Троян в System Memory

[AdminStolbzy 0]

Доброго времени суток.

На ноутбуке установлен KES 10, в SYSTEM MEMORY он нашел Trojan.Multi.Accesstr.ash. Предлагает лечить с перезагрузкой. Лечит, но после перезагрузки тоже самое. И что за файл не показывает - на вкладке файл просто system memory размер 0 байт. Логи прилагаются

CollectionLog-2019.10.25-14.27.zip

[SQ 724]

Здравствуйте,
 

- Скачайте Farbar Recovery Scan Tool  и сохраните на Рабочем столе.

 

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

• Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".

Нажмите кнопку Scan.

После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.

Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[AdminStolbzy 0]

Вот нужные файлы

Addition.txt

FRST.txt

[SQ 724]

• Закройте и сохраните все открытые приложения.
  

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
  

Start::

CreateRestorePoint:

CloseProcesses:

FF Plugin: @microsoft.com/GENUINE -> disabled [No File]

FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [No File]

FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [No File]

FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [No File]

FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [No File]

FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]

File: C:\Windows\SysWOW64\Mswtif.dll

File: C:\Windows\System32\sethc.exe

End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. 
  

• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  

• Обратите внимание, что компьютер возможно будет перезагружен.
  

[AdminStolbzy 0]

Fixlog

Fixlog.txt

[SQ 724]

1) Проблема в том, что у Вас поменен файл C:\Windows\System32\sethc.exe следующим C:\Windows\System32\cmd.exe

 

C:\Windows\System32\sethc.exe
Catalog: C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.cat
File is digitally signed
MD5: 5746BD7E255DD6A8AFA06F7C42C1BA41
Creation and modification date: 2010-11-21 06:24 - 2010-11-21 06:23
Size: 000345088
Attributes: ----A
Company Name: Microsoft Windows -> Microsoft Corporation
Internal Name: cmd
Original Name: Cmd.Exe
Product: Microsoft® Windows® Operating System
Description: Windows Command Processor
File Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850)
Product Version: 6.1.7601.17514
Copyright: © Microsoft Corporation. All rights reserved.
VirusTotal: 0

Вам необходимо восстановить оригинальный файл C:\Windows\System32\sethc.exe из вашего установочного диска.

 

2) Отправьте пожалуйста подозрительный файл на проверку, используя следующую инструкцию:

 

• Закройте и сохраните все открытые приложения.

• Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Start::
CreateRestorePoint:
Zip: C:\Windows\SysWOW64\Mswtif.dll
End::

• Запустите FRST и нажмите один раз на кнопку Fix и подождите. 

• Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

• Обратите внимание, что компьютер будет перезагружен.

 

 

На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму

 

3) Обратите внимание на то, что в событиях системы логируются апаратные проблемы с процессором:
 

Error: (10/25/2019 02:49:22 PM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 18) (User: NT AUTHORITY)
Description: Произошла неустранимая аппаратная ошибка.

Сообщивший компонент: ядро процессора
Источник ошибки: 3
Тип ошибки: 9
ИД процесса: 0

[AdminStolbzy 0]

Спасибо за помощь. Я уже пробовал перекидывать с другого компа этот файл. Буду искать оригинальный.

[SQ 724]

получается так, что злоумышлинники используют это для взлома ПК. Вы можете сами  в этом убедиться, на момент ввода пароля в систему введите 3-5 раз на клавишу shift и откроется командная строка вместо сообщения о зацикливание клавиши shift.

пожалуйста обратите внимание на пункты 2 и 3.

[AdminStolbzy 0]

Архив с подозрительным файлом загрузил. sethc.exe скачивал и из интернета, и с другого компа, но все равно в fixlog оказывалось, что это файл cmd.exe.

[SQ 724]

возможно этот файл был изначально подменен, из-за того, что у вас не лицензионаая версия ОC, не возможно выполнить проверку целостности системных файлов, из-за того, что ОС может по окончанию не загрузиться.
 

Как возможный вариант найдите лицензионную (легитимную) версию ОС и извлеките необходимый файл с него.

[AdminStolbzy 0]

Удалил подозрительный файл Mswtif.dll, затем вытащил из образа  (проверял на машине, где установлена система с этого образа - командная строка не запускается) sethc.exe, закинул в system 32 - антивирус опять находил трояна в system memory, затем удалил sethc.exe, перезагрузил и все равно командную строку можно запустить.

[SQ 724]

Удалил подозрительный файл Mswtif.dll, затем вытащил из образа  (проверял на машине, где установлена система с этого образа - командная строка не запускается) sethc.exe, закинул в system 32 - антивирус опять находил трояна в system memory, затем удалил sethc.exe, перезагрузил и все равно командную строку можно запустить.

Подозрительный файл не нужно было удалять, так как он может быь легитимным

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[AdminStolbzy 0]

Копия подозрительного файла у меня осталась, если что - восстановлю. Вот образ автозапуска

TECHNOLOG_2019-10-28_08-30-08_v4.1.8.7z

[SQ 724]

Копия подозрительного файла у меня осталась, если что - восстановлю. Вот образ автозапуска

Подозрительный файл не предоставляет угрозы.

 

Файл C:\Windows\System32\sethc.exe до сих пор имеет оригинальное имя cmd.exe

[AdminStolbzy 0]

 

Копия подозрительного файла у меня осталась, если что - восстановлю. Вот образ автозапуска

Подозрительный файл не предоставляет угрозы.

 

Файл C:\Windows\System32\sethc.exe до сих пор имеет оригинальное имя cmd.exe

 

Спасибо. Файл нашел через найти в меню пуск (через total не находило), удалил его и теперь касперский уже  ни на что не ругается.