Завелась дрянь - hoax.win32.archsms.xb

[699622]

Добрый день!

После нескольких лет стабильной работы начались проблемы на системе (ХР_SP3, лицензионный KIS_9 с последними обновлениями): иногда комп стал уходить "в себя", что лечится только "контрл-алт-дел" - убираем глючный процесс. Обычно это возникает, когда в DC++ - клиенте (StrongDC++ sqlite r5019) выбираю предпросмотр скачиваемого видеофайла (выставлено открытие через Media pleyer classic).

Ну, естественно, почистил имеющися клинером, перегрузил в "безопасный режим", выбрал "полную проверку", но задобался ждать - 3,5 часа проверяло, но недопроверило! Остановил, посмотрел отчет - нашло эту дрянь hoax.win32.archsms.xb в том файле, где хранится информация для восстановления системы. Естественно, стукнул себя по-лбу (забыл отключить "восстановление системы"). Перегрузился, отключил восстановление системы, почистил диск, перегрузился в "безопасный режим". Запустил "быструю проверку" - ничего не нашло. "Полную проверку" запускать просто некогда - это часов пять надо беспрерывной работы!

Хотел попросить совета - есть ли какая-нить утилита, заточенная именно под вышеуказанную дрянь? И вообще, где бы про нее почитать?

Спасибо!

[699622]

О, про троян нашел, где почитать.

[699622]

О, не зря забеспокоился! Отчет AVZ прикладываю. Какой-то IRC-Worm.Readme.1077 завелся.

ЗЫ: и диск я очистил (удалил инфру про прошлые точки восстановления системы).

avz_log.txt

avz_log.txt

Edited January 20, 2011 by 699622

[Matias]

Лог не тот. Пожалуйста перечитайте правила и выложите требуемые логи.

[goredey]

@699622, сделайте еще такой лог

Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[699622]

Лог не тот. Пожалуйста перечитайте правила и выложите требуемые логи.

Да, таки надо делать все по-правилам!

Оказывается, Зайцев при стандартном сканировании не убивает дрянь, хоть у меня и выставлено в настройках удалять вирусы и прочее. Запустил сегодня 3-й скрипт - червяки на месте, как будто я их вчера и не сканировал. Удалил скриптами.

Надо будет еще раз проверить, но уже не сегодня!

virusinfo_syscure.xml

virusinfo_syscure.htm

virusinfo_syscure.xml

virusinfo_syscure.htm

[699622]

Вот логи с рекомендуемого RSIT:

Кориентом от др.Веб проверять некомильфо - это часов 6 оно будет чухаться, не меньше.

info.txt

log.txt

info.txt

log.txt

[Sfera]

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

beginExecuteRepair(1);ExecuteRepair(13);RebootWindows(true);end.

компьютер перезагрузится

Пофиксите в HiJackThis

Отметьте галочками указанные строки и нажмите Fix Checked.

R3 - URLSearchHook: (no name) - - (no file)

раз были черви, делайте лог ГМЕР, который запросил goredey

+ сделайте лог Malwarebytes' Anti-Malware

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Edited January 21, 2011 by Sfera

[699622]

Спасибо всем ответившим!

Все делаю понемногу, ибо времени нет особо.

Сообразил, что Зайцева надо запускать не в безопасном режиме, а в нормальном. Лог прикладываю. Вроде чисто.

virusinfo_syscure.htm

virusinfo_syscure.xml

virusinfo_syscure.htm

virusinfo_syscure.xml

[goredey]

Лог прикладываю. Вроде чисто.

Прочтите внимательно правила.Нужны другие логи от АВЗ!!!

+

Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[699622]

• Выполните скрипт AVZ

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный скрипт -> Нажать кнопку "Запустить".

beginExecuteRepair(1);ExecuteRepair(13);RebootWindows(true);end.

компьютер перезагрузится

Сделал. А можно поинтересоваться - для чего это? Просто "для повышения образованности" )

[699622]

Лог не тот. Пожалуйста перечитайте правила и выложите требуемые логи.

