Перейти к содержанию
Правила раздела

Троянская программа Trojan.Multi.Accesstr.ash System Memory

maivtu

Автор maivtu
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

maivtu

maivtu

Опубликовано
Опубликовано

Добрый день.

Вирус Trojan.Multi.Accesstr.ash не удаляется антивирусом касперского 11.4.0.233

Drweb Cureit тоже его находит , но ничего с ним сделать не может.

Обнаружена    троянская программа Trojan.Multi.Accesstr.ash    System Memory    Высокая    

 

CollectionLog-2021.10.19-11.00.zip

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Здравствуйте!


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите устаревшее и нежелательное ПО:
 

Цитата

 

Adobe Flash Player 27 ActiveX

Adobe Flash Player 27 NPAPI

Adobe Shockwave Player 12.1

Bonjour

 

 

 

"Пофиксите" в HijackThis:
 

Цитата

O7 - Policy Script: HKLM\..\Group Policy\Scripts\Startup\0\0: [Script] = \ba.mrsks.local\sysvol\ba.mrsks.local\Policies\{2D280BF4-D31F-4EFB-A7B0-D522AFFFF78F}\Machine\Scripts\Startup\gridocx_update_32.bat (file missing)
O7 - Policy Script: HKLM\..\Group Policy\Scripts\Startup\1\0: [Script] = \ba.mrsks.local\SysVol\ba.mrsks.local\Policies\{912B65EB-BF23-445C-9747-383BE2107225}\Machine\Scripts\Startup\\bafile02.mrsks.local\sapinstall$\sapinstall.vbs (file missing)
O7 - Policy Script: HKLM\..\Group Policy\Scripts\Startup\1\1: [Script] = \ba.mrsks.local\SysVol\ba.mrsks.local\Policies\{912B65EB-BF23-445C-9747-383BE2107225}\Machine\Scripts\Startup\\bafile02.mrsks.local\sapinstall$\update_sap.cmd (file missing)
O7 - Policy Script: HKLM\..\Group Policy\Scripts\Startup\2\0: [Script] = \ba.mrsks.local\sysvol\ba.mrsks.local\Policies\{5B5BBC09-8B1C-482B-ACF6-65517EE45A70}\Machine\Scripts\Startup\\ba-fs01.ba.mrsks.local\share$\arsenicum\bin\arsenicum.vbs (file missing)
O7 - Policy Script: HKLM\..\Group Policy\Scripts\Startup\3\0: [Script] = \ba.mrsks.local\SysVol\ba.mrsks.local\Policies\{D1C0DD9A-AB64-4CFD-993A-2D0CAAC48971}\Machine\Scripts\Startup\time_sync.bat (file missing)
O7 - TroubleShooting: (EV) HKLM\..\Environment: [PSModulePath] = %SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\;C:\Program Files\Microsoft SQL Server\120\Tools\PowerShell\Modules\
O10 - Unknown file in Winsock LSP: C:\Program Files\Bonjour\mdnsNSP.dll
O22 - Task: Driver Booster SkipUAC (admin) - C:\Program Files\IObit\Driver Booster\4.4.0\DriverBooster.exe /skipuac (file missing)

 

Далее:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

1. 

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Также рекомендую деинсталлировать HaoZip.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код: 
    Start::
SystemRestore: On
CreateRestorePoint:
HKU\S-1-5-21-666413958-3556258203-3764145107-1000\...\MountPoints2: {7f6e4ef6-fbb5-11e5-805b-0021868524bc} - E:\AutoRun.exe
HKU\S-1-5-21-666413958-3556258203-3764145107-1000\...\MountPoints2: {7f6e4f13-fbb5-11e5-805b-0021868524bc} - E:\AutoRun.exe
HKU\S-1-5-21-666413958-3556258203-3764145107-1000\...\MountPoints2: {7f6e4f7a-fbb5-11e5-805b-0021868524bc} - E:\AutoRun.exe
HKU\S-1-5-21-666413958-3556258203-3764145107-1003\...\MountPoints2: {5cf57233-9372-11e8-9969-002264512039} - E:\HiSuiteDownLoader.exe
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\Users\admin.SVES\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\arhiv\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\evseev_vs\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\nagaicev_sv\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\tb_sves\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\tupikin_mi\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{3C4F3BE3-47EB-101B-A3C9-08002B2F49FB}\InprocServer32 -> отсутствует путь к файлу
CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{3C4F3BE5-47EB-101B-A3C9-08002B2F49FB}\InprocServer32 -> отсутствует путь к файлу
CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{3C4F3BE7-47EB-101B-A3C9-08002B2F49FB}\InprocServer32 -> отсутствует путь к файлу
CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3}\InprocServer32 -> отсутствует путь к файлу
CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{7629CFA2-3FE5-101B-A3C9-08002B2F49FB}\InprocServer32 -> отсутствует путь к файлу
CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{7629CFA4-3FE5-101B-A3C9-08002B2F49FB}\InprocServer32 -> отсутствует путь к файлу
CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{F9043C85-F6F2-101A-A3C9-08002B2F49FB}\InprocServer32 -> отсутствует путь к файлу
EmptyTemp:
Reboot:
End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на комментарий
Поделиться на другие сайты
maivtu

maivtu

Опубликовано
  • Автор
Опубликовано
Just now, Sandor said:

Что сейчас с проблемой?

