Trojan.Multi.Accesstr.aok

**JIABP** · 10.12.2020, 10:47

Доброе утро!

Имеется ПК в рабочей группе под Windows 7 на котором ранее не стояло АВ, пользователь работал из под привилегированной УЗ с администраторскими правами. Я дотолкал вопрос о том, что бы на этот и другие ПК поставить KES и детект не заставил себя ждать, однако именно с одним типом вредоносного ПО KES справиться не может, консоль KSC пишет:

Результат: Не обработано: Trojan.Multi.Accesstr.aok
Объект: System Memory
Причина: Не подвергается лечению

Что было сделано:
1) В разделе KSC "Активные угрозы" принудительно запустил лечение активного заражения - не помогает, после перезагрузки всё равно детект имеется;
2) Загрузился в Live CD Kaspersky - он удалил несколько вредоносов, но именно этот не нашёл/не удалил;
3) Загрузился в Live CD Dr. Web - он так же удалил несколько вредоносов, но именно этот не нашёл/не удалил;
4) Установил все доступные бесплатные обновления безопасности через Windows Update (ESU пакет для Win7 конечно же не куплен).

Собрал информацию согласно Правил, так же прикладываю логи от следующих продуктов, которые ранее использовались для лечения на virusinfo:
1) AdwCleaner
2) HiJackThis
3) MBAM
4) MiniToolBox by Farbar

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 10.12.2020, 10:49

Уважаемый(ая) JIABP, спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.

**Vvvyg** · 10.12.2020, 12:30

Скачайте, распакуйте и запустите утилиту ClearLNK. Скопируйте текст ниже в окно утилиты и нажмите "Лечить".

Код:

>>>  "C:\Users\SovTex8\Desktop\Ярлыки\Avast SafeZone Browser.lnk"      -> ["C:\Program Files\AVAST Software\SZBrowser\launcher.exe"]
>>>  "C:\Users\SovTex8\Desktop\Ярлыки\Почта совтех рф 2 - Ярлык.lnk"   -> ["C:\Users\SovTex8\Desktop\Почта совтех рф 2.docx"]
>>>  "C:\Users\SovTex8\Desktop\Ярлыки\Microsoft Office - Ярлык.lnk"    -> ["C:\Users\SovTex8\Desktop\Microsoft Office"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Центр ГРАНД\СтройИнфо 5\Открыть папку профиля пользователя.lnk"         -> ["C:\Users\cobtexadm\AppData\Roaming\Grand\StroyInfo 5"]
>>>  "C:\Users\SovTex8\Desktop\Ярлыки\Avast Free Antivirus.lnk"        -> ["C:\Program Files\AVAST Software\Avast\avastui.exe"]
>>>  "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Firebird\Firebird ODBC Driver\Uninstall Firebird ODBC driver.lnk"       -> ["C:\Users\cobtexadm\AppData\Local\OdbcFb\unins000.exe"]

Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и пофиксите только эти строки:

Код:

O4 - MSConfig\startupfolder: C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^McAfee Security Scan Plus.lnk [backup] => C:\Program Files\McAfee Security Scan\3.11.766\SSScheduler.exe (2018/08/09) (file missing)
O4 - MSConfig\startupreg: BlueStacks Agent [command] = C:\Program Files (x86)\Bluestacks\HD-Agent.exe (HKCU) (2018/08/09) (file missing)
O4 - MSConfig\startupreg: HP Software Update [command] = C:\Program Files (x86)\Hp\HP Software Update\HPWuSchd2.exe (HKLM) (2016/07/21) (file missing)
O4 - MSConfig\startupreg: YandexSearchBand [command] = C:\Users\SovTex8\AppData\Local\Yandex\SearchBand\Application\4.2.1.1782\searchbandapp64.exe /auto (HKCU) (2018/08/09) (file missing)
O22 - Task: \AVAST Software\Avast settings backup - C:\Program Files\Common Files\AV\avast! Antivirus\backup.exe /backup /iavs (file missing)

Деинсталлируйте программы Avast Secure Browser и Avast Update Helper.

Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**JIABP** · 10.12.2020, 13:13

Vvvyg, спасибо за оперативный ответ. KES отключать во время выполнения указанных манипуляций или можно оставить?

P.S. Пользователь пока работает за ПК, т.к. мы и так его почти сутки держали на разных сканированиях, так что ближе к вечеру подключусь к нему и выполню рекомендации.

**Vvvyg** · 10.12.2020, 13:24

Если не будет блокировать обновление SecurityCheck, отключать KES не нужно.

**JIABP** · 10.12.2020, 20:07

1) ClearLNK - код выполнил, лог приложил.
2) HiJackThis - пофиксил.
3) Avast Secure Browser - попытался удалить через панель управления, но получил сообщение что ПО уже удалено и предложение удалить из списка установленного ПО. Согласился. Avast Update Helper - отсутствует в списке установленных программ.
4) Java удалил, Security Check by glax24 не устанавливал

ВПО всё равно детектится в оперативной памяти KES'ом.

**Vvvyg** · 10.12.2020, 20:34

Ждём лог SecurityCheck.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

**JIABP** · 10.12.2020, 21:22

Во вложении.

P.S. Хотел бы ещё добавить, что просто снести ОС и поставить заново именно сейчас не можем, т.к. на ПК установлен софт, который требуется для закрытия 2020 года.

**Vvvyg** · 10.12.2020, 21:55

Не надо ничего сносить/переустанавливать: Как защититься от вредоносной программы Trojan.Multi.Accesstr.

Выделите и скопируйте в буфер обмена следующий код:

Код:

