AdminStolbzy 0 Опубликовано 25 октября, 2019 Share Опубликовано 25 октября, 2019 Доброго времени суток. На ноутбуке установлен KES 10, в SYSTEM MEMORY он нашел Trojan.Multi.Accesstr.ash. Предлагает лечить с перезагрузкой. Лечит, но после перезагрузки тоже самое. И что за файл не показывает - на вкладке файл просто system memory размер 0 байт. Логи прилагаются CollectionLog-2019.10.25-14.27.zip Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 25 октября, 2019 Share Опубликовано 25 октября, 2019 Здравствуйте, - Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt". Нажмите кнопку Scan. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении. Цитата Ссылка на сообщение Поделиться на другие сайты
AdminStolbzy 0 Опубликовано 25 октября, 2019 Автор Share Опубликовано 25 октября, 2019 Вот нужные файлы Addition.txt FRST.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 25 октября, 2019 Share Опубликовано 25 октября, 2019 Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Start:: CreateRestorePoint: CloseProcesses: FF Plugin: @microsoft.com/GENUINE -> disabled [No File] FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [No File] FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [No File] FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [No File] FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [No File] FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File] File: C:\Windows\SysWOW64\Mswtif.dll File: C:\Windows\System32\sethc.exe End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер возможно будет перезагружен. Цитата Ссылка на сообщение Поделиться на другие сайты
AdminStolbzy 0 Опубликовано 25 октября, 2019 Автор Share Опубликовано 25 октября, 2019 Fixlog Fixlog.txt Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 25 октября, 2019 Share Опубликовано 25 октября, 2019 1) Проблема в том, что у Вас поменен файл C:\Windows\System32\sethc.exe следующим C:\Windows\System32\cmd.exe C:\Windows\System32\sethc.exe Catalog: C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.cat File is digitally signed MD5: 5746BD7E255DD6A8AFA06F7C42C1BA41 Creation and modification date: 2010-11-21 06:24 - 2010-11-21 06:23 Size: 000345088 Attributes: ----A Company Name: Microsoft Windows -> Microsoft Corporation Internal Name: cmd Original Name: Cmd.Exe Product: Microsoft® Windows® Operating System Description: Windows Command Processor File Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850) Product Version: 6.1.7601.17514 Copyright: © Microsoft Corporation. All rights reserved. VirusTotal: 0 Вам необходимо восстановить оригинальный файл C:\Windows\System32\sethc.exe из вашего установочного диска. 2) Отправьте пожалуйста подозрительный файл на проверку, используя следующую инструкцию: Закройте и сохраните все открытые приложения. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool: Start:: CreateRestorePoint: Zip: C:\Windows\SysWOW64\Mswtif.dll End:: Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении! Обратите внимание, что компьютер будет перезагружен. На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму 3) Обратите внимание на то, что в событиях системы логируются апаратные проблемы с процессором: Error: (10/25/2019 02:49:22 PM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 18) (User: NT AUTHORITY) Description: Произошла неустранимая аппаратная ошибка. Сообщивший компонент: ядро процессора Источник ошибки: 3 Тип ошибки: 9 ИД процесса: 0 Цитата Ссылка на сообщение Поделиться на другие сайты
AdminStolbzy 0 Опубликовано 25 октября, 2019 Автор Share Опубликовано 25 октября, 2019 Спасибо за помощь. Я уже пробовал перекидывать с другого компа этот файл. Буду искать оригинальный. Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 25 октября, 2019 Share Опубликовано 25 октября, 2019 получается так, что злоумышлинники используют это для взлома ПК. Вы можете сами в этом убедиться, на момент ввода пароля в систему введите 3-5 раз на клавишу shift и откроется командная строка вместо сообщения о зацикливание клавиши shift.пожалуйста обратите внимание на пункты 2 и 3. Цитата Ссылка на сообщение Поделиться на другие сайты
AdminStolbzy 0 Опубликовано 25 октября, 2019 Автор Share Опубликовано 25 октября, 2019 Архив с подозрительным файлом загрузил. sethc.exe скачивал и из интернета, и с другого компа, но все равно в fixlog оказывалось, что это файл cmd.exe. Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 25 октября, 2019 Share Опубликовано 25 октября, 2019 возможно этот файл был изначально подменен, из-за того, что у вас не лицензионаая версия ОC, не возможно выполнить проверку целостности системных файлов, из-за того, что ОС может по окончанию не загрузиться. Как возможный вариант найдите лицензионную (легитимную) версию ОС и извлеките необходимый файл с него. Цитата Ссылка на сообщение Поделиться на другие сайты
AdminStolbzy 0 Опубликовано 25 октября, 2019 Автор Share Опубликовано 25 октября, 2019 Удалил подозрительный файл Mswtif.dll, затем вытащил из образа (проверял на машине, где установлена система с этого образа - командная строка не запускается) sethc.exe, закинул в system 32 - антивирус опять находил трояна в system memory, затем удалил sethc.exe, перезагрузил и все равно командную строку можно запустить. Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 25 октября, 2019 Share Опубликовано 25 октября, 2019 Удалил подозрительный файл Mswtif.dll, затем вытащил из образа (проверял на машине, где установлена система с этого образа - командная строка не запускается) sethc.exe, закинул в system 32 - антивирус опять находил трояна в system memory, затем удалил sethc.exe, перезагрузил и все равно командную строку можно запустить. Подозрительный файл не нужно было удалять, так как он может быь легитимным Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS. Цитата Ссылка на сообщение Поделиться на другие сайты
AdminStolbzy 0 Опубликовано 28 октября, 2019 Автор Share Опубликовано 28 октября, 2019 Копия подозрительного файла у меня осталась, если что - восстановлю. Вот образ автозапуска TECHNOLOG_2019-10-28_08-30-08_v4.1.8.7z Цитата Ссылка на сообщение Поделиться на другие сайты
SQ 831 Опубликовано 28 октября, 2019 Share Опубликовано 28 октября, 2019 Копия подозрительного файла у меня осталась, если что - восстановлю. Вот образ автозапуска Подозрительный файл не предоставляет угрозы. Файл C:\Windows\System32\sethc.exe до сих пор имеет оригинальное имя cmd.exe Цитата Ссылка на сообщение Поделиться на другие сайты
AdminStolbzy 0 Опубликовано 29 октября, 2019 Автор Share Опубликовано 29 октября, 2019 Копия подозрительного файла у меня осталась, если что - восстановлю. Вот образ автозапуска Подозрительный файл не предоставляет угрозы. Файл C:\Windows\System32\sethc.exe до сих пор имеет оригинальное имя cmd.exe Спасибо. Файл нашел через найти в меню пуск (через total не находило), удалил его и теперь касперский уже ни на что не ругается. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.