Выкладываю, как у вас по правилам положено. Разве что еще не запускал скрипт №2 - это да, но постараюсь в ближайшее время.

virusinfo_syscheck.zip, log.txt, info.txt не прикладываю, т.к. скрипт №2 не запускал - соответственно virusinfo_syscheck.zip нет, сканирование запускал вчера, с тех пор многое поменялось, соответственно log.txt тоже бессмысленно прикладывать, а info.txt я вообще не знаю, как получить.

Признателен goredey'ю за советы, обязательно постараюсь сделать, что он говорит, но только чуть попозже.

virusinfo_syscure.zip

virusinfo_syscure.zip

Edited January 21, 2011 by 699622

[goredey]

@699622, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginExecuteRepair(1);ExecuteRepair(13);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Edited January 21, 2011 by goredey

[Sfera]

А можно поинтересоваться - для чего это? Просто "для повышения образованности" )

Судя по логу AVZ Нарушение ассоциации SCR файлов

и изменен файл host

у вас там были прописаны mpa.one.microsoft.com и www.ursoftware.com

если адреса вносили сами, восстановите их

[699622]

Судя по логу AVZ Нарушение ассоциации SCR файлов

и изменен файл host

у вас там были прописаны mpa.one.microsoft.com и www.ursoftware.com

если адреса вносили сами, восстановите их

Да, не зря говорят, что вначале надо думать, а потом делать!

Сегодня все утро бодался с уведомлением винды о нелецензионности ((( Только потом понемногу начал вспоминать - что к чему (давно ХР "покупал"). Одним словом, уведомления уже нет, но host больше трогать не надо.

[699622]

Прочтите внимательно правила.Нужны другие логи от АВЗ!!!

Выполнил в АВЗ скрипт №2. Лог прикладываю.

virusinfo_syscheck.zip

virusinfo_syscheck.zip

[edde]

Лог Gmer где, который вас просили сделать?

[699622]

Сделал еще раз сканирование RSIT'ом (чтобы по теме не искать старье). Логи прикладываю.

Лог Gmer где, который вас просили сделать?

У меня в голове многозадачность не реализована. Знаю, тут родители виноваты - но что уж поделать теперь! :cool:

info.txt

log.txt

info.txt

log.txt

[699622]

@699622, сделайте еще такой лог

Скачайте GMER по одной из указанных ссылок:

Gmer со случайным именем, Gmer в zip-архиве (перед применением распаковать в отдельную папку)

- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).

Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.

После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

• Sections
• IAT/EAT
• Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)

- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.

После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Делаю сейчас. Только непонятно - надо ли отключаться от инета, надо ли выключать антивирус или, быть может, надо эту утилиту запускать в безопасном режиме?

[edde]

Правила для кого написаны ? :)

Computer Name Service программу сами устанавливали?

[699622]

До сих пор ЖМУРик сканирует (GMER) :blink:

[699622]

Все, досканировался! Мой комп завис впервые за два года! Полностью завис - ни контрл-альт-дел не помогает, ничего! Ну его нафиг - этот GMER! Больше двух часов ковырял, ковырял, пока систему не подвесил! :mad:

[699622]

Правила для кого написаны ? :)

Computer Name Service программу сами устанавливали?

Открываем "Правила подраздела", смотрим: два варианта действий. В первом - CureIT, AVZ, HijackThis и Random's System Information Tool (RSIT), причем RSIT - тот же хайджек, только в профиль. Во втором варианте - AVZ, RSIT и HijackThis.

Итого имеем: правила-то я как раз выполнил! А вот выполнение GMER "правилами для кого писанными" не предусмотрено! Получается, таки не зря правила писаны! Надо было их (правил) и придерживаться!

[edde]

Где лог? :blink:

[699622]

Где лог? :blink:

Дык где ж ему взяться!? Резет-ом перегружал машину!

Лады, сейчас еще раз запущу. Хотя стремно очень.