21.10.2021 15:57:51    Обнаружен    троянская программа Trojan.Multi.Accesstr.ash    System Memory    Высокая    
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Ссылка на комментарий
Поделиться на другие сайты
Sandor

Sandor

Опубликовано
Опубликовано

Деинсталлируйте AIMP (если по окончании лечения все будет нормально, установите заново).

Запустите повторно сканирование Malwarebytes и удалите (поместите в карантин) всё найденное.

 

Сделайте ещё раз новый скан и покажите результат.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Taaeq
      [РЕШЕНО] Не могу удалить майнер в system memory
      Автор Taaeq
      Здравствуйте, поймал майнер, который не лечится и не удаляется. Пробовал около 5 антивирусов, вирус находит только касперский видя его как указано в тегах. Скачал MinerSearch там нашло syhAMDRSServ.exe, не придав значения, просто пытался удалить его, но после каждого удаления и сканирования он оставался. Контролировал открытие и закрытие майнера с помощью AIDA и диспетчера. Увидев нагрузку на видеокарту открывал диспетчер пытаясь найти его там, но ничего не нашел. Позже с помощью ProcessExplorer я успел поймать его и увидел там знакомое название, такое же как и нашел MinerSearch. Найдя расположение попытался удалить в ручную, он конечно удалился, но касперский его все равно видит и после закрытия ProcessExplorer он снова появляется в процессах. Уже не знаCollectionLog-2025.04.29-22.44.zipю что делать, помогите пожалуйста.
    • Sapfira
      Программа для снятия скриншотов
      Автор Sapfira
      Нужна программа для создания скриншотов (в связи с тем, что на клавиатуре нет кнопки "Принтскрин"), чтобы скриншоты автоматически сохранялись в определенной папке без открытия редактора и прочих окон. Нажал клавишу или сочетание, скриншот молча (ну или со звуком) сохранился и всё, ничего не вылазит.
      Должна уметь снимать где-угодно, хоть в браузере, хоть в играх, хоть в любой программе. И должна быть лёгкой, чтобы могла работать параллельно с тяжёлой игрой не отнимая много ресурсов.
       
      Спросила у Нейрика, он предложил ScreenshotMaker, по параметрам, вроде, подходит, но она старая (2013 год), нужно что-то свежее.
       
    • DAV
      программа вымогатель
      Автор DAV
      в пятницу лег сервер: зашифрованы все системные файлы и вся база 1С. Также файлы на зеркальном диске, а бэкапы на другом диске почему-то оказались повреждены (копировались каждый вечер).
      в закодированном файле текст в таких иероглифах: "... ৸믻䀹ᑞஞ樱惒孌ڨ쎩델꥛睟괎䦝捰㨿秡﹈贆Ŵ䣍㥶﬍ຌ̒螐꯵ॶㅈ鹧ӷ፮箈ꥦ 樟倣폃웘붾셳炼..."
      один из файлов 1С теперь с таким названием: 1Cv8.lgf.id-DEB1FBBC.[James2020m@aol.com].MUST.id[DEB1FBBC-3259].[restore1_helper@gmx.de].
       
      кто знает, как вернуться к "родной" кодировке, подскажите, пожалуйста.
       
      P.S. "доброжелатели" в сопутствующем info письме указали адреса для контакта: restore1_helper@gmx.de или restore2_helper@mein.gmx.
    • PitBuLL
      Как запустить проверку поиска для обновления программ?
      Автор PitBuLL
      Как запустить проверку поиска для обновления программ в Kaspersky Plus?
      В Kaspersky Plus появилось уведомление - Нашли 1 обновление для вашего приложения. 
      Это приложение Adobe Acrobat. Я его обновил сам, открыв Adobe Acrobat, проверил наличие обновлений, обновил. Версия Adobe Acrobat теперь актуальная 25.001.20623. 
      Но в Kaspersky Plus всё равно, уже больше суток висит сообщение -  Нашли 1 обновление для вашего приложения (что нужно обновить Adobe Acrobat, Версия 25.001.20623, Размер 638 Мб).
      Или как убрать это оповещение?
    • JuffiZ
      Антивирусная программа Kaspersky Endpoint Security
      Автор JuffiZ
      Доброго времени суток. На моем устройстве (ПК) в прошлом времени (около полугода назад) работали в компании Сбермаркет (ныне сбол) оператором и была установлена программа Kaspersky Endpoint Security. Работавший человек уже не работает в вашей компании, а антивирус всё еще работает. Программа сильно мешает. Хотелось бы удалить его, но запрашивает пароль. Куда мне обратиться и что мне с этим делать? 
×
×
  • Создать...