages/forum6/topic11970/message84857/ Wed, 29 Apr 2015 23:39:25 +0300 Обнаружение вредоносного кода и ложные срабатывания Обнаружил Вирус hoax.win32.archsms Обнаружил Вирус hoax.win32.archsms Вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
Ну да.
Вы хотели скачать программу для работы со звуком.
Антивирус файл удалил = поместил его на карантин.
Опасности нет.
-----
Прежде чем установить программу проверяйте программу здесь*: https://www.virustotal.com/
* Если позволяет вес программы.
29.04.2015 23:28:52, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic11970/message84856/ http://forum.esetnod32.ru/messages/forum6/topic11970/message84856/ Wed, 29 Apr 2015 23:28:52 +0300 Обнаружение вредоносного кода и ложные срабатывания Обнаружил Вирус hoax.win32.archsms Обнаружил Вирус hoax.win32.archsms Вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вот побольше

29.04.2015 23:28:46, Валерий Грачёв.]]> http://forum.esetnod32.ru/messages/forum6/topic11970/message84855/ http://forum.esetnod32.ru/messages/forum6/topic11970/message84855/ Wed, 29 Apr 2015 23:28:46 +0300 Обнаружение вредоносного кода и ложные срабатывания Обнаружил Вирус hoax.win32.archsms Обнаружил Вирус hoax.win32.archsms Вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
Не, сначала откройте картинку, а потом "открыть в новой вкладке"
29.04.2015 23:19:40, DeN094.]]> http://forum.esetnod32.ru/messages/forum6/topic11970/message84854/ http://forum.esetnod32.ru/messages/forum6/topic11970/message84854/ Wed, 29 Apr 2015 23:19:40 +0300 Обнаружение вредоносного кода и ложные срабатывания Обнаружил Вирус hoax.win32.archsms Обнаружил Вирус hoax.win32.archsms Вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
На фото конечно ничего не видно.

А ArchSMS - это просто архив закрытый паролем.
Пример: Вы хотите скачать скажем Офис...
Находите файл > скачиваете его.
Хотите установить Офис...
А вам предлагают распаковать архив за деньги.
Оплата идёт через платное SMS с телефона.
В итоге вы тратите деньги - но не получаете желаемого.
Это называется развод... ли Фишинг  ( рыбная ловля )

Сам по себе файл НЕ опасен.
Его можно удалить самостоятельно - или это сделает антивирус.
- Сообщения от антивируса могут повторяться если файл стоит на скачивании...
Файл закачался...
Антивирус его удалил - чтобы решить проблему нужно удалить закачку.
29.04.2015 23:14:09, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic11970/message84853/ http://forum.esetnod32.ru/messages/forum6/topic11970/message84853/ Wed, 29 Apr 2015 23:14:09 +0300 Обнаружение вредоносного кода и ложные срабатывания Обнаружил Вирус hoax.win32.archsms Обнаружил Вирус hoax.win32.archsms Вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
Держите

29.04.2015 23:02:09, Валерий Грачёв.]]> http://forum.esetnod32.ru/messages/forum6/topic11970/message84852/ http://forum.esetnod32.ru/messages/forum6/topic11970/message84852/ Wed, 29 Apr 2015 23:02:09 +0300 Обнаружение вредоносного кода и ложные срабатывания Обнаружил Вирус hoax.win32.archsms Обнаружил Вирус hoax.win32.archsms Вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
Фото карантина можно увидеть
Какие там файлы ?
------
Hoax.Win32. ArchSMS. Данный тип угрозы представляет собой платный распаковщик архивов, которые находятся под паролем.
И сам по себе опасности не представляет.
29.04.2015 22:55:35, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic11970/message84851/ http://forum.esetnod32.ru/messages/forum6/topic11970/message84851/ Wed, 29 Apr 2015 22:55:35 +0300 Обнаружение вредоносного кода и ложные срабатывания Обнаружил Вирус hoax.win32.archsms Обнаружил Вирус hoax.win32.archsms Вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
Всё вроде от того избавился но есть,зара тот,о ком я говорил,в карантине касперского он определился 2 раза Hoax.Win32.ArchSMS.ckeyi
AdwCleaner[R0].txt
AdwCleaner[S0].txt
29.04.2015 22:44:04, Валерий Грачёв.]]> http://forum.esetnod32.ru/messages/forum6/topic11970/message84850/ http://forum.esetnod32.ru/messages/forum6/topic11970/message84850/ Wed, 29 Apr 2015 22:44:04 +0300 Обнаружение вредоносного кода и ложные срабатывания Обнаружил Вирус hoax.win32.archsms Обнаружил Вирус hoax.win32.archsms Вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
P.S.
Избегайте избыточного цитирования сообщений.
Тема становиться не читаемой.
- А winlogon.exe это системный файл.
29.04.2015 22:32:13, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic11970/message84849/ http://forum.esetnod32.ru/messages/forum6/topic11970/message84849/ Wed, 29 Apr 2015 22:32:13 +0300 Обнаружение вредоносного кода и ложные срабатывания Обнаружил Вирус hoax.win32.archsms Обнаружил Вирус hoax.win32.archsms Вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
1) В Malwarebytes - всё найденное удалите.
( поместите в карантин )

