Перейти к содержанию

Троянская программа Trojan.Multi.Accesstr.bmf System Memory


Рекомендуемые сообщения

Добрый день.

Trojan.Multi.Accesstr.bmf не удаляется антивирусом KES 11.10.0.399

 

Обнаружено
Троянское приложение
Trojan.Multi.Accesstr.bmf
System Memory
Автоматический анализ
 

CollectionLog-2024.02.16-11.24.zip

Ссылка на сообщение
Поделиться на другие сайты

Добавьте логи обнаружений угроз из антивируса Касперского

+

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Ссылка на сообщение
Поделиться на другие сайты

Это известная вам задача?

C:\WINDOWS\SYSTEM32\TASKS\LANSWEEPER_RUN_LSPUSH_WEEKLY

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:


 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\SYMANTEC\SYMANTEC ENDPOINT PROTECTION\14.3.3384.1000.105\BIN\SYMERR.EXE
apply

regt 27
deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.9.1.1095\SERVICE_UPDATE.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\SERVMON\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\23.023.0129.0002\I386\FILESYNCSHELL.DLL
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS,

напишите по результату что с обнаружением происходит после очистки системы скриптом.

Ссылка на сообщение
Поделиться на другие сайты

LANSWEEPER_RUN_LSPUSH_WEEKLY известная задача.

 

Так же срабатывает, с невозможностью лечения.

 

Описание результата: Обнаружено
Тип: Троянское приложение
Название: Trojan.Multi.Accesstr.bmf
Пользователь: KDVM\p.nalivkin (Активный пользователь)
Объект: System Memory
Причина: Автоматический анализ
Дата выпуска баз: 22.02.2024 2:45:00

 

2024-02-22_08-38-55_log.txt

Ссылка на сообщение
Поделиться на другие сайты

Уточните, пожалуйста, как давно антивирус детектирует данную угрозу?

Quote

Trojan.Multi.Accesstr.bmf

 

Изменено пользователем safety
Ссылка на сообщение
Поделиться на другие сайты

проверьте, пожалуйста, этот файл есть  папке installer?

21 февраля 2024 г. 17:11:53    Объект не обработан    Тип события: Объект не обработан  Название: msiexec.exe  Путь к приложению: C:\Windows\System32  ID процесса: 6960  Пользователь: \ (Инициатор)  Компонент: Защита от файловых угроз  Описание результата: Не обработано  Тип объекта: Файл  Путь к объекту: C:\Windows\Installer  Название объекта: 9b88825e.msi  Причина: Размер    Kaspersky Endpoint Security для Windows (12.3.0)    11.10.0.399    Предупреждение    Защита от файловых угроз    21 февраля 2024 г. 17:12:01

 

Если есть такая возможность, проверьте это файл на virustotal.com и добавьте линк на результат проверки в вашем сообщении.

 

Ссылка на сообщение
Поделиться на другие сайты

Все необработанные файлы, в событиях, с названием: "msiexec.exe" удаляются и их нет в папке Installer. Сейчас скопировал себе папку Installer,  жду подобных событий, при появлении прикреплю ссылку.   

Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • kajit1
      От kajit1
      Начал замечать, что когда компьютер остается в простое и ни одна программа не открыта в полноэкранном режиме, про процессор начинается грузится на 70-100%. Когда открываешь диспетчер задач, то все становится на свои места, но при этом можно заметить, что грузит ЦП процесс "Системные прерывания". Понял, что словил майнер. При проверке утилитой от касперского находит MEM:Trojan.Win64.Generic.mem в System Memory. Но после лечения через некоторое время процессор опять начинает грузится. Помогите пожалуйста, как с этим быть? Файл с логами прилагаю.
      CollectionLog-2022.02.03-18.20.zip
    • ArataKun
      От ArataKun
      Добрый день участники форума.
      У меня после загрузки компьютера часто возникает сообщение от Касперского о трояне в системной памяти. Нажимаю "Лечить с перезагрузкой", Касперский лечит, комп перезагружается, и снова всплывает это же предупреждение. Бывает, что оно не появляется сразу после загрузки, но если я запущу сканирование системной памяти, то предупреждение снова появится. Как-то связать время, когда впервые появилось это предупреждение, с какими-то событиями на компьютере (установка программ, обновлений и т.п.) я не могу.
      Софт стоит следующий:
      Антивирус: Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 2 для Windows, версия 10.2.4.674
      ОС: Windows XP SP3 (Build 2600)
       
      Ругается на троян Trojan.Win32.Agent.gen
       
      Кроме Касперского никаких антивирусов в системе нет. Прошёлся "Kaspersky Virus Removal Tool" и собрал данные Автологгером. Архив и фото предупреждения (кнопка "PrintScreen" не работает) прикрепил. Надеюсь на помощь.
       
       
      CollectionLog-2016.12.20-23.38.zip

×
×
  • Создать...