Jump to content
СофтФорум - всё о компьютерах и не только

Завелась дрянь - hoax.win32.archsms.xb


Recommended Posts

Добрый день!

После нескольких лет стабильной работы начались проблемы на системе (ХР_SP3, лицензионный KIS_9 с последними обновлениями): иногда комп стал уходить "в себя", что лечится только "контрл-алт-дел" - убираем глючный процесс. Обычно это возникает, когда в DC++ - клиенте (StrongDC++ sqlite r5019) выбираю предпросмотр скачиваемого видеофайла (выставлено открытие через Media pleyer classic).

Ну, естественно, почистил имеющися клинером, перегрузил в "безопасный режим", выбрал "полную проверку", но задобался ждать - 3,5 часа проверяло, но недопроверило! Остановил, посмотрел отчет - нашло эту дрянь hoax.win32.archsms.xb в том файле, где хранится информация для восстановления системы. Естественно, стукнул себя по-лбу (забыл отключить "восстановление системы"). Перегрузился, отключил восстановление системы, почистил диск, перегрузился в "безопасный режим". Запустил "быструю проверку" - ничего не нашло. "Полную проверку" запускать просто некогда - это часов пять надо беспрерывной работы!

Хотел попросить совета - есть ли какая-нить утилита, заточенная именно под вышеуказанную дрянь? И вообще, где бы про нее почитать?

Спасибо!

Link to comment
Share on other sites

О, не зря забеспокоился! Отчет AVZ прикладываю. Какой-то IRC-Worm.Readme.1077 завелся.

ЗЫ: и диск я очистил (удалил инфру про прошлые точки восстановления системы).

avz_log.txt

avz_log.txt

Edited by 699622
Link to comment
Share on other sites

@699622, сделайте еще такой лог

Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

  • Upvote 1
Link to comment
Share on other sites

Лог не тот. Пожалуйста перечитайте правила и выложите требуемые логи.

Да, таки надо делать все по-правилам!

Оказывается, Зайцев при стандартном сканировании не убивает дрянь, хоть у меня и выставлено в настройках удалять вирусы и прочее. Запустил сегодня 3-й скрипт - червяки на месте, как будто я их вчера и не сканировал. Удалил скриптами.

Надо будет еще раз проверить, но уже не сегодня!

virusinfo_syscure.xml

virusinfo_syscure.htm

virusinfo_syscure.xml

virusinfo_syscure.htm

Link to comment
Share on other sites

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

beginExecuteRepair(1);ExecuteRepair(13);RebootWindows(true);end.

компьютер перезагрузится

Пофиксите в HiJackThis

Отметьте галочками указанные строки и нажмите Fix Checked.

R3 - URLSearchHook: (no name) - - (no file)

раз были черви, делайте лог ГМЕР, который запросил goredey

+ сделайте лог Malwarebytes' Anti-Malware

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Edited by Sfera
Link to comment
Share on other sites

Спасибо всем ответившим!

Все делаю понемногу, ибо времени нет особо.

Сообразил, что Зайцева надо запускать не в безопасном режиме, а в нормальном. Лог прикладываю. Вроде чисто.

virusinfo_syscure.htm

virusinfo_syscure.xml

virusinfo_syscure.htm

virusinfo_syscure.xml

Link to comment
Share on other sites

Лог прикладываю. Вроде чисто.

Прочтите внимательно правила.Нужны другие логи от АВЗ!!!

+

Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Link to comment
Share on other sites

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

beginExecuteRepair(1);ExecuteRepair(13);RebootWindows(true);end.

компьютер перезагрузится

Сделал. А можно поинтересоваться - для чего это? Просто "для повышения образованности" )

Link to comment
Share on other sites

Лог не тот. Пожалуйста перечитайте правила и выложите требуемые логи.

Выкладываю, как у вас по правилам положено. Разве что еще не запускал скрипт №2 - это да, но постараюсь в ближайшее время.

virusinfo_syscheck.zip, log.txt, info.txt не прикладываю, т.к. скрипт №2 не запускал - соответственно virusinfo_syscheck.zip нет, сканирование запускал вчера, с тех пор многое поменялось, соответственно log.txt тоже бессмысленно прикладывать, а info.txt я вообще не знаю, как получить.

Признателен goredey'ю за советы, обязательно постараюсь сделать, что он говорит, но только чуть попозже.

virusinfo_syscure.zip

virusinfo_syscure.zip

Edited by 699622
Link to comment
Share on other sites

@699622, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginExecuteRepair(1);ExecuteRepair(13);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Edited by goredey
Link to comment
Share on other sites

А можно поинтересоваться - для чего это? Просто "для повышения образованности" )

Судя по логу AVZ Нарушение ассоциации SCR файлов

и изменен файл host

у вас там были прописаны mpa.one.microsoft.com и www.ursoftware.com

если адреса вносили сами, восстановите их

  • Upvote 1
Link to comment
Share on other sites

Судя по логу AVZ Нарушение ассоциации SCR файлов

и изменен файл host

у вас там были прописаны mpa.one.microsoft.com и www.ursoftware.com

если адреса вносили сами, восстановите их

Да, не зря говорят, что вначале надо думать, а потом делать!

Сегодня все утро бодался с уведомлением винды о нелецензионности ((( Только потом понемногу начал вспоминать - что к чему (давно ХР "покупал"). Одним словом, уведомления уже нет, но host больше трогать не надо.

Link to comment
Share on other sites

Сделал еще раз сканирование RSIT'ом (чтобы по теме не искать старье). Логи прикладываю.

Лог Gmer где, который вас просили сделать?

У меня в голове многозадачность не реализована. Знаю, тут родители виноваты - но что уж поделать теперь! :cool:

info.txt

log.txt

info.txt

log.txt

Link to comment
Share on other sites

@699622, сделайте еще такой лог

Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

  • Sections
  • IAT/EAT
  • Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Делаю сейчас. Только непонятно - надо ли отключаться от инета, надо ли выключать антивирус или, быть может, надо эту утилиту запускать в безопасном режиме?

Link to comment
Share on other sites

Все, досканировался! Мой комп завис впервые за два года! Полностью завис - ни контрл-альт-дел не помогает, ничего! Ну его нафиг - этот GMER! Больше двух часов ковырял, ковырял, пока систему не подвесил! :mad:

Link to comment
Share on other sites

Правила для кого написаны ? :)

Computer Name Service программу сами устанавливали?

Открываем "Правила подраздела", смотрим: два варианта действий. В первом - CureIT, AVZ, HijackThis и Random's System Information Tool (RSIT), причем RSIT - тот же хайджек, только в профиль. Во втором варианте - AVZ, RSIT и HijackThis.

Итого имеем: правила-то я как раз выполнил! А вот выполнение GMER "правилами для кого писанными" не предусмотрено! Получается, таки не зря правила писаны! Надо было их (правил) и придерживаться!

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...