Trojan.Multi.Accesstr.a.sh в системной памяти

[Олег1]

Здравствуйте!

При проверке компьютера антивирусом Kaspersky Virus Removal Tool была обнаружена вредоносная программа Trojan.Multi.Accesstr.a.sh в системной памяти.

Попытки вылечить систему (с перезагрузкой и без) не дали результатов.

Trojan.Multi.Accesstr.a.sh все равно появляется в системной памяти.

 

CollectionLog-2018.09.20-15.50.zip

[Sandor]

Здравствуйте!

 

Закройте все программы, временно выгрузите антивирус, файерволл и прочее защитное ПО.

 

Выполните скрипт в AVZ (Файл - Выполнить скрипт):

 

begin
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
 ClearQuarantineEx(true);
 QuarantineFile('C:\Users\Oleg\AppData\Roaming\nssm.exe', '');
 QuarantineFile('C:\Windows\winstart.bat', '');
 DeleteFile('C:\Users\Oleg\AppData\Roaming\nssm.exe', '64');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Eventlog\Application\NSSM', 'EventMessageFile');
 CreateQurantineArchive(GetAVZDirectory + 'quarantine.zip');
ExecuteSysClean;
 ExecuteWizard('SCU', 2, 3, true);
RebootWindows(true);
end.

Компьютер перезагрузится.

 

 

Файл quarantine.zip из папки AVZ отправьте по адресу newvirus@kaspersky.com

Полученный ответ сообщите здесь (с указанием номера KLAN).

 

 

 

Повторите логи по правилам. Для повторной диагностики запустите снова Autologger.

Прикрепите к следующему сообщению свежий CollectionLog.

[Олег1]

Ответ:

 

KLAN-8768646431

 

Благодарим за обращение в Антивирусную Лабораторию

 

Присланные вами файлы были проверены в автоматическом режиме.

 

В антивирусных базах информация по присланным вами файлам отсутствует:

winstart.bat

 

Файлы переданы на исследование. Если результат исследования изменится, мы дополнительно сообщим вам по электронной почте.

 

Это сообщение сформировано автоматической системой обработки писем. Пожалуйста, не отвечайте на него.

 

Антивирусная Лаборатория, Kaspersky Lab HQ

 

 

 

Прикрепил свежий Collection Log

 

CollectionLog-2018.09.20-16.50.zip

[regist]

1) - Исправьте с помощью утилиты ClearLNK следующие ярлыки, отчёт о работе прикрепите:
 

>>>  "C:\Users\Oleg\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\ImplicitAppShortcuts\821cccc16f4e15a4\ClubVulkan.lnk"         -> ["C:\Program Files (x86)\ClubVulkan\4.0.0\clubvulkan.exe"  =>> --user-data-dir="C:\Users\Oleg\AppData\Local\ClubVulkan\User Data" --profile-directory=Default --app-id=combppfioacfjkdlnnkoanonifabljpp]
-[h] "C:\Users\Oleg\AppData\Roaming\Microsoft\Windows\SendTo\Передача файлов через Bluetooth.LNK"    -> ["C:\Windows\System32\fsquirt.exe"]

2) Деинсталируйте Ace Stream Media 3.1.20.4

3) Удалите остатки avast

4) "Пофиксите" в HijackThis:

O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^FAH.lnk [backup] => C:\Program Files (x86)\WinZip\FAH\FAHConsole.exe (2016/09/25) (file missing)
O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^WinZip Preloader.lnk [backup] => C:\Program Files (x86)\WinZip\WzPreloader.exe (2016/09/25) (file missing)
O4 - MSConfig\startupreg: NvBackend [command] = C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe (HKLM) (2016/09/26) (file missing)
O4 - MSConfig\startupreg: RTHDVCPL [command] = C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe -s (HKLM) (2016/09/25) (file missing)
O5 - HKCU\Control Panel\don't load: [RTSnMg64.cpl] (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\00asw: (no name) - {472083B0-C522-11CF-8763-00608CC02F24} - (no file)
O22 - Task (.job): (Running) AutoKMS.job - C:\Windows\AutoKMS\AutoKMS.exe (file missing) /Application

5) Прикрепите свежие логи.

[Олег1]

После Fix пропали все иконки на рабочем столе, перегрузиться?

Перегрузился, иконки вернулись.

Прикрепляю свежие Логи

HiJackThis.log

ClearLNK-2018.09.20_17.15.43.log

CollectionLog-2018.09.20-17.46.zip

[regist]

 

 

После Fix пропали все иконки на рабочем столе, перегрузиться?

Да, попробуйте и сообщите результат.

 

+

Скачайте этот скрипт, запустите рассширенную проверку. Полученные логи потом выложите здесь.
 

[Олег1]

Все сделал, вот логи

CBS.LOG

sfcdoc.log

[regist]

Ещё раз запустите батник и свежий лог прикрепите.

Остатки аваст удалили? Судя по логу у вас там от него куча хвостов осталось и из-за них ошибки.

[Олег1]

Остатки аваст удалил в безопасном режиме.

А батник это sfc_scannow.bat?

[regist]

 

 

А батник это sfc_scannow.bat?

да.

[Олег1]

Прикрепил логи

sfcdoc.log

CBS.LOG

[Олег1]

Неизлечим?

[regist]

@Олег1, куча ошибок которые были от аваста исправлены. А вот при попытке восстановить sethc.exe в хранилище. что-то мешает. Либо система, либо возможно антивирус. А система не пепроверив ошибочно рапортует об успешном восстановление хранилища. Как следствие ошибка остаётся (и вердикт антивируса тоже).
Вы можете временно выгрузить антивирус и снова запустить рассширенную процедуру восстановления батником? Если опять не получится, то надо будет искать файл той же версии и менять его вручную.

Изменено 21 сентября, 2018 пользователем regist

[Олег1]

Спасибо, попробую выгрузить все и выложу отчеты батника

Выложил логи батника

sfcdoc.log

CBS.LOG

[regist]

@Олег1, у вас есть другой комп с OC windows 7 x64? Если да, то скопируйте соотсвующий файл и замените у себя в системе по следующим путям

C:\Windows\WinSxS\amd64_microsoft-windows-sethc_31bf3856ad364e35_6.1.7601.17514_none_c0e644688bbad892\sethc.exe
C:\Windows\System32\sethc.exe

Вам нужен файл версии 6.1.7601.17514 (версию файла можно посмотреть в свойствах).
 
Если такой ОС нету, то создайте тему в разделе Компьютерная помощь, кто-нибудь из форумчан думаю поделится соотсветсвующим файлом.

Либо ещё можете попробовать распаковать его с дистрибутива виндоус, если он у вас есть. Инструция здесь.