Имеется ПК в рабочей группе под Windows 7 на котором ранее не стояло АВ, пользователь работал из под привилегированной УЗ с администраторскими правами. Я дотолкал вопрос о том, что бы на этот и другие ПК поставить KES и детект не заставил себя ждать, однако именно с одним типом вредоносного ПО KES справиться не может, консоль KSC пишет:
Результат: Не обработано: Trojan.Multi.Accesstr.aok
Объект: System Memory
Причина: Не подвергается лечению
Что было сделано:
1) В разделе KSC "Активные угрозы" принудительно запустил лечение активного заражения - не помогает, после перезагрузки всё равно детект имеется;
2) Загрузился в Live CD Kaspersky - он удалил несколько вредоносов, но именно этот не нашёл/не удалил;
3) Загрузился в Live CD Dr. Web - он так же удалил несколько вредоносов, но именно этот не нашёл/не удалил;
4) Установил все доступные бесплатные обновления безопасности через Windows Update (ESU пакет для Win7 конечно же не куплен).
Собрал информацию согласно Правил, так же прикладываю логи от следующих продуктов, которые ранее использовались для лечения на virusinfo:
1) AdwCleaner
2) HiJackThis
3) MBAM
4) MiniToolBox by Farbar
Proud to be Russian.
[SIGPIC]http://img297.imageshack.us/img297/379/jiabpme4.gif[/SIGPIC]
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) JIABP, спасибо за обращение на наш форум!
Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.
Информация
Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, поддержите проект.
Деинсталлируйте программы Avast Secure Browser и Avast Update Helper.
Удалите все установленные версии Java, они устаревшие и со множеством критических уязвимостей.
Если Java вообще нужна для каких- либо приложений, игр (и Вы точно знаете, для каких именно) - установите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
Приложите этот файл к своему следующему сообщению.
Vvvyg, спасибо за оперативный ответ. KES отключать во время выполнения указанных манипуляций или можно оставить?
P.S. Пользователь пока работает за ПК, т.к. мы и так его почти сутки держали на разных сканированиях, так что ближе к вечеру подключусь к нему и выполню рекомендации.
Proud to be Russian.
[SIGPIC]http://img297.imageshack.us/img297/379/jiabpme4.gif[/SIGPIC]
1) ClearLNK - код выполнил, лог приложил.
2) HiJackThis - пофиксил.
3) Avast Secure Browser - попытался удалить через панель управления, но получил сообщение что ПО уже удалено и предложение удалить из списка установленного ПО. Согласился. Avast Update Helper - отсутствует в списке установленных программ.
4) Java удалил, Security Check by glax24 не устанавливал
ВПО всё равно детектится в оперативной памяти KES'ом.
Последний раз редактировалось JIABP; 10.12.2020 в 20:13.
Proud to be Russian.
[SIGPIC]http://img297.imageshack.us/img297/379/jiabpme4.gif[/SIGPIC]
Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).
P.S. Хотел бы ещё добавить, что просто снести ОС и поставить заново именно сейчас не можем, т.к. на ПК установлен софт, который требуется для закрытия 2020 года.
Proud to be Russian.
[SIGPIC]http://img297.imageshack.us/img297/379/jiabpme4.gif[/SIGPIC]
Запустите FRST.EXE/FRST64.EXE, нажмите один раз Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.
Вот подмена: C:\Windows\System32\osk.exe на самом деле Cmd.Exe, на что и реагирует Касперский. Замените - перестанет.
Попробуйте, как здесь указано, восстановить.
Microsoft Windows [Version 6.1.7601]
(c) Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.
C:\>takeown /f C:\Windows\System32\cmd.exe
Успех. Владельцем файла (или папки) "C:\Windows\System32\cmd.exe" является польз
ователь "mycomputer\adminuser".
C:\>icacls C:\windows\system32\cmd.exe /grant Администраторы:F
обработанный файл: C:\windows\system32\cmd.exe
Успешно обработано 1 файлов; не удалось обработать 0 файлов
C:\>copy Q:\cmd.exe C:\windows\system32\cmd.exe
Заменить C:\windows\system32\cmd.exe [Yes (да)/No (нет)/All (все)]: y
Скопировано файлов: 1.
Аналогичные команды выполнил для osk.exe который так же был подменён. Так же sethc.exe заменил.
Сейчас провожу sfc /scannow - посмотрим, найдёт ли ещё какие-то hash missmatch.
Но всё равно KES находит Trojan.Multi.Accesstr.aok в оперативной памяти.
Что странно - несмотря на замену cmd.exe и osk.exe со 100% чистой машины, всё равно после sfc /scannow CBS.log пишет для этих файлов следующее:
Код:
Line 33501: 2020-12-11 00:12:01, Info CSI 000001d0 Hashes for file member \SystemRoot\WinSxS\amd64_microsoft-windows-osk_31bf3856ad364e35_6.1.7601.18512_none_08e0c17f709022b5\osk.exe do not match actual file [l:14{7}]"osk.exe" :
Line 33501: 2020-12-11 00:12:01, Info CSI 000001d0 Hashes for file member \SystemRoot\WinSxS\amd64_microsoft-windows-osk_31bf3856ad364e35_6.1.7601.18512_none_08e0c17f709022b5\osk.exe do not match actual file [l:14{7}]"osk.exe" :
Line 33503: 2020-12-11 00:12:01, Info CSI 000001d1 [SR] Cannot repair member file [l:14{7}]"osk.exe" of Microsoft-Windows-osk, Version = 6.1.7601.18512, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
Line 33504: 2020-12-11 00:12:09, Info CSI 000001d2 Hashes for file member \SystemRoot\WinSxS\amd64_microsoft-windows-osk_31bf3856ad364e35_6.1.7601.18512_none_08e0c17f709022b5\osk.exe do not match actual file [l:14{7}]"osk.exe" :
Line 33504: 2020-12-11 00:12:09, Info CSI 000001d2 Hashes for file member \SystemRoot\WinSxS\amd64_microsoft-windows-osk_31bf3856ad364e35_6.1.7601.18512_none_08e0c17f709022b5\osk.exe do not match actual file [l:14{7}]"osk.exe" :
Line 33506: 2020-12-11 00:12:09, Info CSI 000001d3 [SR] Cannot repair member file [l:14{7}]"osk.exe" of Microsoft-Windows-osk, Version = 6.1.7601.18512, pA = PROCESSOR_ARCHITECTURE_AMD64 (9), Culture neutral, VersionScope = 1 nonSxS, PublicKeyToken = {l:8 b:31bf3856ad364e35}, Type neutral, TypeName neutral, PublicKey neutral in the store, hash mismatch
Предположил, что файлы с ПК донора могут быть проблемными, поэтому подключил install.wim с помощью DISM и сравнил hash SHA-256 файла который скопировал с донора и того файла, что в install.wim лежит - хэши совпадают, файлы идентичны. Ничего не понимаю. Ну и KES продолжает детектить малварь в оперативной памяти.
Последний раз редактировалось JIABP; 11.12.2020 в 01:49.
Proud to be Russian.
[SIGPIC]http://img297.imageshack.us/img297/379/jiabpme4.gif[/SIGPIC]
Vvvyg, да, Вы были правы - но я уже по утру сегодня открыл консоль KSC и там ПК "горит" зелёным, а не желтым. И раздел "Активное заражение" чист. Спасибо за помощь даже в поздний час!
Proud to be Russian.
[SIGPIC]http://img297.imageshack.us/img297/379/jiabpme4.gif[/SIGPIC]