Перейти к содержанию

Не удаляется вирус Trojan.Multi.Accesstr.a.sh


Рекомендуемые сообщения

Опубликовано (изменено)

Здравствуйте! Антивирус находит Trojan.Multi.Accesstr.a.sh, но никак не может его удалить. Вроде сначала удалит, а после перезагрузки опять появляется.

Windows 7. Компьютер в домене, до появления вируса ничего не устанавливалось.

 

CollectionLog-2019.01.04-10.25.zip

Изменено пользователем alexsher91
Опубликовано

Здравствуйте,

 

Удалите DriverPack (DRPNPS) через установку программ в панели управления.

 

HiJackThis (из каталога autologger)профиксить

Важно: необходимо отметить и профиксить только то, что указано ниже.

O22 - Task: DRPNPS - C:\Windows\system32\SCHTASKS.exe /Delete /TN DRPNPS /F
O22 - Task: DRPNPS - C:\Windows\system32\mshta.exe "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.85 Online" "1517201962967" "a7cd453b-cb90-4b01-88ab-7a43655ef01f"
- Подготовьте лог AdwCleaner и приложите его в теме.

 

Уточните пожалуйста, вы случайно не подменяли системные файлы, например подменив файл utilman.exe на cmd.exe для сброса пароля Windows?

Опубликовано

DriverPack в установках программ не было.

HiJackThis профиксил.

Системные файлы именно на этом компьютере не подменял.

Лог AdwCleaner прикрепил.

 

AdwCleanerS00.txt

Опубликовано

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Опубликовано

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.



 

Опубликовано

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
    CreateRestorePoint:
    CloseProcesses:
    File: C:\Users\Alexandr.Sheremetyev\Desktop\AnyDesk.exe
    Virustotal: C:\Users\Alexandr.Sheremetyev\Desktop\AnyDesk.exe
    Startup: C:\Users\Mahabbat.Mekenbaeva\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NCALayer.lnk [2018-09-17]
    ShortcutTarget: NCALayer.lnk -> C:\Users\Alexandr.Sheremetyev\AppData\Roaming\NCALayer\NCALayer.exe (No File)
    File: C:\Windows\System32\DRIVERS\saa713x.sys
    File: C:\ProgramData\UserProfileMigrationService.exe
    File: c:\Windows\system32\utilman.exe
    File: C:\Windows\system32\sethc.exe
    Zip: c:\Windows\system32\utilman.exe;C:\Windows\system32\sethc.exe
    File: C:\windows\microsoft.net\framework\v2.0.50727\vbc.exe
    Reboot:
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

Опубликовано

Согласно логу у Вас подменен файл sethc.exe на cmd.exe, что может предоставлять угрозу взлома ПК.
 

C:\Windows\system32\sethc.exe
File is digitally signed
MD5: 5746BD7E255DD6A8AFA06F7C42C1BA41
Creation and modification date: 2018-01-29 10:14 - 2010-11-20 05:24
Size: 000345088
Attributes: ----A
Company Name: Microsoft Corporation
Internal Name: cmd
Original Name: Cmd.Exe
Product: Microsoft® Windows® Operating System
Description: Windows Command Processor
File Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850)
Product Version: 6.1.7601.17514
Copyright: © Microsoft Corporation. All rights reserved.

Вам необходимо вернуть обратно оригинальный файл sethc.exe

Опубликовано

Скрипт в конце выдал, что обнаружены повреждённые файлы, но не смог их восстановить.

Лог приложил.

CBS.log

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Vyacheslav_G
      Автор Vyacheslav_G
      CollectionLog-2024.12.25-10.09.zip Точно сказать когда вирус появился не могу,называется chromium:page.malware.url. Проводил сканирование через Dr web,вроде бы вылечил,но при повторном сканировании dr web опять нашел его,и так еще несколько раз. По итогу мне надоело и я переустановил винду,  решил повторно проверить через dr web,он опять нашел его,я опять переустановил винду.Первые несколько программ которые я установил были google,dr web,telegram и steam. Опять делаю проверку на вирусы, и он опять находит его. Как его удалить?
    • DKOFFICIAL
      Автор DKOFFICIAL
      Здравствуйте, помогите пожалуйста, переустанавливал windows несколько раз, пробовал жесткий диск менять, не помогает ничего, поймал какой то вирус, когда поймал не было никаких антивирусов скачанных, и пошло поехала, начали запускаться программы и потом вовсе рабочий стол пропал и черный экран был, перезагрузил ноутбук стало все нормально резко, и с тех пор греется ноутбук, цп нагружается щас на все 100 бывает после того как проверяет антивирус на вирусы и то ничего не находит и то редко поднимается до 100, в большинстве случаев до 60-70 грузиться, а в обычном режиме ноута, грузиться память на 50%, и гудит вентилятор и греется ноутбук, хотя до этого всего не было такого от слова совсем, антивирусы не находят, пробовал через dr web и kaspersky, в основном с kaspersky, так как куплена подписка, бывает даже иногда мышка сама по себе ходит, 1 раз когда перезагрузил ноутбук, создался учетная запись и пароль стоял на ноутбуке, пришлось менять винду,не знаю уже что делать. Браузер когда запускаю, в диспетчере задач показывает что браузер открыт аж целых 20-30раз одновременно.Стало более менее когда поставил винду урезанную пиратскую, где больше приложений от windows урезана и удаленный доступ отключен, ноутбук не старый, i5-12450h процессор, 16гб оперативки.
    • Palenko
      Автор Palenko
      после установки некоторых пиратских по - возникла проблема с обнаружением неких шпионских по - которые не могут быть удалены! они постоянно меняются в названии но чаще всего я обнаруживаю именно название HOST:SUSPICIOUS.URL 

      CollectionLog-2024.01.30-00.44.zip
    • wwz
      Автор wwz
      Здравствуйте, решил проверить пк на вирусы, так как в последнее время он не стабильно работает . Искал через dr.web curelt и нашел данный вирус (chrome.exe NET:MALWARE.URL) который при попытке его вылечить выдает ошибку и не удаляется . Помогите, пожалуйста решить проблему. Логи - https://dropmefiles.com/qfYaJ
    • Adozel
      Автор Adozel
      Около недели начала замечать, как лагает пк. Иногда сразу после загрузки, иногда спустя время. Чаще на некоторых программах (Хром, пакеты Адоб, даже если только-только запустила) при этом раннее такого не было. Может нагружать и цп и память и диск. Доходит до того, что при запуске видео на сайте или в плеере самого виндовс появляются жёсткие помехи. Dr.Web CureIt постоянно находит файл CHROMIUM:PAGE.MALWARE.URL, который не удаляется, не лечится. Ничего не выходит.
      CollectionLog-2025.01.16-00.33.zip
×
×
  • Создать...