Показано с 1 по 19 из 19.

Не могу удалить packed.win32.katusha.j (заявка № 78061)

  1. #1
    Junior Member Репутация
    Регистрация
    10.05.2010
    Сообщений
    9
    Вес репутации
    51

    Thumbs up Не могу удалить packed.win32.katusha.j

    Включив компьютер обнаружил смс баннер на рабочем столе.
    Полазив в нете нашел решение проблемы.
    Поставил систему на проверку Антивирь от Майкрософта.
    Антивирус находит packed.win32.katusha.j но лечить отказывается т.к. винда не лицензионная
    Утилита dr web не находит вирус
    Касперский 2010 не устанавливается.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Логи сделайте в нормальном режиме

  4. #3
    Junior Member Репутация
    Регистрация
    10.05.2010
    Сообщений
    9
    Вес репутации
    51
    Хорошо,Спасибо.
    Вложения Вложения
    Последний раз редактировалось akolyan; 10.05.2010 в 23:49.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    virusinfo_cure.zip- удалите из вложений

  6. #5

  7. #6
    Junior Member Репутация
    Регистрация
    10.05.2010
    Сообщений
    9
    Вес репутации
    51
    Спасибо, делаю лог.
    ЗЫ антивирь не указывает место ,директорию где нашел вирус.
    ЗЫЗЫ на данный момент антивирь нашел net-worm.win32.kolab.hrd
    лог как отсканит прикреплю
    Вложения Вложения
    Последний раз редактировалось akolyan; 11.05.2010 в 00:50.

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    550
    Цитата Сообщение от ARMA9000 Посмотреть сообщение
    В каком именно файле находит вирус?
    какой файл?

    - удалите в MBAM
    Код:
    Зараженные ключи в реестре:
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
    
    Зараженные папки:
    C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
    повторите лог MBAM

    - Выполните скрипт в AVZ
    Код:
    begin
     C:\Documents and Settings\Администратор\Application Data\Microsoft Security Essentials\MpCmdRun.exe
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    После перезагрузки:
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

  9. #8
    Junior Member Репутация
    Регистрация
    10.05.2010
    Сообщений
    9
    Вес репутации
    51
    Спасибо.
    Удалил 7 .
    Еще 5 осталось лог прилагается.

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от akolyan Посмотреть сообщение
    Поставил систему на проверку Антивирь от Майкрософта.
    Антивирус находит packed.win32.katusha.j но лечить отказывается т.к. винда не лицензионная
    Качали с официального сайта? Антивирус случайно не Security Essentials 2010?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    10.05.2010
    Сообщений
    9
    Вес репутации
    51
    Именно он.
    Качал с оф сайта.

  12. #11
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Давайте проверим

    Вот Вам результат проверки Вашего msseces.exe

    Выполните скрипт в AVZ
    Код:
    begin
    QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Microsoft Security Essentials\MpCmdRun.exe','');
     QuarantineFile('c:\documents and settings\Администратор\application data\microsoft security essentials\msseces.exe','');
    end.
    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  13. #12
    Junior Member Репутация
    Регистрация
    10.05.2010
    Сообщений
    9
    Вес репутации
    51
    Security Essentials обнаружил PSP-worm.win32.palevo.acsa.
    предлагает оплатить по смс на номер 5581 активацию винды или кредиткой

  14. #13
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Странный номер для Microsoft
    Сомневаюсь, что качали с оффсайта (или качали с умело подделанного)

    Пока так поступим.

    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\documents and settings\Администратор\application data\microsoft security essentials\msseces.exe');
     DeleteFile('c:\documents and settings\Администратор\application data\microsoft security essentials\msseces.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Security Essentials');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Сделайте новые логи
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  15. #14
    Junior Member Репутация
    Регистрация
    10.05.2010
    Сообщений
    9
    Вес репутации
    51
    в панели задач отображалось 2 значка антивируса.
    один из значков постоянно высвечивал о вирусах и просил оплатить лицензию винды(выше писал про это)
    второй значек выглядит также, при запуске проверки полной ничего не находил.
    И в голову не могло прийти что один из них вирус.
    ЗЫ в данный момент вирусный значек отсутствует антивирь молчит.
    логи прилагаются.
    Спасибо.
    Знать бы как он еще попал, при условии того что с компьютера в нете просматривался сериал(до этого вирусов не обнаруживалось)комп оставался не выключенным в течение 2-3 часов (никто не пользовался)По приходу обнаружился смс-баннер,а дальше вы знаете.

  16. #15
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Нужно дождаться результат исследования из вирлаба файла C:\Documents and Settings\Администратор\Application Data\Microsoft Security Essentials\MpCmdRun.exe
    Кроме него, ничего подозрительного
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  17. #16
    Junior Member Репутация
    Регистрация
    10.05.2010
    Сообщений
    9
    Вес репутации
    51
    Цитата Сообщение от thyrex Посмотреть сообщение
    Нужно дождаться результат исследования из вирлаба файла C:\Documents and Settings\Администратор\Application Data\Microsoft Security Essentials\MpCmdRun.exe
    Кроме него, ничего подозрительного
    Хорошо,спасибо,буду ждать.
    ЗЫ если бы не ваш ресурс пришлось бы сносить винду

  18. #17
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Выполните скрипт в AVZ
    Код:
    begin
    DeleteFile('C:\Documents and Settings\Администратор\Application Data\Microsoft Security Essentials\MpCmdRun.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    Больше ничего плохого

    Установите Adobe Acrobat 9.3 или удалите старый
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  19. #18
    Junior Member Репутация
    Регистрация
    10.05.2010
    Сообщений
    9
    Вес репутации
    51
    Скрипт выполнил.
    Adobe Acrobat удалил.
    Спасибо.

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\documents and settings\администратор\application data\microsoft security essentials\msseces.exe - Trojan.Win32.FakeMS.byi ( DrWEB: Trojan.Fakealert.15556 )


  • Уважаемый(ая) akolyan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. packed.win32.katusha.n
      От [email protected] в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 30.08.2010, 18:48
    2. Packed.Win32.Katusha.o.
      От apos в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 28.06.2010, 12:12
    3. packed.win32.katusha.e
      От slam13 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 07.06.2010, 22:26
    4. packed.win32.katusha.e
      От Zabavnyi в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 18.01.2010, 19:54
    5. Help with packed.win32.katusha.b
      От mgratke в разделе Malware Removal Service
      Ответов: 1
      Последнее сообщение: 29.03.2009, 04:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00871 seconds with 20 queries