[РЕШЕНО] Не удаётся удалить Trojan.Multi.Accesstr.ash

21 августа, 2022

На Windows 2003 Server не удаётся удалить Trojan.Multi.Accesstr.ash
Через этот сервер проник шифровальщик. После расшифровки стал проверять на вирусы. Обнаружилось Это.
Был открыт RDP. Сейчас закрыл на нём весь интернет.

CollectionLog-2022.08.21-22.07.zip

22 августа, 2022

Выполните скрипт в AVZ из папки Autologger (запускать AVZ от имени Администратора по правой кнопке мыши)

begin
 TerminateProcessByName('c:\docume~1\admin\applic~1\csrss.exe');
 QuarantineFile('c:\docume~1\admin\applic~1\csrss.exe','');
 DeleteFile('c:\docume~1\admin\applic~1\csrss.exe','32');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
end.

Обратите внимание: перезагрузку компьютера нужно выполнить вручную после данного скрипта.

Выполните скрипт в AVZ

begin
DeleteFile(GetAVZDirectory+'quarantine.7z');
ExecuteFile(GetAVZDirectory+'7za.exe', 'a -mx9 -pmalware quarantine ./Quarantine/', 1, 0, true);
end.

Отправьте quarantine.7z из папки с распакованной утилитой AVZ с помощью формы отправки карантина или на этот почтовый ящик: quarantine <at> safezone.cc (замените <at> на @) с указанием ссылки на тему в теме (заголовке) сообщения и с указанием пароля: malware в теле письма.

Пожалуйста, ЕЩЕ РАЗ запустите Autologger; прикрепите к следующему сообщению НОВЫЕ логи.

22 августа, 2022

Имя каранатина 2022.08.22_quarantine_5892911de91eedab1926941e99e74c3f.7z

CollectionLog-2022.08.23-00.14.zip

в процессе ещё такое выскочило ...

Да, и ещё как в теме https://forum.kasperskyclub.ru/topic/88567-resheno-trojanmultiaccesstrash/page/2/ у меня подменён sethc.exe на cmd.exe (проверяется по 5 раз Shift) из дистрибутива выковырять не выходит. Поможет ли замена обратно ? Вирус-то в системной памяти ... Нашёл такой сайт с системными файлами от разных ОС : https://www.pconlife.com/searchfile/windowsosfile/

23 августа, 2022

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что в окне Optional Scan (Дополнительные опции) отмечены List BCD и 90 Days Files.
3. Нажмите кнопку Scan (Сканировать).
4. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа.
5. Если программа была запущена в первый раз, также будет создан отчет (Addition.txt).
6. Файлы FRST.txt и Addition.txt заархивируйте (в один общий архив) и прикрепите к сообщению.

23 августа, 2022

FRST просканировал. Файл приложил.

FRST.zip

24 августа, 2022

Что сейчас с проблемой?

24 августа, 2022

Всё так же : Trojan.Multi.Accesstr.ash находится в System memory

24 августа, 2022

Очистите отчеты антивируса с найденными угрозами, выполните еще раз проверку антивирусом и сообщите результат

24 августа, 2022

Что интересно, DW CureIt ничего не обнаруживает.

24 августа, 2022

наконец нашёл здоровый файл sethc.exe и заменил, как в теме https://forum.kasperskyclub.ru/topic/88567-resheno-trojanmultiaccesstrash/page/2/
Теперь Kaspersky Virus Remuval Tool не ругается. Спасибо форуму и Thyrex.

26 августа, 2022

Загрузите SecurityCheck by glax24 & Severnyj и сохраните утилиту на Рабочем столе.

Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/10/11);
Если увидите предупреждение от вашего фаервола относительно программы SecurityCheck, не блокируйте ее работу;
Дождитесь окончания сканирования, откроется лог в Блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt;
Прикрепите этот файл в своем следующем сообщении.

30 августа, 2022

Лог SecurityCheck.txt прикладываю.

SecurityCheck.txt

31 августа, 2022

------------------------------- [ Windows ] -------------------------------

Расширенная поддержка закончилась 14.07.2015, Ваша операционная система может быть уязвима к новым типам угроз
Service Pack 2 Внимание! Скачать обновления
^Возможно потребуется повторная активация Windows^
Internet Explorer 6.0.3790.3959 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Автоматическое обновление отключено
------------------------------- [ HotFix ] --------------------------------
HotFix KB958644 Внимание! Скачать обновления
HotFix KB2347290 Внимание! Скачать обновления
HotFix KB3197835 Внимание! Скачать обновления
HotFix KB4012598 Внимание! Скачать обновления
HotFix KB4012583 Внимание! Скачать обновления
HotFix KB4022747 Внимание! Скачать обновления
HotFix KB4024323 Внимание! Скачать обновления
HotFix KB4025218 Внимание! Скачать обновления
HotFix KB4500331 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
Microsoft SQL Server 2005 Данная программа больше не поддерживается разработчиком.
Службы Microsoft SQL Server 2005 Integration Services v.9.3.4035.00 Данная программа больше не поддерживается разработчиком.
Средства Microsoft SQL Server 2005 v.9.3.4035.00 Данная программа больше не поддерживается разработчиком.
Службы Microsoft SQL Server 2005 Notification Services v.9.3.4035.00 Данная программа больше не поддерживается разработчиком.
Службы Microsoft SQL Server 2005 Analysis Services v.9.3.4035.00 Данная программа больше не поддерживается разработчиком.
Обратная совместимость Microsoft SQL Server 2005 v.8.05.2312 Данная программа больше не поддерживается разработчиком.
Microsoft Office - профессиональный выпуск версии 2003 v.11.0.5614.0 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft Office 2003 - веб-компоненты v.11.0.6569.0 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
Microsoft SQL Server 2005: электронная документация (Русский) v.9.00.1399.06 Данная программа больше не поддерживается разработчиком.
------------------------------ [ ArchAndFM ] ------------------------------
WinRAR 4.0.0 (32-разрядная) v.4.0.0 Внимание! Скачать обновления
------------------------------- [ Browser ] -------------------------------
Google Chrome v.36.0.1985.143 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О браузере Google Chrome!^

по возможности исправляйте указанное, и на этом закончим

31 августа, 2022

Да, хотфиксы поставлю. А так я его уже VPN-ами и Firewall-ами закрыл.

Спасибо !

31 августа, 2022

Мы были рады Вам помочь! Надеемся, что Вы остались довольны результатом. На нашем форуме также можно получить компьютерную помощь, помощь по продуктам "Лаборатории Касперкого", обсудить технологии и технику, заказать эксклюзивную сувенирную продукцию "Лаборатории Касперского" бесплатно! Форумчане ежегодно путешествуют. В числе приглашенных в Турцию, Армению, Сочи, Камбоджу можете стать и Вы! Будем рады видеть Вас в наших рядах! Всегда ваш, клуб "Лаборатории Касперского".

[РЕШЕНО] Не удаётся удалить Trojan.Multi.Accesstr.ash

Рекомендуемые сообщения

Anton76

thyrex

Anton76

thyrex

Anton76

thyrex

Anton76

thyrex

Anton76

Anton76

thyrex

Anton76

thyrex

Anton76

thyrex

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum