Перейти к содержанию

Multi.Accesstr.a в памяти


Рекомендуемые сообщения

  • Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
  • Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

    ;uVS v4.0.14 [http://dsrt.dyndns.org]
    ;Target OS: NTv6.1
    v400c
    BREG
    ;---------command-block---------
    delref %Sys32%\DRIVERS\MFEAACK.SYS
    delref %Sys32%\DRIVERS\MFEAVFK.SYS
    delref %Sys32%\DRIVERS\MFEFIREK.SYS
    delref %Sys32%\DRIVERS\MFEHIDK.SYS
    delref %Sys32%\DRIVERS\MFEPLK.SYS
    delref %Sys32%\DRIVERS\MFETDI2K.SYS
    delref %SystemDrive%\PROGRA~2\MCAFEE\SITEAD~1\SAUI.EXE
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\PLATFORM\MCAMTASKAGENT.EXE
    delref %SystemDrive%\USERS\ANT\APPDATA\LOCAL\TEMP\MCPR\MCCLEANUP.EXE
    delref %SystemDrive%\PROGRA~1\MCAFEE.COM\AGENT\MCAGENT.EXE
    delref %SystemDrive%\PROGRA~1\MCAFEE\VIRUSS~1\MCAVTSUB.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MCAFEE\PLATFORM\MCBR3264.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\CLIENTANALYTICS\LEGACY\MCCLIENTANALYTICS.EXE
    delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCCONT~1.DLL
    delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\PLATFORM\CORE\MCCOREPS.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\CSP\2.2.351.0\MCCSPCLIENTAPI.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\CSP\2.2.351.0\MCCSPCOREPS.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\CSP\2.2.351.0\MCCSPSERVICE.DLL
    delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCCTXM~1.DLL
    delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCDBMGR.DLL
    delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\PLATFORM\MCDSPWRP.DLL
    delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\PLATFORM\CORE\MCEVTBRK.DLL
    delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCGSSHM.DLL
    delref %SystemDrive%\PROGRA~2\MCAFEE\SITEAD~1\MCIEPLG.DLL
    delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCIPTSHM.DLL
    delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCMISPPS.DLL
    delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCMSCSHM.DLL
    delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\PLATFORM\MCPLAT~1.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\MCPROXY\MCPROXY.DLL
    delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCPRSSHM.DLL
    delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCPRTM~1.DLL
    delref %SystemDrive%\PROGRA~1\MCAFEE\VIRUSS~1\MCQTAX.DLL
    delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCREGOBJ\15_0_2~1\MCREGOBJ.DLL
    delref %SystemDrive%\PROGRA~2\MCAFEE\SITEAD~1\MCSACO~1.DLL
    delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\PLATFORM\MSM\MCSMTSTR.DLL
    delref %SystemDrive%\PROGRA~2\MCAFEE\MSC\MCSNIEPL.DLL
    delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCSNIE~1.DLL
    delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCSUBMGR\15_0_2~1\MCSUBMGR.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\PLATFORM\MCSVCHOST\MCSVHVER.DLL
    delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\PLATFORM\MCSVCH~1\MCSVHVER.DLL
    delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCSVRCNT.EXE
    delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\PLATFORM\MCSYST~1.DLL
    delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\PLATFORM\MCUICFG.DLL
    delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\PLATFORM\MCUICNT.EXE
    delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCUINSHM.DLL
    delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\UPDMGR\402064~1.3\MCUPDA~1.DLL
    delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\UPDMGR\402064~1.3\MCUPDA~1.EXE
    delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCUPDUI.DLL
    delref %SystemDrive%\PROGRA~2\COMMON~1\MCAFEE\PLATFORM\MISPPS.DLL
    delref %SystemDrive%\PROGRA~1\MCAFEE\MPF\MPFSVCPS.DLL
    delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\MCPROXY\PROXYVER.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.27.29\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
    delref %SystemDrive%\PROGRA~2\MCAFEE\SITEAD~1\SAOEMMGR.EXE
    delref %SystemDrive%\PROGRA~2\MCAFEE\SITEAD~1\SASUBMGR.DLL
    delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\VSCORE~2\VSCVER.DLL
    delref MFEVTP\[SERVICE]
    delref MFETDI2K\[SERVICE]
    delref MFEPLK\[SERVICE]
    delref MFEMMS\[SERVICE]
    delref MFEHIDK\[SERVICE]
    delref MFEFIREK\[SERVICE]
    delref MFEFIRE\[SERVICE]
    delref MFEAVFK\[SERVICE]
    delref MFEAACK\[SERVICE]
    apply
    
    restart
    
    
  • В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
  • Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.
Подробнее читайте в этом руководстве.

 

После перезагрузки еще один контрольный лог uVS, пожалуйста.

Ссылка на сообщение
Поделиться на другие сайты
  • Ответов 44
  • Created
  • Последний ответ

Top Posters In This Topic

  • ofChar

    21

  • Sandor

    19

  • regist

    3

  • ramses48

    2

Popular Days

Top Posters In This Topic

Popular Posts

Поставил актуальную версию Free. Проблема остаётся. Кто-то снес настройки FriGate, но это терпимо.   Что до "бага" - это мелочь. У меня есть папка TEMP (я её сам создал на разделе, отличном от си

@regist, Да, с API "стабильности нету" Что до разных пользователей - нам но зачем? Нам нужно исключить запуск из папок "темп" для конкретного пользователя. Обратной задачи не стоИт.  Впрочем, к ч

Posted Images

В этом месте  https://forum.kaspersky.com/index.php?/topic/400700-trojanmultiaccesstra/&tab=comments#comment-2823219

сказано, что аналогичный детект возникает при подмене seth.exe  на cmd.exe

Для чего это бывает нужно я объяснять не буду.

