[РЕШЕНО] Trojan.Multi.Accesstr.ash

[madron]

Коллеги, добрый день!

На компьютере обнаружили предосносное ПО. Своими силами не удается удалить.

Помогите пожайлуста победить.

CollectionLog-2022.01.19-13.33.zip

[Sandor]

Здравствуйте!

 

Дополнительно:

• Скачайте AdwCleaner (by Malwarebytes) и сохраните его на Рабочем столе.
• Запустите его (необходимо запускать через правую кн. мыши от имени администратора), нажмите кнопку "Scan" ("Запустить проверку") и дождитесь окончания сканирования.
• Когда сканирование будет завершено, отчет будет сохранен в следующем расположении: C:\AdwCleaner\Logs\AdwCleaner[Sxx].txt (где x - любая цифра).
• Прикрепите отчет к своему следующему сообщению.

Подробнее читайте в этом руководстве.
 

[Sandor]

+

Файл CheckBrowserLnk.log
 из папки

...\AutoLogger\CheckBrowserLnk

перетащите на утилиту ClearLNK.

Отчёт о работе в виде файла ClearLNK-<Дата>.log прикрепите к вашему следующему сообщению.
 

[madron]

Готово.

AdwCleaner[S00].txt ClearLNK-2022.01.19_13.53.53.log

[Sandor]

Продолжаем, дополнительно:

 

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[madron]

Готово.

Addition.txt FRST.txt

[Sandor]

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  SystemRestore: On
  CreateRestorePoint:
  Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\antishin\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\Igoshina\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\igoshina.PGP\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  Policies: C:\Users\kalugin.PGP\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
  HKLM\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\1: <==== ВНИМАНИЕ (Ограничение - Zones)
  WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
  WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
  WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

 

Агент администрирования Kaspersky Security Center вижу, что установлен. А самого антивируса нет. Удалили?

[madron]

Да, антивирус удалил накануне создания этой темы. Готовился к переустановке системы, но решил задать вопрос на форуме.

Готово.

Fixlog.txt

Изменено 19 января, 2022 пользователем madron

[Sandor]

11 минут назад, Sandor сказал:

Агент администрирования Kaspersky Security Center вижу, что установлен. А самого антивируса нет. Удалили?

Не ответили.

[madron]

5 минут назад, Sandor сказал:

Не ответили.

Да, антивирус удалил накануне создания этой темы. Готовился к переустановке системы, но решил задать вопрос на форуме.

Изменено 19 января, 2022 пользователем madron

[Sandor]

Хм, а если вы собрались переустанавливать систему, зачем же мы её лечили?

[madron]

2 минуты назад, Sandor сказал:

Хм, а если вы собрались переустанавливать систему, зачем же мы её лечили?

Не правильно выразился. Готовился морально.

Дело в том, на компьютере стоит древний, но при этом актуальный банк-клиент. Как его переустанавливать я пока не знаю. Но оставлять его с вирусом(по понятным причинам) тоже не могу.

В надежде решил обратиться за помощью, избавления от этого трояна сэкономит мне часы, а может дни работы.

Бьюсь безрезультатно второй день. Перепробовал/перечитал много статей на тему этого вируса прежде чем создавать топик, не чего не помогает. Сегодня утром снял диск с компьютера и подключил его к обособленному ноутбуку. Запустил Virus Removal Tool на проверку этого диска, но к моему удивлению он не чего не нашел. Далее возвращаю диск в компьютер, и меня посейщает мысль переустановить антивирус (сам не понимаю как это может мне помочь, видимо от безысходности). И вспоминаю что вчера читал похожий топик на форуме 

но в том случае нет логического конца. Возможно мой пример будет заделом на будующее.

Повторюсь, переустанавливать систему крайне не хочу, но чувствую придеться =/

[Sandor]

Понятно.

Установите антивирус (причем, желательно актуальную версию 11.7) и сделайте полную проверку.

Результат сообщите.

[madron]

Добрый день!

Установил актуальную версию и обновил базу, но к сожалению чудо не произошло. Сделал полную проверку и антивирус вновь нашел угрозу. При попытки устранить угрозу, антивирус возвращает в исходное окно (см. скрин)

Другие антивирусные программы не видят зловредно ПО.

Известны еще какие-то подходы в лечении?

 

[Sandor]

Давайте ещё так посмотрим:

 

Скачайте Malwarebytes v.4. Установите и запустите.
(На предложение активации лицензии ответьте "Позже" и "Использовать бесплатную версию").
Запустите Проверку и дождитесь её окончания.
Самостоятельно ничего не помещайте в карантин!!!
Нажмите кнопку "Сохранить результаты - Текстовый файл (*.txt)". Имя сохраняемому файлу дайте любое, например, "scan".
Отчёт прикрепите к сообщению.
Подробнее читайте в руководстве.