Троянская программа Trojan.Multi.Accesstr.ash System Memory

[maivtu]

Добрый день.

Вирус Trojan.Multi.Accesstr.ash не удаляется антивирусом касперского 11.4.0.233

Drweb Cureit тоже его находит , но ничего с ним сделать не может.

Обнаружена    троянская программа Trojan.Multi.Accesstr.ash    System Memory    Высокая    

 

CollectionLog-2021.10.19-11.00.zip

[Sandor]

Здравствуйте!

Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите устаревшее и нежелательное ПО:
 

Цитата

 

Adobe Flash Player 27 ActiveX

Adobe Flash Player 27 NPAPI

Adobe Shockwave Player 12.1

Bonjour

 

 

 

"Пофиксите" в HijackThis:
 

Цитата

O7 - Policy Script: HKLM\..\Group Policy\Scripts\Startup\0\0: [Script] = \ba.mrsks.local\sysvol\ba.mrsks.local\Policies\{2D280BF4-D31F-4EFB-A7B0-D522AFFFF78F}\Machine\Scripts\Startup\gridocx_update_32.bat (file missing)
O7 - Policy Script: HKLM\..\Group Policy\Scripts\Startup\1\0: [Script] = \ba.mrsks.local\SysVol\ba.mrsks.local\Policies\{912B65EB-BF23-445C-9747-383BE2107225}\Machine\Scripts\Startup\\bafile02.mrsks.local\sapinstall$\sapinstall.vbs (file missing)
O7 - Policy Script: HKLM\..\Group Policy\Scripts\Startup\1\1: [Script] = \ba.mrsks.local\SysVol\ba.mrsks.local\Policies\{912B65EB-BF23-445C-9747-383BE2107225}\Machine\Scripts\Startup\\bafile02.mrsks.local\sapinstall$\update_sap.cmd (file missing)
O7 - Policy Script: HKLM\..\Group Policy\Scripts\Startup\2\0: [Script] = \ba.mrsks.local\sysvol\ba.mrsks.local\Policies\{5B5BBC09-8B1C-482B-ACF6-65517EE45A70}\Machine\Scripts\Startup\\ba-fs01.ba.mrsks.local\share$\arsenicum\bin\arsenicum.vbs (file missing)
O7 - Policy Script: HKLM\..\Group Policy\Scripts\Startup\3\0: [Script] = \ba.mrsks.local\SysVol\ba.mrsks.local\Policies\{D1C0DD9A-AB64-4CFD-993A-2D0CAAC48971}\Machine\Scripts\Startup\time_sync.bat (file missing)
O7 - TroubleShooting: (EV) HKLM\..\Environment: [PSModulePath] = %SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\;C:\Program Files\Microsoft SQL Server\120\Tools\PowerShell\Modules\
O10 - Unknown file in Winsock LSP: C:\Program Files\Bonjour\mdnsNSP.dll
O22 - Task: Driver Booster SkipUAC (admin) - C:\Program Files\IObit\Driver Booster\4.4.0\DriverBooster.exe /skipuac (file missing)

 

Далее:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[maivtu]

Все выше указанные процедуры выполнены

AdwCleaner[S00].txt

[Sandor]

1. 

• Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
• В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
  
  • Сбросить политики IE
  • Сбросить политики Chrome
    
• В меню Информационная панель нажмите Запустить проверку.
• По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
• Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.
• (Обратите внимание - C и S - это разные буквы).

Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[maivtu]

Добрый день.

 

Выкладываю результат проделанной работы.

AdwCleaner[C01].txt Addition.txt FRST.txt

[Sandor]

Также рекомендую деинсталлировать HaoZip.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-666413958-3556258203-3764145107-1000\...\MountPoints2: {7f6e4ef6-fbb5-11e5-805b-0021868524bc} - E:\AutoRun.exe
  HKU\S-1-5-21-666413958-3556258203-3764145107-1000\...\MountPoints2: {7f6e4f13-fbb5-11e5-805b-0021868524bc} - E:\AutoRun.exe
  HKU\S-1-5-21-666413958-3556258203-3764145107-1000\...\MountPoints2: {7f6e4f7a-fbb5-11e5-805b-0021868524bc} - E:\AutoRun.exe
  HKU\S-1-5-21-666413958-3556258203-3764145107-1003\...\MountPoints2: {5cf57233-9372-11e8-9969-002264512039} - E:\HiSuiteDownLoader.exe
  GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
  Policies: C:\Users\admin.SVES\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\arhiv\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\evseev_vs\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\nagaicev_sv\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\tb_sves\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\tupikin_mi\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{3C4F3BE3-47EB-101B-A3C9-08002B2F49FB}\InprocServer32 -> отсутствует путь к файлу
  CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{3C4F3BE5-47EB-101B-A3C9-08002B2F49FB}\InprocServer32 -> отсутствует путь к файлу
  CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{3C4F3BE7-47EB-101B-A3C9-08002B2F49FB}\InprocServer32 -> отсутствует путь к файлу
  CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3}\InprocServer32 -> отсутствует путь к файлу
  CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{7629CFA2-3FE5-101B-A3C9-08002B2F49FB}\InprocServer32 -> отсутствует путь к файлу
  CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{7629CFA4-3FE5-101B-A3C9-08002B2F49FB}\InprocServer32 -> отсутствует путь к файлу
  CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{F9043C85-F6F2-101A-A3C9-08002B2F49FB}\InprocServer32 -> отсутствует путь к файлу
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[maivtu]

Fixlog.txt

[Sandor]

Что сейчас с проблемой?

[maivtu]

Just now, Sandor said:

Что сейчас с проблемой?

21.10.2021 15:57:51    Обнаружен    троянская программа Trojan.Multi.Accesstr.ash    System Memory    Высокая    
 

[Sandor]

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

[maivtu]

scan.txt

[Sandor]

Деинсталлируйте AIMP (если по окончании лечения все будет нормально, установите заново).

Запустите повторно сканирование Malwarebytes и удалите (поместите в карантин) всё найденное.

 

Сделайте ещё раз новый скан и покажите результат.

[maivtu]

22.10.2021 9:45:16    Обнаружен    троянская программа Trojan.Multi.Accesstr.ash    System Memory    Высокая    
 

scan.txt

[Sandor]

Соберите новый CollectionLog Автологером.

[maivtu]

CollectionLog-2021.10.22-14.13.zip