Skocz do zawartości

Wykryto Trojan.Multi.Accesstr.a


Rekomendowane odpowiedzi

Pomoc jest darmowa, ale proszę rozważ przekazanie dotacji na utrzymanie serwisu: klik.

W przeglądarce Mozilla FireFox widoczne są rozszerzenia adware / malware - Browser Security i Web Security, ale nie sądzę, by miało to związek z wykryciem. Zostaną usunięte skryptem wraz z wątpliwym crackiem KMSpico.

 

Po za tym sprzątam system z resztek po oprogramowaniu (m.in po przeglądarce Google Chrome, zostanie również wyczyszczony kosz). 

Na forum Kaspersky pojawiły się podobny temat, w którym użytkownicy zgłaszają tą samą detekcję i niemożność przeprowadzenia dezynfekcji. Myślę, że trzeba skontaktować się z pomocą techniczną, gdyż to przypuszczalnie fałszywy alarm.

 

Uruchom FRST. Z klawiatury CTRL+Y, zostanie otworzony plik tekstowy. Wklej do pliku następującą treść:

CloseProcesses: 
CreateRestorePoint:
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\KMSpico
2018-08-31 22:26 - 2018-05-21 22:50 - 000000000 ____D C:\Program Files\KMSpico
Task: {1267C18C-FA97-4085-872A-60F238D8F8D1} - \AutoPico Daily Restart -> Brak pliku <==== UWAGA
Task: {628E8252-0762-46AF-B50E-B881F2D9E6DB} - \Mati -> Brak pliku <==== UWAGA
Task: {03FD7A8C-4F9C-4FB8-999A-9083B6708C8C} - System32\Tasks\{419F0E51-6D64-4A75-ABE7-B0369D4FED27} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\MonitorDriver\vcredist_x64.exe" -d "C:\Program Files (x86)\MonitorDriver"
Task: {CD896D3E-7CC6-458B-AAB7-6E2BD2482FAA} - System32\Tasks\{0C588318-2488-414F-94BE-3F992E531751} => C:\Windows\system32\pcalua.exe -a "C:\Program Files (x86)\MonitorDriver\MonSetupXP64.exe" -d "C:\Program Files (x86)\MonitorDriver"
HKLM-x32\...\Run: [] => [X]
HKU\S-1-5-21-3102395202-1640753785-1171503364-1000\...\MountPoints2: F - F:\autorun.exe
HKU\S-1-5-21-3102395202-1640753785-1171503364-1000\...\MountPoints2: {84f78eca-5f43-11e8-960d-4c0010244ca3} - D:\SETUP.EXE
HKU\S-1-5-21-3102395202-1640753785-1171503364-1000\...\MountPoints2: {9e017fbe-0a5b-11e8-abfe-4c0010244ca3} - H:\autorun.exe
HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Search Page = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Page_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Default_Search_URL = 
HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
HKLM\Software\Wow6432Node\Microsoft\Internet Explorer\Main,Local Page = 
FF Extension: (Web Security) - C:\Users\Mati\AppData\Roaming\Mozilla\Firefox\Profiles\rovw4ve6.default-1513156938396\Extensions\contact@web-security.com.xpi [2018-04-08]
FF Extension: (Browser Security) - C:\Users\Mati\AppData\Roaming\Mozilla\Firefox\Profiles\rovw4ve6.default-1513156938396\Extensions\firefox@browser-security.de.xpi [2018-02-12]
DeleteKey: HKLM\SOFTWARE\Google
Powershell: wevtutil el | Foreach-Object {wevtutil cl "$_"}
EmptyTemp:

 

Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach.

 

Z klawiatury CTRL+S, by zapisać zmiany. Następnie w oknie FRST klik w Napraw (Fix). Czekaj cierpliwie, nie przerywaj działania. Gdy Fix ukończy pracę, nastąpi restart systemu. W tym samym katalogu skąd uruchamiano FRST powstanie plik fixlog.txt. Przedstaw go.

Odnośnik do komentarza

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...