AdminStolbzy Опубликовано 25 октября, 2019 Опубликовано 25 октября, 2019 Доброго времени суток. На ноутбуке установлен KES 10, в SYSTEM MEMORY он нашел Trojan.Multi.Accesstr.ash. Предлагает лечить с перезагрузкой. Лечит, но после перезагрузки тоже самое. И что за файл не показывает - на вкладке файл просто system memory размер 0 байт. Логи прилагаются CollectionLog-2019.10.25-14.27.zip
SQ Опубликовано 25 октября, 2019 Опубликовано 25 октября, 2019 Здравствуйте, - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
AdminStolbzy Опубликовано 25 октября, 2019 Автор Опубликовано 25 октября, 2019 Вот нужные файлы Addition.txt FRST.txt
SQ Опубликовано 25 октября, 2019 Опубликовано 25 октября, 2019 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Start:: CreateRestorePoint: CloseProcesses: FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [No File] FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [No File] FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [No File] FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] File: C:\Windows\SysWOW64\Mswtif.dll File: C:\Windows\System32\sethc.exe End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер возможно будет перезагружен.
SQ Опубликовано 25 октября, 2019 Опубликовано 25 октября, 2019 1) Проблема в том, что у Вас поменен файл C:\Windows\System32\sethc.exe следующим C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe Catalog: C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.cat File is digitally signed MD5: 5746BD7E255DD6A8AFA06F7C42C1BA41 Creation and modification date: 2010-11-21 06:24 - 2010-11-21 06:23 Size: 000345088 Attributes: ----A Company Name: Microsoft Windows -> Microsoft Corporation Internal Name: cmd Original Name: Cmd.Exe Product: Microsoft® Windows® Operating System Description: Windows Command Processor File Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) Product Version: 6.1.7601.17514 Copyright: © Microsoft Corporation. All rights reserved. VirusTotal: 0 Вам необходимо восстановить оригинальный файл C:\Windows\System32\sethc.exe из вашего установочного диска. 2) Отправьте пожалуйста подозрительный файл на проверку, используя следующую инструкцию: Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Start:: CreateRestorePoint: Zip: C:\Windows\SysWOW64\Mswtif.dll End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму 3) Обратите внимание на то, что в событиях системы логируются апаратные проблемы с процессором: Error: (10/25/2019 02:49:22 PM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 18) (User: NT AUTHORITY) Description: Произошла неустранимая аппаратная ошибка. Сообщивший компонент: ядро процессора Источник ошибки: 3 Тип ошибки: 9 ИД процесса: 0
AdminStolbzy Опубликовано 25 октября, 2019 Автор Опубликовано 25 октября, 2019 Спасибо за помощь. Я уже пробовал перекидывать с другого компа этот файл. Буду искать оригинальный.
SQ Опубликовано 25 октября, 2019 Опубликовано 25 октября, 2019 получается так, что злоумышлинники используют это для взлома ПК. Вы можете сами в этом убедиться, на момент ввода пароля в систему введите 3-5 раз на клавишу shift и откроется командная строка вместо сообщения о зацикливание клавиши shift.пожалуйста обратите внимание на пункты 2 и 3.
AdminStolbzy Опубликовано 25 октября, 2019 Автор Опубликовано 25 октября, 2019 Архив с подозрительным файлом загрузил. sethc.exe скачивал и из интернета, и с другого компа, но все равно в fixlog оказывалось, что это файл cmd.exe.
SQ Опубликовано 25 октября, 2019 Опубликовано 25 октября, 2019 возможно этот файл был изначально подменен, из-за того, что у вас не лицензионаая версия ОC, не возможно выполнить проверку целостности системных файлов, из-за того, что ОС может по окончанию не загрузиться. Как возможный вариант найдите лицензионную (легитимную) версию ОС и извлеките необходимый файл с него.
AdminStolbzy Опубликовано 25 октября, 2019 Автор Опубликовано 25 октября, 2019 Удалил подозрительный файл Mswtif.dll, затем вытащил из образа (проверял на машине, где установлена система с этого образа - командная строка не запускается) sethc.exe, закинул в system 32 - антивирус опять находил трояна в system memory, затем удалил sethc.exe, перезагрузил и все равно командную строку можно запустить.
SQ Опубликовано 25 октября, 2019 Опубликовано 25 октября, 2019 Удалил подозрительный файл Mswtif.dll, затем вытащил из образа (проверял на машине, где установлена система с этого образа - командная строка не запускается) sethc.exe, закинул в system 32 - антивирус опять находил трояна в system memory, затем удалил sethc.exe, перезагрузил и все равно командную строку можно запустить. Подозрительный файл не нужно было удалять, так как он может быь легитимным Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.
AdminStolbzy Опубликовано 28 октября, 2019 Автор Опубликовано 28 октября, 2019 Копия подозрительного файла у меня осталась, если что - восстановлю. Вот образ автозапуска TECHNOLOG_2019-10-28_08-30-08_v4.1.8.7z
SQ Опубликовано 28 октября, 2019 Опубликовано 28 октября, 2019 Копия подозрительного файла у меня осталась, если что - восстановлю. Вот образ автозапуска Подозрительный файл не предоставляет угрозы. Файл C:\Windows\System32\sethc.exe до сих пор имеет оригинальное имя cmd.exe
AdminStolbzy Опубликовано 29 октября, 2019 Автор Опубликовано 29 октября, 2019 Копия подозрительного файла у меня осталась, если что - восстановлю. Вот образ автозапуска Подозрительный файл не предоставляет угрозы. Файл C:\Windows\System32\sethc.exe до сих пор имеет оригинальное имя cmd.exe Спасибо. Файл нашел через найти в меню пуск (через total не находило), удалил его и теперь касперский уже ни на что не ругается.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти