Перейти к содержанию

Троянская программа Trojan.Multi.Accesstr.ash System Memory


Рекомендуемые сообщения

Добрый день.

Вирус Trojan.Multi.Accesstr.ash не удаляется антивирусом касперского 11.4.0.233

Drweb Cureit тоже его находит , но ничего с ним сделать не может.

Обнаружена    троянская программа Trojan.Multi.Accesstr.ash    System Memory    Высокая    

 

CollectionLog-2021.10.19-11.00.zip

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!


Через Панель управления (Параметры) - Удаление программ (Приложения) - удалите устаревшее и нежелательное ПО:
 

Цитата

 

Adobe Flash Player 27 ActiveX

Adobe Flash Player 27 NPAPI

Adobe Shockwave Player 12.1

Bonjour

 

 

 

"Пофиксите" в HijackThis:
 

Цитата

O7 - Policy Script: HKLM\..\Group Policy\Scripts\Startup\0\0: [Script] = \ba.mrsks.local\sysvol\ba.mrsks.local\Policies\{2D280BF4-D31F-4EFB-A7B0-D522AFFFF78F}\Machine\Scripts\Startup\gridocx_update_32.bat (file missing)
O7 - Policy Script: HKLM\..\Group Policy\Scripts\Startup\1\0: [Script] = \ba.mrsks.local\SysVol\ba.mrsks.local\Policies\{912B65EB-BF23-445C-9747-383BE2107225}\Machine\Scripts\Startup\\bafile02.mrsks.local\sapinstall$\sapinstall.vbs (file missing)
O7 - Policy Script: HKLM\..\Group Policy\Scripts\Startup\1\1: [Script] = \ba.mrsks.local\SysVol\ba.mrsks.local\Policies\{912B65EB-BF23-445C-9747-383BE2107225}\Machine\Scripts\Startup\\bafile02.mrsks.local\sapinstall$\update_sap.cmd (file missing)
O7 - Policy Script: HKLM\..\Group Policy\Scripts\Startup\2\0: [Script] = \ba.mrsks.local\sysvol\ba.mrsks.local\Policies\{5B5BBC09-8B1C-482B-ACF6-65517EE45A70}\Machine\Scripts\Startup\\ba-fs01.ba.mrsks.local\share$\arsenicum\bin\arsenicum.vbs (file missing)
O7 - Policy Script: HKLM\..\Group Policy\Scripts\Startup\3\0: [Script] = \ba.mrsks.local\SysVol\ba.mrsks.local\Policies\{D1C0DD9A-AB64-4CFD-993A-2D0CAAC48971}\Machine\Scripts\Startup\time_sync.bat (file missing)
O7 - TroubleShooting: (EV) HKLM\..\Environment: [PSModulePath] = %SystemRoot%\system32\WindowsPowerShell\v1.0\Modules\;C:\Program Files\Microsoft SQL Server\120\Tools\PowerShell\Modules\
O10 - Unknown file in Winsock LSP: C:\Program Files\Bonjour\mdnsNSP.dll
O22 - Task: Driver Booster SkipUAC (admin) - C:\Program Files\IObit\Driver Booster\4.4.0\DriverBooster.exe /skipuac (file missing)

 

Далее:

  • Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
  • Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
  • Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

1. 

  • Запустите повторно (если уже закрыли) AdwCleaner (by Malwarebytes) (программу необходимо запускать через правую кн. мыши от имени администратора).
  • В меню Параметры включите дополнительно в разделе Действия по базовому восстановлению:
    • Сбросить политики IE
    • Сбросить политики Chrome
  • В меню Информационная панель нажмите Запустить проверку.
  • По окончании нажмите кнопку Карантин и дождитесь окончания удаления.
  • Когда удаление будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Cxx].txt (где x - любая цифра).
  • Прикрепите отчет к своему следующему сообщению.
  • (Обратите внимание - C и S - это разные буквы).


Внимание: Для успешного удаления нужна перезагрузка компьютера!!!

Подробнее читайте в этом руководстве.
 

2.

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Также рекомендую деинсталлировать HaoZip.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

  • Отключите до перезагрузки антивирус.
  • Выделите следующий код:
    Start::
    SystemRestore: On
    CreateRestorePoint:
    HKU\S-1-5-21-666413958-3556258203-3764145107-1000\...\MountPoints2: {7f6e4ef6-fbb5-11e5-805b-0021868524bc} - E:\AutoRun.exe
    HKU\S-1-5-21-666413958-3556258203-3764145107-1000\...\MountPoints2: {7f6e4f13-fbb5-11e5-805b-0021868524bc} - E:\AutoRun.exe
    HKU\S-1-5-21-666413958-3556258203-3764145107-1000\...\MountPoints2: {7f6e4f7a-fbb5-11e5-805b-0021868524bc} - E:\AutoRun.exe
    HKU\S-1-5-21-666413958-3556258203-3764145107-1003\...\MountPoints2: {5cf57233-9372-11e8-9969-002264512039} - E:\HiSuiteDownLoader.exe
    GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
    Policies: C:\Users\admin.SVES\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\arhiv\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\evseev_vs\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\nagaicev_sv\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\tb_sves\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    Policies: C:\Users\tupikin_mi\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
    CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{3C4F3BE3-47EB-101B-A3C9-08002B2F49FB}\InprocServer32 -> отсутствует путь к файлу
    CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{3C4F3BE5-47EB-101B-A3C9-08002B2F49FB}\InprocServer32 -> отсутствует путь к файлу
    CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{3C4F3BE7-47EB-101B-A3C9-08002B2F49FB}\InprocServer32 -> отсутствует путь к файлу
    CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{44EC053A-400F-11D0-9DCD-00A0C90391D3}\InprocServer32 -> отсутствует путь к файлу
    CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{7629CFA2-3FE5-101B-A3C9-08002B2F49FB}\InprocServer32 -> отсутствует путь к файлу
    CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{7629CFA4-3FE5-101B-A3C9-08002B2F49FB}\InprocServer32 -> отсутствует путь к файлу
    CustomCLSID: HKU\S-1-5-21-666413958-3556258203-3764145107-1000_Classes\CLSID\{F9043C85-F6F2-101A-A3C9-08002B2F49FB}\InprocServer32 -> отсутствует путь к файлу
    EmptyTemp:
    Reboot:
    End::

     

  • Скопируйте выделенный текст (правой кнопкой - Копировать).
  • Запустите FRST (FRST64) от имени администратора.
  • Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.


Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

Ссылка на сообщение
Поделиться на другие сайты
Just now, Sandor said:

Что сейчас с проблемой?

21.10.2021 15:57:51    Обнаружен    троянская программа Trojan.Multi.Accesstr.ash    System Memory    Высокая    
 

Ссылка на сообщение
Поделиться на другие сайты

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Деинсталлируйте AIMP (если по окончании лечения все будет нормально, установите заново).

Запустите повторно сканирование Malwarebytes и удалите (поместите в карантин) всё найденное.

 

Сделайте ещё раз новый скан и покажите результат.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...