Вирус trojan.multi.accesstr.a.sh

[chubaha]

Здравствуйте. Касперский находит вирус trojan.multi.accesstr.a.sh. Предлагает его удалить с перезагрузкой, но после этих действий история повторяется. Логи прикрепляю. Спасибо.

CollectionLog-2018.10.17-09.05.zip

Изменено 17 октября, 2018 пользователем chubaha

[regist]

1)  - Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.
 

2)

7-Zip 4.65 [2017/03/27 13:54:00]-->"C:\Program Files\7-Zip\Uninstall.exe"

где такую древнюю версию нашли? Удалите её и поставьте актуальную.

Java 8 Update 151 [20171215]-->MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F32180151F0}

тоже устарела, тоже удалите.

 

3) Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

 

[chubaha]

Ссылка https://virusinfo.info/virusdetector/report.php?md5=D601E1E457789596ED257BB6553B8101

 

7-Zip и Java удалил

 

Лог прикрепил

ZAVHOZ_2018-10-17_11-19-24_v4.1.7z

[regist]

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

• Закройте все программы, временно выгрузите антивирус, файрволл и прочее защитное ПО.
• Откройте папку с распакованной утилитой uVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выделите и правой кнопкой мыши скопируйте следующий скрипт в буфер обмена:

  ;uVS v4.1 [http://dsrt.dyndns.org]
  ;Target OS: NTv6.1
  v400c
  BREG
  ;---------command-block---------
  delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\YUPDATE-PING-YABROWSER.TEMP
  delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.21.153\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.32.7\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.3\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.5\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES\GOOGLE\UPDATE\1.3.33.7\PSMACHINE.DLL
  delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_131\BIN\JP2IEXP.DLL
  delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_141\BIN\JP2IEXP.DLL
  delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_151\BIN\JP2IEXP.DLL
  delref %SystemDrive%\PROGRAM FILES\JAVA\JRE1.8.0_151\BIN\WSDETECT.DLL
  delref F:\LENOVO_SUITE.EXE
  delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
  delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
  delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
  delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
  delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
  delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
  delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
  delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
  delref %SystemDrive%\PROGRAM FILES\COMMON FILES\ADOBE\ACROBAT\ACTIVEX\ACROPDF.DLL
  apply
  
  restart

• В uVS выберите пункт меню "Скрипт" => "Выполнить скрипт находящийся в буфере обмена..."
• Нажмите на кнопку "Выполнить" и дождитесь окончания работы программы. Прошу учесть, что компьютер может быть перезагружен.

сделайте свежий образ автозапуска.

Изменено 17 октября, 2018 пользователем regist

[chubaha]

Логи прикрепляю

ClearLNK-2018.10.17_12.29.19.log

ZAVHOZ_2018-10-17_12-37-46_v4.1.7z

[regist]

что с проблемой?

[chubaha]

проблема осталась(

[regist]

Соберите трассировки во время воспоизведения проблемы, как указано здесь.

[chubaha]

События выбрал рекомендуемые. На момент включения записи касперский уже нашел вирус.

KAV.18.0.0.405j_10.17_18.18_1820.SRV.log

KAV.18.0.0.405j_10.17_18.18_3800.GUI.log

[regist]

 

 

На момент включения записи касперский уже нашел вирус.

а как следствие в логи он не попал. Удалите эти трассировки и сделайте свежий. Надо чтобы нашёл при включённых трассировках.

И в следующий раз их заархивируйте, а ещё лучше воспользуйтесь кнопкой отправить отчёт и укажите например рабочий стол. Тогда он сам заархивирует их. Информация об операционной системе не нужна.

[chubaha]

нет такой возможности. После каждого лечения и перезагрузки вирус моментально обнаруживается касперским при включении. Даже самого события заражения не видно. Каспер включается уже с текущим заражением в событиях. А уже позже появляется всплывающее окно с найденным вирусом

Изменено 17 октября, 2018 пользователем chubaha

[regist]

А что мешает взять и самому запустить быструю проверку, чтобы он его заново нашёл?

[chubaha]

Сделал как вы сказали, спасибо

KAV.18.0.0.405j_10.18_08.25_3964.GUI.rar

[regist]

@chubaha,  Вы прислали только один файл, хотя их явно должно быть больше. Даже в прошлый раз вы присылали два.

[chubaha]

Сделал

report.zip

Изменено 18 октября, 2018 пользователем chubaha