--------
2) Далее: Выполните лог в АdwСleaner
http://forum.esetnod32.ru/forum9/topic7084/
после завершения сканирования:
Записи относящиеся к Mail.Ru можете не удалять ( если пользуетесь программой )
На вкладке:
Папки (Folders) для Mail.Ru  снимите [V]

Удалите найденное в AdwCleaner по кнопке Очистить (Clean), подтвердите действие
с автоперезагрузкой

3) Браузер расширения.

В адресной строке браузера пропишите:
для
Яндекс браузер:
browser://extensions/

ХРОМ:
chrome://extensions/

Опера:  
opera://extensions

Firefox:
about:addons

nternet Explorer:
Зайти в раздел настроек браузера, выбрать меню "Настроить надстройки":
В открывшемся окне кликните на расширение.

Откроется список расширений браузера.


Отключите все неизвестные вам расширения.
* Если возникнет необходимость потом их можно включить.
Оцените результат.
29.04.2015 22:29:30, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic11970/message84848/ http://forum.esetnod32.ru/messages/forum6/topic11970/message84848/ Wed, 29 Apr 2015 22:29:30 +0300 Обнаружение вредоносного кода и ложные срабатывания Обнаружил Вирус hoax.win32.archsms Обнаружил Вирус hoax.win32.archsms Вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
====code==== 
      



;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAMDATA\VKSAVER

delref HTTP://HELP.YANDEX.RU/YABROWSER/
delref HTTP://WWW.GOOGLE.COM
del %SystemRoot%\TEMP\CPUZ135\CPUZ135_X64.SYS

del %SystemDrive%\PROGRAMDATA\MTA SAN ANDREAS ALL\COMMON\TEMP\FAIRPLAYKD.SYS

deldirex %SystemDrive%\USERS\SS\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\SS\APPDATA\ROAMING\ZONA\PLUGINS\ZTRANSCODE

deldirex %SystemDrive%\USERS\SS\APPDATA\ROAMING\ZONA\PLUGINS\ZUPDATER

deldirex %SystemDrive%\USERS\SS\APPDATA\ROAMING\ZONA\PLUGINS\ZXULRUNNER10

bl 90E32A5792E0D24FE593BC4455FCDD2A 674256
delref \\?\C:\PROGRAM FILES (X86)\ZONA\ZONA.EXE
del \\?\C:\PROGRAM FILES (X86)\ZONA\ZONA.EXE

delref HTTP://4GAME.COM/?CLIENT-APP=V2
delref HTTP://JAVA.COM/HELP
del %SystemDrive%\USERS\SS\APPDATA\LOCAL\TEMP\1865133F3.SYS

del %SystemDrive%\USERS\SS\APPDATA\LOCAL\TEMP\187A5093D.SYS

;-------------------------------------------------------------

delref %SystemDrive%\USERS\SS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GIGHMMPIOBKLFEPJOCNAMGKKBIGLIDOM\2.29_0\BETAFISH ADBLOCKER
bl 955B828EA976DCA1FAFEA0765A31AEEC 16577506
delall %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\42.0.2311.135\RESOURCES.PAK
delref %SystemDrive%\USERS\SS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GMLLLBGHNFKPFLEMIHLJEKBAPJOPFJIK\2.2015.427.11450_1\BOOKMARK MANAGER
delref %SystemDrive%\USERS\SS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JOPDPBOLKLKLAIOOKIKGMDINFBOOIIPJ\1.1_0\WEBSITE RECOMMENDATION LITE
delref %SystemDrive%\USERS\SS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MMNGLJDJKKPKPKGKBDGEPFBCJOMCLBAN\1.0.4_0\ДЕРЕВЯННЫЙ ХРОМ
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F06417076FF}
exec32 MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F03217076FF}
deltmp
delnfr
restart
=============

-------------
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
-------
+
У вас компоненты двух антивирусов в системе.
AVAST  и KASPERSKY INTERNET SECURITY 2013

Удалите один из антивирусов.
И зачистите его так:  http://pchelpforum.ru/f26/t71649/#post621939
=============

Logs.rar
29.04.2015 22:22:14, Валерий Грачёв.]]> http://forum.esetnod32.ru/messages/forum6/topic11970/message84847/ http://forum.esetnod32.ru/messages/forum6/topic11970/message84847/ Wed, 29 Apr 2015 22:22:14 +0300 Обнаружение вредоносного кода и ложные срабатывания Обнаружил Вирус hoax.win32.archsms Обнаружил Вирус hoax.win32.archsms Вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
в процессах присутсвует winlogon.exe .Я просто читал,про вирус Haox.Win32.arch там говорилось,что он может менять директорию
29.04.2015 22:19:05, Валерий Грачёв.]]> http://forum.esetnod32.ru/messages/forum6/topic11970/message84846/ http://forum.esetnod32.ru/messages/forum6/topic11970/message84846/ Wed, 29 Apr 2015 22:19:05 +0300 Обнаружение вредоносного кода и ложные срабатывания Обнаружил Вирус hoax.win32.archsms Обнаружил Вирус hoax.win32.archsms Вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
Скопировать текст КОДА - в буфер обмена.
uVS: start.exe, текущий пользователь, меню, скрипты - выполнить скрипт из буфера обмена.
ПЕРЕД ВЫПОЛНЕНИЕМ СКРИПТА, ЗАКРЫТЬ БРАУЗЕРЫ!
ВНИМАНИЕ : По окончанию выполнения скрипта компьютер выполнит перезагрузку !
На вопросы программы отвечаем: Да !
====code==== 
     



;uVS v3.85.21 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
;------------------------autoscript---------------------------

chklst
delvir

deldirex %SystemDrive%\PROGRAMDATA\VKSAVER

delref HTTP://HELP.YANDEX.RU/YABROWSER/
delref HTTP://WWW.GOOGLE.COM
del %SystemRoot%\TEMP\CPUZ135\CPUZ135_X64.SYS

del %SystemDrive%\PROGRAMDATA\MTA SAN ANDREAS ALL\COMMON\TEMP\FAIRPLAYKD.SYS

deldirex %SystemDrive%\USERS\SS\APPDATA\LOCALLOW\UNITY\WEBPLAYER\LOADER

deldirex %SystemDrive%\USERS\SS\APPDATA\ROAMING\ZONA\PLUGINS\ZTRANSCODE

deldirex %SystemDrive%\USERS\SS\APPDATA\ROAMING\ZONA\PLUGINS\ZUPDATER

deldirex %SystemDrive%\USERS\SS\APPDATA\ROAMING\ZONA\PLUGINS\ZXULRUNNER10

bl 90E32A5792E0D24FE593BC4455FCDD2A 674256
delref \\?\C:\PROGRAM FILES (X86)\ZONA\ZONA.EXE
del \\?\C:\PROGRAM FILES (X86)\ZONA\ZONA.EXE

delref HTTP://4GAME.COM/?CLIENT-APP=V2
delref HTTP://JAVA.COM/HELP
del %SystemDrive%\USERS\SS\APPDATA\LOCAL\TEMP\1865133F3.SYS

del %SystemDrive%\USERS\SS\APPDATA\LOCAL\TEMP\187A5093D.SYS

;-------------------------------------------------------------

delref %SystemDrive%\USERS\SS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GIGHMMPIOBKLFEPJOCNAMGKKBIGLIDOM\2.29_0\BETAFISH ADBLOCKER
bl 955B828EA976DCA1FAFEA0765A31AEEC 16577506
delall %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\CHROME\APPLICATION\42.0.2311.135\RESOURCES.PAK
delref %SystemDrive%\USERS\SS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\GMLLLBGHNFKPFLEMIHLJEKBAPJOPFJIK\2.2015.427.11450_1\BOOKMARK MANAGER
delref %SystemDrive%\USERS\SS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\JOPDPBOLKLKLAIOOKIKGMDINFBOOIIPJ\1.1_0\WEBSITE RECOMMENDATION LITE
delref %SystemDrive%\USERS\SS\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\DEFAULT\EXTENSIONS\MMNGLJDJKKPKPKGKBDGEPFBCJOMCLBAN\1.0.4_0\ДЕРЕВЯННЫЙ ХРОМ
exec MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F06417076FF}
exec32 MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F03217076FF}
deltmp
delnfr
restart
=============