Есть некоторая вероятность, что я делал в своей системе аналогичную подмену. Эту тоже делал, но давно вернул всё на место.

 

Так вот. Не реагирует ли защита на аналогичные случаи? Если да, то как узнать название заменённого файла?


uVS

ANTANTA_2018-08-31_15-50-47.7z

Ссылка на сообщение
Поделиться на другие сайты

аналогичный детект возникает при подмене

Такая подмена была бы видна в начальных логах.

 

Удалите установленный антивирус и пройдитесь Kavremover-ом. (Видны остатки предыдущих версий).

Затем скачайте и установите актуальную версию и проверьте.

Изменено пользователем Sandor
исправил ссылку
Ссылка на сообщение
Поделиться на другие сайты

ok


Интерфейс KIS при  включенном масштабировании на маленьком мониторе не позволяет добраться до нижних элементов формы.

Придется перенастроить экран сперва.


Если я поставлю Frree, это никак не помешает?

Ссылка на сообщение
Поделиться на другие сайты

Нет, только ставьте актуальную версию.

 

И, пожалуйста, ответьте на вопрос - какой такой баг был обнаружен в Автологере?

Ссылка на сообщение
Поделиться на другие сайты

Поставил актуальную версию Free.

Проблема остаётся.

Кто-то снес настройки FriGate, но это терпимо.

 

Что до "бага" - это мелочь.

У меня есть папка TEMP (я её сам создал на разделе, отличном от системного,  и периодически очищаю).

Именно в неё складываю "одноразовые" файлы.

Автологер наотрез отказался запускаться из этой папки, поскольку она "временная". Пришлось переносить в другое место.

  • Улыбнуло 1
Ссылка на сообщение
Поделиться на другие сайты

 

 


втологер наотрез отказался запускаться из этой папки, поскольку она "временная". Пришлось переносить в другое место
и в чём же тут баг? Он же честно предупредил, что запуск из папки Temp и попросил запустить из другой.

 

 


папка TEMP (я её сам создал на разделе, отличном от системного,
а это не имеет никакого знаничения ибо многие переназнают системные папки темп.
Ссылка на сообщение
Поделиться на другие сайты

Done

Переменные же смотреть можно, а не "эвристику" включать :)

Баг в том, что папка ошибочно определена как "временная".

post-5095-0-59328200-1535713631_thumb.jpg

CollectionLog-2018.08.31-17.14.zip

Изменено пользователем ofChar
Ссылка на сообщение
Поделиться на другие сайты

Менял. Я что только с системой не делал.

 

ВОПРОС РЕШЕН.

 

Как я и предполагал, все дело в волшебном cmd.exe

Когда-то давно подменил файл utilman.exe на cmd.exe, и забыл.

Сделал сортировку по размеру в System32 и нашел негодника.

Выпилил, и детект исчез.

 

Верно люди говорят тут:  https://forum.kaspersky.com/index.php?/topic/400700-trojanmultiaccesstra/&tab=comments#comment-2823219

 

 

"а собственно детект с таким названием — это обнаружение файла cmd.exe под другим именем и/или расположенного по другому пути."

Ссылка на сообщение
Поделиться на другие сайты

Переменные же смотреть можно, а не "эвристику" включать :)

когда майкрософт введёт хоть одну API функцию, которая нормально будет работать и выдавать полный путь к Temp на всех ОС начиная с XP, вот тогда и можно будет об этом думать. А до тех пор это лучшее решение, особенно с учётом, что пользователей на компе может быть несколько и у каждого свой темп. Так что собственно это не бага, а "by design".

Изменено пользователем regist
Ссылка на сообщение
Поделиться на другие сайты

@regist,

Да, с API "стабильности нету" :)

Что до разных пользователей - нам но зачем?

Нам нужно исключить запуск из папок "темп" для конкретного пользователя. Обратной задачи не стоИт. 

Впрочем, к чему эти баталии. Лишь бы фолс починили, а то кулхацкеры страдают по  всему миру.

  • Улыбнуло 1
Ссылка на сообщение
Поделиться на другие сайты

В завершение:

Все используемые утилиты и их папки можно просто удалить.

 

Но прежде:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Ссылка на сообщение
Поделиться на другие сайты
Гость
Эта тема закрыта для публикации ответов.
  • Похожий контент

    • ofChar
      От ofChar
      Добрый день.
      Около 12 часов назад установленный на тот момент Kaspersky Free выдал детект Trojan.Multi.Accesstr.a  в System Memory
       
      Многократные обновления и попытки лечения ничего не изменили.
      Удалил бесплатный антивирус, установил пробную версию KIS 19.0.0.1088(
      Без изменения. Аналогичная тема уже есть на англоязычном форуме - https://forum.kaspersky.com/index.php?/topic/400685-trojan-memory/
       
      Система  Windows 7 Professional  x64 7601  Service Pack 1
      Подозрительной активности в системе заметить не удалось.
      Допускаю "ложняк", но хотелось бы разобраться.
       
      Что делать?

×
×
  • Создать...