Лидеры

Данный вердикт: Trojan.Multi.Accesstr.a используется Лабораторией Касперского для детектирования файлов cmd.exe и powershell.exe, хранящихся под другими именами в системной директории. В схожих запросах от пользователей встречали следующее: Файл C:\Windows\system32\sethc.exe является cmd.exe, что может быть использовано для получения несанкционированного доступа к системе. Поскольку оригинальный sethc.exe не был найден, система не была пролечена корректно. Необходимо самостоятельно заменить файл на оригинальный. Иными словами, исполняемый файл sethc.exe (который отвечает за вывод сообщения о залипании клавиш) был подменен на cmd.exe. Таким образом можно на этапе логина в систему, сделать "залипание" клавиш и получить доступ к cmd.exe Стоит сразу проверить указанный файл. В некоторых случаях может быть подменен файл: utilman.exe (отвечает за центр специальных возможностей) Также необходимо проверить следующие файлы и при необходимости заменить на оригинальные: "%SystemRoot%\\system32\\osk.exe", "%SystemRoot%\\syswow64\\osk.exe", "%SystemRoot%\\system32\\magnify.exe", "%SystemRoot%\\syswow64\\magnify.exe", "%SystemRoot%\\system32\\displayswitch.exe", "%SystemRoot%\\syswow64\\displayswitch.exe", "%SystemRoot%\\system32\\atbroker.exe", "%SystemRoot%\\syswow64\\atbroker.exe", "%SystemRoot%\\system32\\utilman.exe", "%SystemRoot%\\syswow64\\utilman.exe", "%SystemRoot%\\system32\\sethc.exe", "%SystemRoot%\\syswow64\\sethc.exe", "%SystemRoot%\\system32\\easeofaccessdialog.exe", "%SystemRoot%\\syswow64\\easeofaccessdialog.exe", "%SystemRoot%\\system32\\narrator.exe", "%SystemRoot%\\syswow64\\narrator.exe", Найти проблемный файл можно следующим образом: Сделать сортировку по размеру в папке System32 и сравнить размеры файлов с файлом cmd.exe или powershell.exe Если дело не в нем, то для полноценного анализа детекта в инфраструктуре Лаборатории Касперского потребуются трассировки продукта с захватом детекта: https://support.kaspersky.ru/common/diagnostics/12797#block1 Ссылки по теме: https://blogs.technet.microsoft.com/jonathantrull/2016/10/03/detecting-sticky-key-backdoors/ https://attack.mitre.org/wiki/Technique/T1015 http://winitpro.ru/index.php/2012/05/29/dyra-pozvolyayushhaya-zapustit-lyuboe-prilozheniya-na-ekrane-vxoda-v-windows/ Продукты Лаборатории Касперского успешно выполняет лечение компьютера при включенной опции: «Лечение активного заражения» в настройках продукта. НО, успешно оно пройдет только если в системе обнаружится оригинальный файл. Если файла не будет - детект будет повторяться.