Elektroda.pl
Elektroda.pl
X
Proszę, dodaj wyjątek www.elektroda.pl do Adblock.
Dzięki temu, że oglądasz reklamy, wspierasz portal i użytkowników.

Trojan.Multi.Accesstr.a.sh

szakalas 05 Lis 2018 20:04 207 7
  • #1 05 Lis 2018 20:04
    szakalas
    Poziom 9  

    Cześć
    Posiadam Kaspersky Total Security 2019. Od dłuższego czasu mam Trojan.Multi.Accesstr.a.sh. Reinstalowałem już antywirusa robiłem pełne skanowanie w trybie awaryjnym, przycisk napraw nie działa Kaspersky tego nie leczy. Ktoś pomoże?

    0 7
  • #5 05 Lis 2018 22:55
    Kolobos
    Spec od komputerów

    Podaj sciezke do pliku wykrywanego jako infekcja i jego nazwe.

    Usun recznie ten plik bez nazwy:
    C:\Windows\System32\.exe

    Obok frst.exe utworz plik Fixlist.txt z zawartoscia:
    Task: {2F3B6792-09E8-41EE-A4B0-470E066AC4F5} - System32\Tasks\Opera scheduled Autoupdate 1482183881 => C:\Program Files (x86)\Opera\launcher.exe [2018-10-17] (Opera Software)
    Startup: C:\Users\Gość\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OpenOffice.org 3.4.1.lnk [2016-11-25]
    ShortcutTarget: OpenOffice.org 3.4.1.lnk -> C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe (Brak pliku)
    CHR HKLM\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
    CHR HKLM-x32\...\Chrome\Extension: [amkpcclbbgegoafihnpgomddadjhcadd] - hxxps://chrome.google.com/webstore/detail/amkpcclbbgegoafihnpgomddadjhcadd
    2018-11-05 22:24 - 2018-11-05 22:26 - 000000000 ____D C:\AdwCleaner
    e2018-10-31 16:36 - 2018-10-31 16:36 - 000000000 ____D C:\ProgramData\s58s
    2018-10-31 16:30 - 2018-10-31 16:30 - 000000000 ____D C:\ProgramData\s534
    2018-10-31 16:30 - 2018-10-31 16:30 - 000000000 ____D C:\ProgramData\s478
    2018-10-31 16:25 - 2018-10-31 16:25 - 000000000 ____D C:\ProgramData\sqc
    2018-10-31 16:25 - 2018-10-31 16:25 - 000000000 ____D C:\ProgramData\spo
    2018-10-31 16:25 - 2018-10-31 16:25 - 000000000 ____D C:\ProgramData\s3n0
    2018-10-31 16:22 - 2018-10-31 16:23 - 011198288 _____ (AO Kaspersky Lab) C:\Users\JA\Downloads\GetSystemInfo6.2 (1).exe
    2018-10-12 10:58 - 2018-10-12 10:58 - 000178320 _____ (AVAST Software) C:\Users\JA\Downloads\avast_free_antivirus_setup_online (1).exe
    2018-10-31 11:13 - 2018-09-21 15:18 - 000000000 ____D C:\Program Files (x86)\Trojan Remover
    2018-10-19 21:37 - 2016-12-19 22:44 - 000003894 _____ C:\Windows\System32\Tasks\Opera scheduled Autoupdate 1482183881

    W FRST wybierz Napraw.

    0
  • #6 05 Lis 2018 23:50
    szakalas
    Poziom 9  

    Usunąłem ten plik bez nazwy, zrobiłem fixlist dalej to samo. Jeśli chodzi o ścieżkę to nie wiem to Trojan ( obiekt system memory), tam chyba nie ma żadnej ścieżki.

    A było to tak pod koniec sierpnia wyjeżdżałem na wakacje, wszystko było ok wracam po dwóch tygodniach włączam kompa a tu od razu ten trojan.

    Coś takiego jest na forum Kasperskiego może to o to chodzi:

    Cytat:
    We have a thorough description of the problem:

    This verdict (Trojan.Multi.Accesstr.a) is used to detect files cmd.exe and powershell.exe which are kept in the system folder under different names.

    In similar reqests from customers we have encountered the following:

    File C:\Windows\system32\sethc.exe is in fact cmd.exe, which can be used to gain unauthorized access to the system.

    Because the original sethc.exe could not be found, the disinfection could not be performed correctly.

    Replacing the file with its original manually was required.

    In other words, the executable sethc.exe (which is responsible for notifications about sticky keys on logon) has been replaced with a copy of cmd.exe. This way a user could access the command prompt on logon by triggering sticky keys.

    It is worth checking the specified file.



    If this is not the case: to properly analyze the detection in your network, KES traces which cover the time of detection are required.



    Related links:

    https://blogs.technet.microsoft.com/jonathantrull/2016/10/03/detecting-sticky-key-backdoors/

    http://winitpro.ru/index.php/2012/05/29/dyra-...yuboe-prilozheniya-na-ekrane-vxoda-v-windows/ (in Russian)



    KES is capable of treating the host successfully while Active disinfection option is turned on in the policy, or the virus scan task.

    However, it may fail unless there is an original sethc.exe in the system. Until then, the detection will persist.

    Thank you.


    Dodam że w Windowsie 7 "posuła" mi się usługa aktualicacji, którą dopiero teraz chyba naprawiłem :)

    0
  • #8 07 Lis 2018 11:49
    szakalas
    Poziom 9  

    Zrobiłem oba skanowania dalej to samo dałem ignoruj. Dzięki wszystkim za pomoc

    Dodano po 14 [godziny] 52 [minuty]:

    Haha ignoruj też nie działa on po jakiejś godzinie znowu sam z siebie wywala to samo. Żegnaj Kaspersky jedyne wyjście :)

    0