Перейти к содержанию

Троян в System Memory


Рекомендуемые сообщения

Доброго времени суток.

На ноутбуке установлен KES 10, в SYSTEM MEMORY он нашел Trojan.Multi.Accesstr.ash. Предлагает лечить с перезагрузкой. Лечит, но после перезагрузки тоже самое. И что за файл не показывает - на вкладке файл просто system memory размер 0 байт. Логи прилагаются

CollectionLog-2019.10.25-14.27.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,
 

- Скачайте Farbar Recovery Scan Tool  FRST_Icon.png и сохраните на Рабочем столе.
 
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
  • Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Убедитесь, что в окне Optional Scan отмечены "List BCD" и "SigCheckExt".
FRST.png
Нажмите кнопку Scan.
После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Ссылка на сообщение
Поделиться на другие сайты

  • Закройте и сохраните все открытые приложения.


  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:



Start::
CreateRestorePoint:
CloseProcesses:
FF Plugin: @microsoft.com/GENUINE -> disabled [No File]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf -> C:\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [No File]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.fdf -> C:\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [No File]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xdp -> C:\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [No File]
FF Plugin-x32: @foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/vnd.xfdf -> C:\FOXIT SOFTWARE\FOXIT READER\plugins\npFoxitReaderPlugin.dll [No File]
FF Plugin-x32: @microsoft.com/GENUINE -> disabled [No File]
File: C:\Windows\SysWOW64\Mswtif.dll
File: C:\Windows\System32\sethc.exe
End::



  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. 


  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


  • Обратите внимание, что компьютер возможно будет перезагружен.
Ссылка на сообщение
Поделиться на другие сайты

1) Проблема в том, что у Вас поменен файл C:\Windows\System32\sethc.exe следующим C:\Windows\System32\cmd.exe

 
C:\Windows\System32\sethc.exe
Catalog: C:\Windows\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}\Microsoft-Windows-Foundation-Package~31bf3856ad364e35~amd64~~6.1.7601.17514.cat
File is digitally signed
MD5: 5746BD7E255DD6A8AFA06F7C42C1BA41
Creation and modification date: 2010-11-21 06:24 - 2010-11-21 06:23
Size: 000345088
Attributes: ----A
Company Name: Microsoft Windows -> Microsoft Corporation
Internal Name: cmd
Original Name: Cmd.Exe
Product: Microsoft® Windows® Operating System
Description: Windows Command Processor
File Version: 6.1.7601.17514 (win7sp1_rtm.101119-1850)
Product Version: 6.1.7601.17514
Copyright: © Microsoft Corporation. All rights reserved.
VirusTotal: 0

Вам необходимо восстановить оригинальный файл C:\Windows\System32\sethc.exe из вашего установочного диска.

 

2) Отправьте пожалуйста подозрительный файл на проверку, используя следующую инструкцию:

 

  • Закройте и сохраните все открытые приложения.
  • Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt с поддержкой Unicode в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Start::
CreateRestorePoint:
Zip: C:\Windows\SysWOW64\Mswtif.dll
End::
  • Запустите FRST и нажмите один раз на кнопку Fix и подождите. 
  • Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!
  • Обратите внимание, что компьютер будет перезагружен.
 
 
На рабочем столе образуется карантин вида <date>.zip загрузите этот архив через данную форму
 

3) Обратите внимание на то, что в событиях системы логируются апаратные проблемы с процессором:
 

Error: (10/25/2019 02:49:22 PM) (Source: Microsoft-Windows-WHEA-Logger) (EventID: 18) (User: NT AUTHORITY)
Description: Произошла неустранимая аппаратная ошибка.

Сообщивший компонент: ядро процессора
Источник ошибки: 3
Тип ошибки: 9
ИД процесса: 0
Ссылка на сообщение
Поделиться на другие сайты

получается так, что злоумышлинники используют это для взлома ПК. Вы можете сами  в этом убедиться, на момент ввода пароля в систему введите 3-5 раз на клавишу shift и откроется командная строка вместо сообщения о зацикливание клавиши shift.

пожалуйста обратите внимание на пункты 2 и 3.

Ссылка на сообщение
Поделиться на другие сайты

Архив с подозрительным файлом загрузил. sethc.exe скачивал и из интернета, и с другого компа, но все равно в fixlog оказывалось, что это файл cmd.exe.

Ссылка на сообщение
Поделиться на другие сайты

возможно этот файл был изначально подменен, из-за того, что у вас не лицензионаая версия ОC, не возможно выполнить проверку целостности системных файлов, из-за того, что ОС может по окончанию не загрузиться.
 

Как возможный вариант найдите лицензионную (легитимную) версию ОС и извлеките необходимый файл с него.

Ссылка на сообщение
Поделиться на другие сайты

Удалил подозрительный файл Mswtif.dll, затем вытащил из образа  (проверял на машине, где установлена система с этого образа - командная строка не запускается) sethc.exe, закинул в system 32 - антивирус опять находил трояна в system memory, затем удалил sethc.exe, перезагрузил и все равно командную строку можно запустить.

Ссылка на сообщение
Поделиться на другие сайты

Удалил подозрительный файл Mswtif.dll, затем вытащил из образа  (проверял на машине, где установлена система с этого образа - командная строка не запускается) sethc.exe, закинул в system 32 - антивирус опять находил трояна в system memory, затем удалил sethc.exe, перезагрузил и все равно командную строку можно запустить.

Подозрительный файл не нужно было удалять, так как он может быь легитимным

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Ссылка на сообщение
Поделиться на другие сайты

Копия подозрительного файла у меня осталась, если что - восстановлю. Вот образ автозапуска

TECHNOLOG_2019-10-28_08-30-08_v4.1.8.7z

Ссылка на сообщение
Поделиться на другие сайты

Копия подозрительного файла у меня осталась, если что - восстановлю. Вот образ автозапуска

Подозрительный файл не предоставляет угрозы.

 

Файл C:\Windows\System32\sethc.exe до сих пор имеет оригинальное имя cmd.exe

Ссылка на сообщение
Поделиться на другие сайты

 

Копия подозрительного файла у меня осталась, если что - восстановлю. Вот образ автозапуска

Подозрительный файл не предоставляет угрозы.

 

Файл C:\Windows\System32\sethc.exe до сих пор имеет оригинальное имя cmd.exe

 

Спасибо. Файл нашел через найти в меню пуск (через total не находило), удалил его и теперь касперский уже  ни на что не ругается.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...