Wykryto Trojan.Multi.Accesstr.a

[catyfish]

Witam

Kaspersky wykrył Trojan Multi.Accesstr.a Lokalizacja System Memory.Nie jest w stanie tego wyleczyć .Proszę o pomoc!!

 

 

 

Edytowane 5 Września 2018 przez Rucek

[catyfish]

Wtam

Są i logi

Shortcut.txt

Addition.txt

FRST.txt

[Miszel03]

W przeglądarce Mozilla FireFox widoczne są rozszerzenia adware / malware - Browser Security i Web Security, ale nie sądzę, by miało to związek z wykryciem. Zostaną usunięte skryptem wraz z wątpliwym crackiem KMSpico.

 

Po za tym sprzątam system z resztek po oprogramowaniu (m.in po przeglądarce Google Chrome, zostanie również wyczyszczony kosz). 

Na forum Kaspersky pojawiły się podobny temat, w którym użytkownicy zgłaszają tą samą detekcję i niemożność przeprowadzenia dezynfekcji. Myślę, że trzeba skontaktować się z pomocą techniczną, gdyż to przypuszczalnie fałszywy alarm.

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses: 
CreateRestorePoint:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico
2018-08-31 22:26 - 2018-05-21 22:50 - 000000000 ____D C:\Program Files\KMSpico
Task: {1267C18C-FA97-4085-872A-60F238D8F8D1} - \AutoPico Daily Restart -> Brak pliku <==== UWAGA
Task: {628E8252-0762-46AF-B50E-B881F2D9E6DB} - \Mati -> Brak pliku <==== UWAGA
Task: {03FD7A8C-4F9C-4FB8-999A-9083B6708C8C} - System32\Tasks\{419F0E51-6D64-4A75-ABE7-B0369D4FED27} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\MonitorDriver\vcredist_x64.exe" -d "C:\Program Files (x86)\MonitorDriver"
Task: {CD896D3E-7CC6-458B-AAB7-6E2BD2482FAA} - System32\Tasks\{0C588318-2488-414F-94BE-3F992E531751} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\MonitorDriver\MonSetupXP64.exe" -d "C:\Program Files (x86)\MonitorDriver"
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3102395202-1640753785-1171503364-1000\...\MountPoints2: F - F:\autorun.exe
HKU\S-1-5-21-3102395202-1640753785-1171503364-1000\...\MountPoints2: {84f78eca-5f43-11e8-960d-4c0010244ca3} - D:\SETUP.EXE
HKU\S-1-5-21-3102395202-1640753785-1171503364-1000\...\MountPoints2: {9e017fbe-0a5b-11e8-abfe-4c0010244ca3} - H:\autorun.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
FF Extension: (Web Security) - C:\Users\Mati\AppData\Roaming\Mozilla\Firefox\Profiles\rovw4ve6.default-1513156938396\Extensions\contact@web-security.com.xpi [2018-04-08]
FF Extension: (Browser Security) - C:\Users\Mati\AppData\Roaming\Mozilla\Firefox\Profiles\rovw4ve6.default-1513156938396\Extensions\firefox@browser-security.de.xpi [2018-02-12]
DeleteKey: HKLM\SOFTWARE\Google
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

[catyfish]

Wykonano

Fixlog.txt

[Miszel03]

Z mojej strony to wszystko. Cieszę się, że mogłem pomóc. 
 
Na koniec zastosuj DelFix (kasacja używanych narzędzi) oraz zaktualizuj oprogramowanie zewnętrzne jak i system Windows. 
 
W razie pytań pozostaje do dyspozycji.