Перейти к содержанию

Не удаляется вирус Trojan.Multi.Accesstr.a.sh


Рекомендуемые сообщения

Здравствуйте! Антивирус находит Trojan.Multi.Accesstr.a.sh, но никак не может его удалить. Вроде сначала удалит, а после перезагрузки опять появляется.

Windows 7. Компьютер в домене, до появления вируса ничего не устанавливалось.

 

CollectionLog-2019.01.04-10.25.zip

Изменено пользователем alexsher91
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

 

Удалите DriverPack (DRPNPS) через установку программ в панели управления.

 

HiJackThis (из каталога autologger)профиксить

Важно: необходимо отметить и профиксить только то, что указано ниже.

O22 - Task: DRPNPS - C:\Windows\system32\SCHTASKS.exe /Delete /TN DRPNPS /F
O22 - Task: DRPNPS - C:\Windows\system32\mshta.exe "http://update.drp.su/nps/online/bin/tools/run.hta" "17.7.85 Online" "1517201962967" "a7cd453b-cb90-4b01-88ab-7a43655ef01f"
- Подготовьте лог AdwCleaner и приложите его в теме.

 

Уточните пожалуйста, вы случайно не подменяли системные файлы, например подменив файл utilman.exe на cmd.exe для сброса пароля Windows?

Ссылка на сообщение
Поделиться на другие сайты

DriverPack в установках программ не было.

HiJackThis профиксил.

Системные файлы именно на этом компьютере не подменял.

Лог AdwCleaner прикрепил.

 

AdwCleanerS00.txt

Ссылка на сообщение
Поделиться на другие сайты

 

Удалите в AdwCleaner всё, кроме папок с названиями программ которыми вы пользуетесь (если ничем из перечисленного в логе не пользуетесь, то удалите всё). Отчет после удаления прикрепите.

Ссылка на сообщение
Поделиться на другие сайты

- Скачайте Farbar Recovery Scan Tool  NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  • Убедитесь, что в окне Optional Scan отмечены "List BCD" и "Driver MD5".
    B92LqRQ.png
  • Нажмите кнопку Scan.
  • После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  • Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.



 

Ссылка на сообщение
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

    Start::
    CreateRestorePoint:
    CloseProcesses:
    File: C:\Users\Alexandr.Sheremetyev\Desktop\AnyDesk.exe
    Virustotal: C:\Users\Alexandr.Sheremetyev\Desktop\AnyDesk.exe
    Startup: C:\Users\Mahabbat.Mekenbaeva\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\NCALayer.lnk [2018-09-17]
    ShortcutTarget: NCALayer.lnk -> C:\Users\Alexandr.Sheremetyev\AppData\Roaming\NCALayer\NCALayer.exe (No File)
    File: C:\Windows\System32\DRIVERS\saa713x.sys
    File: C:\ProgramData\UserProfileMigrationService.exe
    File: c:\Windows\system32\utilman.exe
    File: C:\Windows\system32\sethc.exe
    Zip: c:\Windows\system32\utilman.exe;C:\Windows\system32\sethc.exe
    File: C:\windows\microsoft.net\framework\v2.0.50727\vbc.exe
    Reboot:
    End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите.
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

Ссылка на сообщение
Поделиться на другие сайты

Согласно логу у Вас подменен файл sethc.exe на cmd.exe, что может предоставлять угрозу взлома ПК.
 

C:\Windows\system32\sethc.exe
File is digitally signed
MD5: 5746BD7E255DD6A8AFA06F7C42C1BA41
Creation and modification date: 2018-01-29 10:14 - 2010-11-20 05:24
Size: 000345088
Attributes: ----A
Company Name: Microsoft Corporation
Internal Name: cmd
Original Name: Cmd.Exe
Product: Microsoft® Windows® Operating System
Description: Windows Command Processor
File Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850)
Product Version: 6.1.7601.17514
Copyright: © Microsoft Corporation. All rights reserved.

Вам необходимо вернуть обратно оригинальный файл sethc.exe

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...