-------------
Далее (даже если проблема решена) выполните лог программой Malwarebytes
http://forum.esetnod32.ru/forum9/topic10688/

Выберите вариант сканирования: Быстрое или Полное сканирование.
Отчет предоставить для анализа ( в своей теме на форуме ).
Отчёт нужно предоставить в .txt ( блокнот )
-------
+
У вас компоненты двух антивирусов в системе.
AVAST  и KASPERSKY INTERNET SECURITY 2013

Удалите один из антивирусов.
И зачистите его так: http://pchelpforum.ru/f26/t71649/#post621939
29.04.2015 21:30:27, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic11970/message84845/ http://forum.esetnod32.ru/messages/forum6/topic11970/message84845/ Wed, 29 Apr 2015 21:30:27 +0300 Обнаружение вредоносного кода и ложные срабатывания Обнаружил Вирус hoax.win32.archsms Обнаружил Вирус hoax.win32.archsms Вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вот
VALERA_2015-04-29_20-33-49.7z
29.04.2015 20:47:49, Валерий Грачёв.]]> http://forum.esetnod32.ru/messages/forum6/topic11970/message84843/ http://forum.esetnod32.ru/messages/forum6/topic11970/message84843/ Wed, 29 Apr 2015 20:47:49 +0300 Обнаружение вредоносного кода и ложные срабатывания Обнаружил Вирус hoax.win32.archsms Обнаружил Вирус hoax.win32.archsms Вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
ой,лол) Простите,сейчас
29.04.2015 20:31:31, Валерий Грачёв.]]> http://forum.esetnod32.ru/messages/forum6/topic11970/message84842/ http://forum.esetnod32.ru/messages/forum6/topic11970/message84842/ Wed, 29 Apr 2015 20:31:31 +0300 Обнаружение вредоносного кода и ложные срабатывания Обнаружил Вирус hoax.win32.archsms Обнаружил Вирус hoax.win32.archsms Вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Валерий Грачёв написал:
Хм,а как ? Запускать start.exe?
=============

Да.
В инструкции всё детально показано.
29.04.2015 20:29:47, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic11970/message84841/ http://forum.esetnod32.ru/messages/forum6/topic11970/message84841/ Wed, 29 Apr 2015 20:29:47 +0300 Обнаружение вредоносного кода и ложные срабатывания Обнаружил Вирус hoax.win32.archsms Обнаружил Вирус hoax.win32.archsms Вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
Хм,а как ? Запускать start.exe?
29.04.2015 20:27:56, Валерий Грачёв.]]> http://forum.esetnod32.ru/messages/forum6/topic11970/message84840/ http://forum.esetnod32.ru/messages/forum6/topic11970/message84840/ Wed, 29 Apr 2015 20:27:56 +0300 Обнаружение вредоносного кода и ложные срабатывания Обнаружил Вирус hoax.win32.archsms Обнаружил Вирус hoax.win32.archsms Вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/
29.04.2015 20:11:08, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic11970/message84839/ http://forum.esetnod32.ru/messages/forum6/topic11970/message84839/ Wed, 29 Apr 2015 20:11:08 +0300 Обнаружение вредоносного кода и ложные срабатывания Обнаружил Вирус hoax.win32.archsms Обнаружил Вирус hoax.win32.archsms Вирус в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте!Недавно столкнулся с такой заразой,как hoax win32 archsms.Каспер кричал на него.Я думал,что удалил его,а не тут то было.Он хитро прячется в system 32,по видом winlogon/exe и еще несколькими файлами.Просканировал компьютер,ничего.Скачал прогу AVZ.Прикреплю файлы с протоколами.Подскажите,что делать то?
С Уважением,Валерий.
avz_log.txt
avz_log1.txt
hijackthis.log
hijackthis1.log
29.04.2015 18:36:49, Валерий Грачёв.]]> http://forum.esetnod32.ru/messages/forum6/topic11970/message84838/ http://forum.esetnod32.ru/messages/forum6/topic11970/message84838/ Wed, 29 Apr 2015 18:36:49 +0300 Обнаружение вредоносного кода и ложные срабатывания