Олег1 0 Опубликовано 20 сентября, 2018 Share Опубликовано 20 сентября, 2018 Здравствуйте! При проверке компьютера антивирусом Kaspersky Virus Removal Tool была обнаружена вредоносная программа Trojan.Multi.Accesstr.a.sh в системной памяти. Попытки вылечить систему (с перезагрузкой и без) не дали результатов. Trojan.Multi.Accesstr.a.sh все равно появляется в системной памяти. CollectionLog-2018.09.20-15.50.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 252 Опубликовано 20 сентября, 2018 Share Опубликовано 20 сентября, 2018 Здравствуйте! Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО. Выполните скрипт в AVZ (Файл - Выполнить скрипт): begin ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true); ClearQuarantineEx(true); QuarantineFile('C:\Users\Oleg\AppData\Roaming\nssm.exe', ''); QuarantineFile('C:\Windows\winstart.bat', ''); DeleteFile('C:\Users\Oleg\AppData\Roaming\nssm.exe', '64'); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile'); CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip'); ExecuteSysClean; ExecuteWizard('SCU', 2, 3, true); RebootWindows(true); end. Компьютер перезагрузится. Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com Полученный ответ сообщите здесь (с указанием номера KLAN). Повторите логи по правилам. Для повторной диагностики запустите снова Autologger. Прикрепите к следующему сообщению свежий CollectionLog. Цитата Ссылка на сообщение Поделиться на другие сайты
Олег1 0 Опубликовано 20 сентября, 2018 Автор Share Опубликовано 20 сентября, 2018 Ответ: KLAN-8768646431 Благодарим за обращение в Антивирусную Лабораторию Присланные вами файлы были проверены в автоматическом режиме. В антивирусных базах информация по присланным вами файлам отсутствует: winstart.bat Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте. Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него. Антивирусная Лаборатория, Kaspersky Lab HQ Прикрепил свежий Collection Log CollectionLog-2018.09.20-16.50.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 20 сентября, 2018 Share Опубликовано 20 сентября, 2018 1) - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите: >>> "C:\Users\Oleg\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\821cccc16f4e15a4\ClubVulkan.lnk" -> ["C:\Program Files (x86)\ClubVulkan\4.0.0\clubvulkan.exe" =>> --user-data-dir="C:\Users\Oleg\AppData\Local\ClubVulkan\User Data" --profile-directory=Default --app-id=combppfioacfjkdlnnkoanonifabljpp] -[h] "C:\Users\Oleg\AppData\Roaming\Microsoft\Windows\SendTo\Передача файлов через Bluetooth.LNK" -> ["C:\Windows\System32\fsquirt.exe"] 2) Деинсталируйте Ace Stream Media 3.1.20.4 3) Удалите остатки avast 4) "Пофиксите" в HijackThis: O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^FAH.lnk [backup] => C:\Program Files (x86)\WinZip\FAH\FAHConsole.exe (2016/09/25) (file missing) O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^WinZip Preloader.lnk [backup] => C:\Program Files (x86)\WinZip\WzPreloader.exe (2016/09/25) (file missing) O4 - MSConfig\startupreg: NvBackend [command] = C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe (HKLM) (2016/09/26) (file missing) O4 - MSConfig\startupreg: RTHDVCPL [command] = C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe -s (HKLM) (2016/09/25) (file missing) O5 - HKCU\Control Panel\don't load: [RTSnMg64.cpl] (file missing) O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file) O22 - Task (.job): (Running) AutoKMS.job - C:\Windows\AutoKMS\AutoKMS.exe (file missing) /Application 5) Прикрепите свежие логи. Цитата Ссылка на сообщение Поделиться на другие сайты
Олег1 0 Опубликовано 20 сентября, 2018 Автор Share Опубликовано 20 сентября, 2018 После Fix пропали все иконки на рабочем столе, перегрузиться? Перегрузился, иконки вернулись. Прикрепляю свежие Логи HiJackThis.log ClearLNK-2018.09.20_17.15.43.log CollectionLog-2018.09.20-17.46.zip Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 20 сентября, 2018 Share Опубликовано 20 сентября, 2018 После Fix пропали все иконки на рабочем столе, перегрузиться? Да, попробуйте и сообщите результат. + Скачайте этот скрипт, запустите рассширенную проверку. Полученные логи потом выложите здесь. Цитата Ссылка на сообщение Поделиться на другие сайты
Олег1 0 Опубликовано 20 сентября, 2018 Автор Share Опубликовано 20 сентября, 2018 Все сделал, вот логи CBS.LOG sfcdoc.log Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 20 сентября, 2018 Share Опубликовано 20 сентября, 2018 Ещё раз запустите батник и свежий лог прикрепите. Остатки аваст удалили? Судя по логу у вас там от него куча хвостов осталось и из-за них ошибки. Цитата Ссылка на сообщение Поделиться на другие сайты
Олег1 0 Опубликовано 20 сентября, 2018 Автор Share Опубликовано 20 сентября, 2018 Остатки аваст удалил в безопасном режиме. А батник это sfc_scannow.bat? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 20 сентября, 2018 Share Опубликовано 20 сентября, 2018 А батник это sfc_scannow.bat? да. Цитата Ссылка на сообщение Поделиться на другие сайты
Олег1 0 Опубликовано 20 сентября, 2018 Автор Share Опубликовано 20 сентября, 2018 Прикрепил логи sfcdoc.log CBS.LOG Цитата Ссылка на сообщение Поделиться на другие сайты
Олег1 0 Опубликовано 21 сентября, 2018 Автор Share Опубликовано 21 сентября, 2018 Неизлечим? Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 21 сентября, 2018 Share Опубликовано 21 сентября, 2018 (изменено) @Олег1, куча ошибок которые были от аваста исправлены. А вот при попытке восстановить sethc.exe в хранилище. что-то мешает. Либо система, либо возможно антивирус. А система не пепроверив ошибочно рапортует об успешном восстановление хранилища. Как следствие ошибка остаётся (и вердикт антивируса тоже).Вы можете временно выгрузить антивирус и снова запустить рассширенную процедуру восстановления батником? Если опять не получится, то надо будет искать файл той же версии и менять его вручную. Изменено 21 сентября, 2018 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
Олег1 0 Опубликовано 21 сентября, 2018 Автор Share Опубликовано 21 сентября, 2018 Спасибо, попробую выгрузить все и выложу отчеты батника Выложил логи батника sfcdoc.log CBS.LOG Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 21 сентября, 2018 Share Опубликовано 21 сентября, 2018 @Олег1, у вас есть другой комп с OC windows 7 x64? Если да, то скопируйте соотсвующий файл и замените у себя в системе по следующим путям C:\Windows\WinSxS\amd64_microsoft-windows-sethc_31bf3856ad364e35_6.1.7601.17514_none_c0e644688bbad892\sethc.exe C:\Windows\System32\sethc.exe Вам нужен файл версии 6.1.7601.17514 (версию файла можно посмотреть в свойствах). Если такой ОС нету, то создайте тему в разделе Компьютерная помощь, кто-нибудь из форумчан думаю поделится соотсветсвующим файлом. Либо ещё можете попробовать распаковать его с дистрибутива виндоус, если он у вас есть. Инструция здесь. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.