Перейти к содержимому


Фотография
- - - - -

Троян в System Memory

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


Сообщений в теме: 15

#1 OFF   AdminStolbzy

AdminStolbzy

    Новичок

  • Новички
  • Cообщений: 20

Отправлено 25 Октябрь 2019 - 14:34

Доброго времени суток.

На ноутбуке установлен KES 10, в SYSTEM MEMORY он нашел Trojan.Multi.Accesstr.ash. Предлагает лечить с перезагрузкой. Лечит, но после перезагрузки тоже самое. И что за файл не показывает - на вкладке файл просто system memory размер 0 байт. Логи прилагаются

Прикрепленные файлы


  • 0

#2 OFF   SQ

SQ

    Хелпер

  • Модераторы
  • Консультанты
  • PipPipPipPipPipPipPipPipPip
  • Cообщений: 3 938

Отправлено 25 Октябрь 2019 - 14:46

Здравствуйте,
 

- Скачайте Farbar Recovery Scan Tool  FRST_Icon.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
  • FRST.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

    • 0

    #3 OFF   AdminStolbzy

    AdminStolbzy

      Новичок

    • Новички
    • Cообщений: 20

    Отправлено 25 Октябрь 2019 - 14:59

    Вот нужные файлы

    Прикрепленные файлы

    • Прикрепленный файл  Addition.txt   36,85К   скачиваний 1
    • Прикрепленный файл  FRST.txt   22,7К   скачиваний 1

    • 0

    #4 OFF   SQ

    SQ

      Хелпер

    • Модераторы
    • Консультанты
    • PipPipPipPipPipPipPipPipPip
    • Cообщений: 3 938

    Отправлено 25 Октябрь 2019 - 15:13

    • Закройте и сохраните все открытые приложения.
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
    CreateRestorePoint:
    CloseProcesses:
    FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
    FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [No File]
    FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [No File]
    FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [No File]
    FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [No File]
    FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
    File: C:\Windows\SysWOW64\Mswtif.dll
    File: C:\Windows\System32\sethc.exe
    End::
    
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. 
    • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер возможно будет перезагружен.

    • 0

    #5 OFF   AdminStolbzy

    AdminStolbzy

      Новичок

    • Новички
    • Cообщений: 20

    Отправлено 25 Октябрь 2019 - 15:20

    Fixlog

    Прикрепленные файлы

    • Прикрепленный файл  Fixlog.txt   3,3К   скачиваний 2

    • 0

    #6 OFF   SQ

    SQ

      Хелпер

    • Модераторы
    • Консультанты
    • PipPipPipPipPipPipPipPipPip
    • Cообщений: 3 938

    Отправлено 25 Октябрь 2019 - 15:36

    1) Проблема в том, что у Вас поменен файл C:\Windows\System32\sethc.exe следующим C:\Windows\System32\cmd.exe

     
    C:\Windows\System32\sethc.exe
    Catalog: C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.cat
    File is digitally signed
    MD5: 5746BD7E255DD6A8AFA06F7C42C1BA41
    Creation and modification date: 2010-11-21 06:24 - 2010-11-21 06:23
    Size: 000345088
    Attributes: ----A
    Company Name: Microsoft Windows -> Microsoft Corporation
    Internal Name: cmd
    Original Name: Cmd.Exe
    Product: Microsoft® Windows® Operating System
    Description: Windows Command Processor
    File Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850)
    Product Version: 6.1.7601.17514
    Copyright: © Microsoft Corporation. All rights reserved.
    VirusTotal: 0

    Вам необходимо восстановить оригинальный файл C:\Windows\System32\sethc.exe из вашего установочного диска.

     

    2) Отправьте пожалуйста подозрительный файл на проверку, используя следующую инструкцию:

     

    • Закройте и сохраните все открытые приложения.
    • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
    Start::
    CreateRestorePoint:
    Zip: C:\Windows\SysWOW64\Mswtif.dll
    End::
    
    • Запустите FRST и нажмите один раз на кнопку Fix и подождите. 
    • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
    • Обратите внимание, что компьютер будет перезагружен.
     
     
    На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму
     

    3) Обратите внимание на то, что в событиях системы логируются апаратные проблемы с процессором:
     

    Error: (10/25/2019 02:49:22 PM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 18) (User: NT AUTHORITY)
    Description: Произошла неустранимая аппаратная ошибка.
    