Start::
CreateRestorePoint:
(Avast Software s.r.o. -> AVAST Software) C:\Program Files (x86)\AVAST Software\Browser\Update\1.8.1065.0\AvastBrowserCrashHandler.exe
(Avast Software s.r.o. -> AVAST Software) C:\Program Files (x86)\AVAST Software\Browser\Update\1.8.1065.0\AvastBrowserCrashHandler64.exe
HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{30C521FB-255B-46C8-9F0D-EE5AE371C9AA}] -> C:\Program Files (x86)\AVAST Software\Browser\Application\86.1.6960.198\Installer\chrmstp.exe [2020-12-03] (Avast Software s.r.o. -> AVAST Software)
HKLM\Software\Wow6432Node\Microsoft\Active Setup\Installed Components: [{8A69D345-D564-463c-AFF1-A69D9E530F96}] -> "C:\Program Files (x86)\Google\Chrome\Application\57.0.2987.133\Installer\chrmstp.exe" --configure-user-settings --verbose-logging --system-level
Task: {63304C9E-4649-4206-A833-5EE2309732FB} - System32\Tasks\Avast Secure Browser Heartbeat Task (Logon) => C:\Program Files (x86)\AVAST Software\Browser\Application\AvastBrowser.exe [1933408 2020-11-13] (Avast Software s.r.o. -> AVAST Software)
Task: {A65BBFDF-41C8-40E5-BAA8-869D2D99EF7C} - System32\Tasks\AvastUpdateTaskMachineCore => C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [194200 2020-10-26] (Avast Software s.r.o. -> AVAST Software)
Task: {AD5B746D-2D2B-46A6-8CF0-79104FD20E04} - System32\Tasks\AvastUpdateTaskMachineUA => C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [194200 2020-10-26] (Avast Software s.r.o. -> AVAST Software)
Task: {FF51ED26-2ACA-408F-A671-433265924D48} - System32\Tasks\Avast Secure Browser Heartbeat Task (Hourly) => C:\Program Files (x86)\AVAST Software\Browser\Application\AvastBrowser.exe [1933408 2020-11-13] (Avast Software s.r.o. -> AVAST Software)
FF Plugin-x32: @update.avastbrowser.com/Avast Browser;version=3 -> C:\Program Files (x86)\AVAST Software\Browser\Update\1.8.1065.0\npAvastBrowserUpdate3.dll [2020-10-26] (Avast Software s.r.o. -> AVAST Software)
FF Plugin-x32: @update.avastbrowser.com/Avast Browser;version=9 -> C:\Program Files (x86)\AVAST Software\Browser\Update\1.8.1065.0\npAvastBrowserUpdate3.dll [2020-10-26] (Avast Software s.r.o. -> AVAST Software)
HKLM\SOFTWARE\Policies\Mozilla\Firefox: Restriction <==== ATTENTION
S2 avast; C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [194200 2020-10-26] (Avast Software s.r.o. -> AVAST Software)
S3 avastm; C:\Program Files (x86)\AVAST Software\Browser\Update\AvastBrowserUpdate.exe [194200 2020-10-26] (Avast Software s.r.o. -> AVAST Software)
S3 AvastSecureBrowserElevationService; C:\Program Files (x86)\AVAST Software\Browser\Application\86.1.6960.198\elevation_service.exe [1136920 2020-11-13] (Avast Software s.r.o. -> AVAST Software)
HKU\S-1-5-21-2849838148-4247301174-3239271577-1001\...\MountPoints2: {a07acec3-a514-11e5-9de2-806e6f6e6963} - Q:\LenovoQDrive.exe
HKU\S-1-5-21-2849838148-4247301174-3239271577-1002\...\MountPoints2: {a07acec3-a514-11e5-9de2-806e6f6e6963} - Q:\LenovoQDrive.exe
HKU\S-1-5-21-2849838148-4247301174-3239271577-1005\...\MountPoints2: {a07acec3-a514-11e5-9de2-806e6f6e6963} - Q:\LenovoQDrive.exe
HKU\S-1-5-80-3589385106-520469509-3569633472-84460881-2732306008\...\RunOnce: [] => [X]
CHR HKLM-x32\...\Chrome\Extension: [eofcbnmajmjmplflapaojjnihcjkigck] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChromeSp.crx <not found>
CHR HKLM-x32\...\Chrome\Extension: [gomekmidlodglbbmalcneegieacbdmki] - C:\Program Files\AVAST Software\Avast\WebRep\Chrome\aswWebRepChrome.crx <not found>
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
2020-03-25 17:19 - 2010-11-21 06:23 - 000345088 _____ (Microsoft Corporation) C:\Users\admsys\cmd.exe
2020-12-03 11:58 - 2016-04-07 16:26 - 000000000 ____D C:\ProgramData\AVAST Software
2020-12-10 19:41 - 2016-04-07 16:40 - 000000000 ____D C:\Windows\system32\Tasks\AVAST Software
ShellIconOverlayIdentifiers: [00asw] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
ShellIconOverlayIdentifiers: [00avast] -> {472083B0-C522-11CF-8763-00608CC02F24} =>  -> No File
FirewallRules: [{A88D876C-4FDE-4668-9239-15692B98481E}] => (Allow) C:\Program Files (x86)\AVAST Software\Browser\Application\AvastBrowser.exe (Avast Software s.r.o. -> AVAST Software)
C:\Program Files (x86)\AVAST Software
CMD: reg delete "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}}" /f /reg:32
File: C:\Windows\System32\osk.exe
Reboot:
End::

Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

**JIABP** · 10.12.2020, 22:24

Не помогло, KES по прежнему находит ВПО. Лог вложил.

**Vvvyg** · 10.12.2020, 22:42

Фикс не отработал. Отключите все антивирусы и повторите.

**JIABP** · 10.12.2020, 22:55

Vvvyg, дубль 2.

**Vvvyg** · 10.12.2020, 23:16

Вот подмена: C:\Windows\System32\osk.exe на самом деле Cmd.Exe, на что и реагирует Касперский. Замените - перестанет.
Попробуйте, как здесь указано, восстановить.

