Multi.Accesstr.a в памяти

[Sandor]

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.0.14 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v400c
  BREG
  ;---------command-block---------
  delref %Sys32%\DRIVERS\MFEAACK.SYS
  delref %Sys32%\DRIVERS\MFEAVFK.SYS
  delref %Sys32%\DRIVERS\MFEFIREK.SYS
  delref %Sys32%\DRIVERS\MFEHIDK.SYS
  delref %Sys32%\DRIVERS\MFEPLK.SYS
  delref %Sys32%\DRIVERS\MFETDI2K.SYS
  delref %SystemDrive%\PROGRA~2\MCAFEE\SITEAD~1\SAUI.EXE
  delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\PLATFORM\MCAMTASKAGENT.EXE
  delref %SystemDrive%\USERS\ANT\APPDATA\LOCAL\TEMP\MCPR\MCCLEANUP.EXE
  delref %SystemDrive%\PROGRA~1\MCAFEE.COM\AGENT\MCAGENT.EXE
  delref %SystemDrive%\PROGRA~1\MCAFEE\VIRUSS~1\MCAVTSUB.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\COMMON FILES\MCAFEE\PLATFORM\MCBR3264.DLL
  delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\CLIENTANALYTICS\LEGACY\MCCLIENTANALYTICS.EXE
  delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCCONT~1.DLL
  delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\PLATFORM\CORE\MCCOREPS.DLL
  delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\CSP\2.2.351.0\MCCSPCLIENTAPI.DLL
  delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\CSP\2.2.351.0\MCCSPCOREPS.DLL
  delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\CSP\2.2.351.0\MCCSPSERVICE.DLL
  delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCCTXM~1.DLL
  delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCDBMGR.DLL
  delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\PLATFORM\MCDSPWRP.DLL
  delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\PLATFORM\CORE\MCEVTBRK.DLL
  delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCGSSHM.DLL
  delref %SystemDrive%\PROGRA~2\MCAFEE\SITEAD~1\MCIEPLG.DLL
  delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCIPTSHM.DLL
  delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCMISPPS.DLL
  delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCMSCSHM.DLL
  delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\PLATFORM\MCPLAT~1.DLL
  delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\MCPROXY\MCPROXY.DLL
  delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCPRSSHM.DLL
  delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCPRTM~1.DLL
  delref %SystemDrive%\PROGRA~1\MCAFEE\VIRUSS~1\MCQTAX.DLL
  delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCREGOBJ\15_0_2~1\MCREGOBJ.DLL
  delref %SystemDrive%\PROGRA~2\MCAFEE\SITEAD~1\MCSACO~1.DLL
  delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\PLATFORM\MSM\MCSMTSTR.DLL
  delref %SystemDrive%\PROGRA~2\MCAFEE\MSC\MCSNIEPL.DLL
  delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCSNIE~1.DLL
  delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCSUBMGR\15_0_2~1\MCSUBMGR.DLL
  delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\PLATFORM\MCSVCHOST\MCSVHVER.DLL
  delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\PLATFORM\MCSVCH~1\MCSVHVER.DLL
  delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCSVRCNT.EXE
  delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\PLATFORM\MCSYST~1.DLL
  delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\PLATFORM\MCUICFG.DLL
  delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\PLATFORM\MCUICNT.EXE
  delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCUINSHM.DLL
  delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\UPDMGR\402064~1.3\MCUPDA~1.DLL
  delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\UPDMGR\402064~1.3\MCUPDA~1.EXE
  delref %SystemDrive%\PROGRA~1\MCAFEE\MSC\MCUPDUI.DLL
  delref %SystemDrive%\PROGRA~2\COMMON~1\MCAFEE\PLATFORM\MISPPS.DLL
  delref %SystemDrive%\PROGRA~1\MCAFEE\MPF\MPFSVCPS.DLL
  delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MCAFEE\MCPROXY\PROXYVER.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\DROPBOX\UPDATE\1.3.27.29\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.24.15\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.31.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.13\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.11\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.7\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.25.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.30.3\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.29.1\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.27.5\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.32.7\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.15\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.33.3\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.28.1\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.26.9\PSMACHINE_64.DLL
  delref %SystemDrive%\PROGRA~2\MCAFEE\SITEAD~1\SAOEMMGR.EXE
  delref %SystemDrive%\PROGRA~2\MCAFEE\SITEAD~1\SASUBMGR.DLL
  delref %SystemDrive%\PROGRA~1\COMMON~1\MCAFEE\VSCORE~2\VSCVER.DLL
  delref MFEVTP\[SERVICE]
  delref MFETDI2K\[SERVICE]
  delref MFEPLK\[SERVICE]
  delref MFEMMS\[SERVICE]
  delref MFEHIDK\[SERVICE]
  delref MFEFIREK\[SERVICE]
  delref MFEFIRE\[SERVICE]
  delref MFEAVFK\[SERVICE]
  delref MFEAACK\[SERVICE]
  apply
  
  restart
  
  

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

Подробнее читайте в этом руководстве.