    Сообщивший компонент: ядро процессора
    Источник ошибки: 3
    Тип ошибки: 9
    ИД процесса: 0
    

    • 0

    #7 OFF   AdminStolbzy

    AdminStolbzy

      Новичок

    • Новички
    • Cообщений: 20

    Отправлено 25 Октябрь 2019 - 15:36

    Спасибо за помощь. Я уже пробовал перекидывать с другого компа этот файл. Буду искать оригинальный.


    • 0

    #8 OFF   SQ

    SQ

      Хелпер

    • Модераторы
    • Консультанты
    • PipPipPipPipPipPipPipPipPip
    • Cообщений: 3 938

    Отправлено 25 Октябрь 2019 - 15:39

    получается так, что злоумышлинники используют это для взлома ПК. Вы можете сами  в этом убедиться, на момент ввода пароля в систему введите 3-5 раз на клавишу shift и откроется командная строка вместо сообщения о зацикливание клавиши shift.

    пожалуйста обратите внимание на пункты 2 и 3.


    • 0

    #9 OFF   AdminStolbzy

    AdminStolbzy

      Новичок

    • Новички
    • Cообщений: 20

    Отправлено 25 Октябрь 2019 - 15:57

    Архив с подозрительным файлом загрузил. sethc.exe скачивал и из интернета, и с другого компа, но все равно в fixlog оказывалось, что это файл cmd.exe.


    • 0

    #10 OFF   SQ

    SQ

      Хелпер

    • Модераторы
    • Консультанты
    • PipPipPipPipPipPipPipPipPip
    • Cообщений: 3 938

    Отправлено 25 Октябрь 2019 - 16:08

    возможно этот файл был изначально подменен, из-за того, что у вас не лицензионаая версия ОC, не возможно выполнить проверку целостности системных файлов, из-за того, что ОС может по окончанию не загрузиться.
     

    Как возможный вариант найдите лицензионную (легитимную) версию ОС и извлеките необходимый файл с него.


    • 0

    #11 OFF   AdminStolbzy

    AdminStolbzy

      Новичок

    • Новички
    • Cообщений: 20

    Отправлено 25 Октябрь 2019 - 16:42

    Удалил подозрительный файл Mswtif.dll, затем вытащил из образа  (проверял на машине, где установлена система с этого образа - командная строка не запускается) sethc.exe, закинул в system 32 - антивирус опять находил трояна в system memory, затем удалил sethc.exe, перезагрузил и все равно командную строку можно запустить.


    • 0

    #12 OFF   SQ

    SQ

      Хелпер

    • Модераторы
    • Консультанты
    • PipPipPipPipPipPipPipPipPip
    • Cообщений: 3 938

    Отправлено 25 Октябрь 2019 - 17:01

    Удалил подозрительный файл Mswtif.dll, затем вытащил из образа  (проверял на машине, где установлена система с этого образа - командная строка не запускается) sethc.exe, закинул в system 32 - антивирус опять находил трояна в system memory, затем удалил sethc.exe, перезагрузил и все равно командную строку можно запустить.

    Подозрительный файл не нужно было удалять, так как он может быь легитимным


    Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.


    • 0

    #13 OFF   AdminStolbzy

    AdminStolbzy

      Новичок

    • Новички
    • Cообщений: 20

    Отправлено 28 Октябрь 2019 - 08:41

    Копия подозрительного файла у меня осталась, если что - восстановлю. Вот образ автозапуска

    Прикрепленные файлы


    • 0

    #14 OFF   SQ

    SQ

      Хелпер

    • Модераторы
    • Консультанты
    • PipPipPipPipPipPipPipPipPip
    • Cообщений: 3 938

    Отправлено 28 Октябрь 2019 - 18:58

    Копия подозрительного файла у меня осталась, если что - восстановлю. Вот образ автозапуска

    Подозрительный файл не предоставляет угрозы.

    Файл C:\Windows\System32\sethc.exe до сих пор имеет оригинальное имя cmd.exe


    • 0

    #15 OFF   AdminStolbzy

    AdminStolbzy

      Новичок

    • Новички
    • Cообщений: 20

    Отправлено 29 Октябрь 2019 - 17:00

     

    Копия подозрительного файла у меня осталась, если что - восстановлю. Вот образ автозапуска

    Подозрительный файл не предоставляет угрозы.

    Файл C:\Windows\System32\sethc.exe до сих пор имеет оригинальное имя cmd.exe

     

    Спасибо. Файл нашел через найти в меню пуск (через total не находило), удалил его и теперь касперский уже  ни на что не ругается.


    • 0




    Количество пользователей, читающих эту тему: 0

    0 пользователей, 0 гостей, 0 анонимных