**JIABP** · 11.12.2020, 01:07

Выполнил команды в соответствии с этой ссылкой: https://support.microsoft.com/ru-ru/...ually%20repair (только с поправкой на русскую ОС, где не Administrators а Администраторы):

Код:

Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\>takeown /f C:\Windows\System32\cmd.exe

Успех. Владельцем файла (или папки) "C:\Windows\System32\cmd.exe" является польз
ователь "mycomputer\adminuser".

C:\>icacls C:\windows\system32\cmd.exe /grant Администраторы:F
обработанный файл: C:\windows\system32\cmd.exe
Успешно обработано 1 файлов; не удалось обработать 0 файлов

C:\>copy Q:\cmd.exe C:\windows\system32\cmd.exe
Заменить C:\windows\system32\cmd.exe [Yes (да)/No (нет)/All (все)]: y
Скопировано файлов:         1.

Аналогичные команды выполнил для osk.exe который так же был подменён. Так же sethc.exe заменил.

Сейчас провожу sfc /scannow - посмотрим, найдёт ли ещё какие-то hash missmatch.

Но всё равно KES находит Trojan.Multi.Accesstr.aok в оперативной памяти.

Что странно - несмотря на замену cmd.exe и osk.exe со 100% чистой машины, всё равно после sfc /scannow CBS.log пишет для этих файлов следующее:

Код:

Line 33501: 2020-12-11 00:12:01, Info                  CSI    000001d0 Hashes for file member \SystemRoot\WinSxS\amd64_microsoft-windows-osk_31bf3856ad364e35_6.1.7601.18512_none_08e0c17f709022b5\osk.exe do not match actual file [l:14{7}]"osk.exe" :
	Line 33501: 2020-12-11 00:12:01, Info                  CSI    000001d0 Hashes for file member \SystemRoot\WinSxS\amd64_microsoft-windows-osk_31bf3856ad364e35_6.1.7601.18512_none_08e0c17f709022b5\osk.exe do not match actual file [l:14{7}]"osk.exe" :
	Line 33503: 2020-12-11 00:12:01, Info                  CSI    000001d1 [SR] Cannot repair member file [l:14{7}]"osk.exe" of Microsoft-Windows-osk, Version = 6.1.7601.18512, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
	Line 33504: 2020-12-11 00:12:09, Info                  CSI    000001d2 Hashes for file member \SystemRoot\WinSxS\amd64_microsoft-windows-osk_31bf3856ad364e35_6.1.7601.18512_none_08e0c17f709022b5\osk.exe do not match actual file [l:14{7}]"osk.exe" :
	Line 33504: 2020-12-11 00:12:09, Info                  CSI    000001d2 Hashes for file member \SystemRoot\WinSxS\amd64_microsoft-windows-osk_31bf3856ad364e35_6.1.7601.18512_none_08e0c17f709022b5\osk.exe do not match actual file [l:14{7}]"osk.exe" :
	Line 33506: 2020-12-11 00:12:09, Info                  CSI    000001d3 [SR] Cannot repair member file [l:14{7}]"osk.exe" of Microsoft-Windows-osk, Version = 6.1.7601.18512, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch

Предположил, что файлы с ПК донора могут быть проблемными, поэтому подключил install.wim с помощью DISM и сравнил hash SHA-256 файла который скопировал с донора и того файла, что в install.wim лежит - хэши совпадают, файлы идентичны. Ничего не понимаю. Ну и KES продолжает детектить малварь в оперативной памяти.

**Vvvyg** · 11.12.2020, 09:31

Может быть, KES не детектит, а старые записи журнала показывает? Очистите журнал, сделайте новую проверку.

**JIABP** · 11.12.2020, 11:22

Vvvyg, да, Вы были правы - но я уже по утру сегодня открыл консоль KSC и там ПК "горит" зелёным, а не желтым. И раздел "Активное заражение" чист. Спасибо за помощь даже в поздний час!

**Vvvyg** · 14.12.2020, 11:08

Завершаем.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Trojan.Multi.Accesstr.aok (заявка № 226045)

Опции темы