Троянская программа Trojan.Multi.Accesstr.bmf System Memory

[Sarik 0]

Добрый день.

Trojan.Multi.Accesstr.bmf не удаляется антивирусом KES 11.10.0.399

 

Обнаружено
Троянское приложение
Trojan.Multi.Accesstr.bmf
System Memory
Автоматический анализ
 

CollectionLog-2024.02.16-11.24.zip

[safety 84]

Добавьте логи обнаружений угроз из антивируса Касперского

+

подготовьте, пожалуйста, дополнительные логи:

Quote

Подготовьте логи анализа системы при помощи Farbar Recovery Scan Tool.

+

Добавьте образ автозапуска системы в uVS.

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

[Sarik 0]

Добрый день. 

Собрал доп. логи.

Logs.7z

[safety 84]

 +это

Quote

Добавьте логи обнаружений угроз из антивируса Касперского

 

[Sarik 0]

прикрепляю

события.txt

[safety 84]

Это известная вам задача?

C:\WINDOWS\SYSTEM32\TASKS\LANSWEEPER_RUN_LSPUSH_WEEKLY

 

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню выбираем "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и перезагрузит ее.

Скрипт ниже:

 

;uVS v4.15.1 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delall %SystemDrive%\PROGRAM FILES (X86)\SYMANTEC\SYMANTEC ENDPOINT PROTECTION\14.3.3384.1000.105\BIN\SYMERR.EXE
apply

regt 27
deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\YANDEX\YANDEXBROWSER\22.9.1.1095\SERVICE_UPDATE.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK\V2.0.50727\MSCORSEC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\SERVMON\APPDATA\LOCAL\MICROSOFT\ONEDRIVE\23.023.0129.0002\I386\FILESYNCSHELL.DLL
delref {3AB1675A-CCFF-11D2-8B20-00A0C93CB1F4}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\MICROSOFT.NET\FRAMEWORK64\V2.0.50727\MSCORSEC.DLL
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
;-------------------------------------------------------------

restart

После перезагрузки системы добавьте файл Дата_времяlog.txt из папки uVS,

напишите по результату что с обнаружением происходит после очистки системы скриптом.

[Sarik 0]

LANSWEEPER_RUN_LSPUSH_WEEKLY известная задача.

 

Так же срабатывает, с невозможностью лечения.

 

Описание результата: Обнаружено
Тип: Троянское приложение
Название: Trojan.Multi.Accesstr.bmf
Пользователь: KDVM\p.nalivkin (Активный пользователь)
Объект: System Memory
Причина: Автоматический анализ
Дата выпуска баз: 22.02.2024 2:45:00

 

2024-02-22_08-38-55_log.txt

[safety 84]

Уточните, пожалуйста, как давно антивирус детектирует данную угрозу?

Quote

Trojan.Multi.Accesstr.bmf

 

Изменено 22 февраля пользователем safety

[Sarik 0]

c 15 февраля 2024 г. 13:58:52 первая сработка

 

[safety 84]

проверьте, пожалуйста, этот файл есть  папке installer?

21 февраля 2024 г. 17:11:53    Объект не обработан    Тип события: Объект не обработан  Название: msiexec.exe  Путь к приложению: C:\Windows\System32  ID процесса: 6960  Пользователь: \ (Инициатор)  Компонент: Защита от файловых угроз  Описание результата: Не обработано  Тип объекта: Файл  Путь к объекту: C:\Windows\Installer  Название объекта: 9b88825e.msi  Причина: Размер    Kaspersky Endpoint Security для Windows (12.3.0)    11.10.0.399    Предупреждение    Защита от файловых угроз    21 февраля 2024 г. 17:12:01

 

Если есть такая возможность, проверьте это файл на virustotal.com и добавьте линк на результат проверки в вашем сообщении.

 

[Sarik 0]

Все необработанные файлы, в событиях, с названием: "msiexec.exe" удаляются и их нет в папке Installer. Сейчас скопировал себе папку Installer,  жду подобных событий, при появлении прикреплю ссылку.