 

После перезагрузки еще один контрольный лог uVS, пожалуйста.

[ofChar]

В этом месте  https://forum.kaspersky.com/index.php?/topic/400700-trojanmultiaccesstra/&tab=comments#comment-2823219

сказано, что аналогичный детект возникает при подмене seth.exe  на cmd.exe

Для чего это бывает нужно я объяснять не буду.

Есть некоторая вероятность, что я делал в своей системе аналогичную подмену. Эту тоже делал, но давно вернул всё на место.

 

Так вот. Не реагирует ли защита на аналогичные случаи? Если да, то как узнать название заменённого файла?

uVS

ANTANTA_2018-08-31_15-50-47.7z

[Sandor]

аналогичный детект возникает при подмене

Такая подмена была бы видна в начальных логах.

 

Удалите установленный антивирус и пройдитесь Kavremover-ом. (Видны остатки предыдущих версий).

Затем скачайте и установите актуальную версию и проверьте.

Изменено 31 августа, 2018 пользователем Sandor
исправил ссылку

[ofChar]

ok

Интерфейс KIS при  включенном масштабировании на маленьком мониторе не позволяет добраться до нижних элементов формы.

Придется перенастроить экран сперва.

Если я поставлю Frree, это никак не помешает?

[Sandor]

Нет, только ставьте актуальную версию.

 

И, пожалуйста, ответьте на вопрос - какой такой баг был обнаружен в Автологере?

[ofChar]

Поставил актуальную версию Free.

Проблема остаётся.

Кто-то снес настройки FriGate, но это терпимо.

 

Что до "бага" - это мелочь.

У меня есть папка TEMP (я её сам создал на разделе, отличном от системного,  и периодически очищаю).

Именно в неё складываю "одноразовые" файлы.

Автологер наотрез отказался запускаться из этой папки, поскольку она "временная". Пришлось переносить в другое место.

[Sandor]

Соберите и прикрепите свежий CollectionLog Автологером и покажите в виде скриншота

Проблема остаётся

[regist]

 

 

втологер наотрез отказался запускаться из этой папки, поскольку она "временная". Пришлось переносить в другое место

и в чём же тут баг? Он же честно предупредил, что запуск из папки Temp и попросил запустить из другой.

 

 

папка TEMP (я её сам создал на разделе, отличном от системного,

а это не имеет никакого знаничения ибо многие переназнают системные папки темп.

[ofChar]

Done

Переменные же смотреть можно, а не "эвристику" включать

Баг в том, что папка ошибочно определена как "временная".

CollectionLog-2018.08.31-17.14.zip

Изменено 31 августа, 2018 пользователем ofChar

[Sandor]

Расположение файла Hosts меняли самостоятельно?

osts file is located at: C:\Windows\System32\drivers\etcZ\hosts

[ofChar]

Менял. Я что только с системой не делал.

 

ВОПРОС РЕШЕН.

 

Как я и предполагал, все дело в волшебном cmd.exe

Когда-то давно подменил файл utilman.exe на cmd.exe, и забыл.

Сделал сортировку по размеру в System32 и нашел негодника.

Выпилил, и детект исчез.

 

Верно люди говорят тут:  https://forum.kaspersky.com/index.php?/topic/400700-trojanmultiaccesstra/&tab=comments#comment-2823219

 

 

"а собственно детект с таким названием — это обнаружение файла cmd.exe под другим именем и/или расположенного по другому пути."

[regist]

Переменные же смотреть можно, а не "эвристику" включать

когда майкрософт введёт хоть одну API функцию, которая нормально будет работать и выдавать полный путь к Temp на всех ОС начиная с XP, вот тогда и можно будет об этом думать. А до тех пор это лучшее решение, особенно с учётом, что пользователей на компе может быть несколько и у каждого свой темп. Так что собственно это не бага, а "by design".

Изменено 31 августа, 2018 пользователем regist

[ofChar]

@regist,

Да, с API "стабильности нету"

Что до разных пользователей - нам но зачем?

Нам нужно исключить запуск из папок "темп" для конкретного пользователя. Обратной задачи не стоИт. 

Впрочем, к чему эти баталии. Лишь бы фолс починили, а то кулхацкеры страдают по  всему миру.

[Sandor]

В завершение:

Все используемые утилиты и их папки можно просто удалить.

 

Но прежде:

Выполните скрипт в AVZ при наличии доступа в интернет:

 

var
LogPath : string;
ScriptPath : string;
begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';
  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить.

В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

 

Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления (если таковые будут).

Перезагрузите компьютер.

Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

[ofChar]

@Sandor,

Спасибо за заботу.