Не удаляется вирус Trojan.Multi.Accesstr.a.sh

[alexsher91]

Здравствуйте! Антивирус находит Trojan.Multi.Accesstr.a.sh, но никак не может его удалить. Вроде сначала удалит, а после перезагрузки опять появляется.

Windows 7. Компьютер в домене, до появления вируса ничего не устанавливалось.

 

CollectionLog-2019.01.04-10.25.zip

Изменено 4 января, 2019 пользователем alexsher91

[SQ]

Порядок оформления запроса о помощи.

[alexsher91]

Логи загрузил.

[SQ]

Здравствуйте,

 

Удалите DriverPack (DRPNPS) через установку программ в панели управления.

 

HiJackThis (из каталога autologger)профиксить

Важно: необходимо отметить и профиксить только то, что указано ниже.

O22 - Task: DRPNPS - C:\Windows\system32\SCHTASKS.exe /Delete /TN DRPNPS /F
O22 - Task: DRPNPS - C:\Windows\system32\mshta.exe "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.85 Online" "1517201962967" "a7cd453b-cb90-4b01-88ab-7a43655ef01f"

- Подготовьте лог AdwCleaner и приложите его в теме.

 

Уточните пожалуйста, вы случайно не подменяли системные файлы, например подменив файл utilman.exe на cmd.exe для сброса пароля Windows?

[alexsher91]

DriverPack в установках программ не было.

HiJackThis профиксил.

Системные файлы именно на этом компьютере не подменял.

Лог AdwCleaner прикрепил.

 

AdwCleanerS00.txt

[SQ]

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

[alexsher91]

Отчёт приложил. Удалил всё.

AdwCleanerC00.txt

[SQ]

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
• Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
  
• Нажмите кнопку Scan.
• После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
• Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
  

 

[alexsher91]

Приложил два отчёта.

Addition.txt

FRST.txt

[SQ]

• Закройте и сохраните все открытые приложения.
• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

  Start::
  CreateRestorePoint:
  CloseProcesses:
  File: C:\Users\Alexandr.Sheremetyev\Desktop\AnyDesk.exe
  Virustotal: C:\Users\Alexandr.Sheremetyev\Desktop\AnyDesk.exe
  Startup: C:\Users\Mahabbat.Mekenbaeva\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NCALayer.lnk [2018-09-17]
  ShortcutTarget: NCALayer.lnk -> C:\Users\Alexandr.Sheremetyev\AppData\Roaming\NCALayer\NCALayer.exe (No File)
  File: C:\Windows\System32\DRIVERS\saa713x.sys
  File: C:\ProgramData\UserProfileMigrationService.exe
  File: c:\Windows\system32\utilman.exe
  File: C:\Windows\system32\sethc.exe
  Zip: c:\Windows\system32\utilman.exe;C:\Windows\system32\sethc.exe
  File: C:\windows\microsoft.net\framework\v2.0.50727\vbc.exe
  Reboot:
  End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите.
• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
• Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

[alexsher91]

Лог прикрепил. Архив загрузил через форму.

Fixlog.txt

[SQ]

Согласно логу у Вас подменен файл sethc.exe на cmd.exe, что может предоставлять угрозу взлома ПК.
 

C:\Windows\system32\sethc.exe
File is digitally signed
MD5: 5746BD7E255DD6A8AFA06F7C42C1BA41
Creation and modification date: 2018-01-29 10:14 - 2010-11-20 05:24
Size: 000345088
Attributes: ----A
Company Name: Microsoft Corporation
Internal Name: cmd
Original Name: Cmd.Exe
Product: Microsoft® Windows® Operating System
Description: Windows Command Processor
File Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850)
Product Version: 6.1.7601.17514
Copyright: © Microsoft Corporation. All rights reserved.

Вам необходимо вернуть обратно оригинальный файл sethc.exe

[alexsher91]

Его просто скачать нужно?

[regist]

Попробуйте восстановить с помощью этого скрипта. Лог работы потом прикрепите.

[alexsher91]

Скрипт в конце выдал, что обнаружены повреждённые файлы, но не смог их восстановить.

Лог приложил.

CBS.log