Jump to content

Recommended Posts

 несколько часов назад та же проблема:

 

31.08.2018 00.35.12    Обнаруженный объект (системная память) не обработан    System Memory    Системная память: System Memory    Название объекта: Trojan.Multi.Accesstr.a    Тип объекта: Троянская программа    Время: 31.08.2018 0:35

 

прошу немедленно сообщить как избавиться????

Share this post


Link to post

Такая-же  проблема:

Продукт: Kaspersky Endpoint Security 10 Service Pack 2 для Windows
Операционная система: Microsoft Windows 7 Профессиональная  Service Pack 1 (сборка 7601)
Компьютер: ***

Уведомления:
        Критическое событие: 30.08.2018 21:11:01:
Тип события:     Обнаружен вредоносный объект
Пользователь:     ***\*** (Активный пользователь)
Объект:     System Memory
Объект\Тип:     Файл
Объект\Путь:     System Memory
Объект\Название:     System Memory
Результат\Описание:     Обнаружено
Результат\Тип:     Троянская программа
Результат\Название:     Trojan.Multi.Accesstr.a
Результат\Степень угрозы:     Высокая
Результат\Точность:     Точно
Причина:     Локальные базы
Дата выпуска баз:     30.08.2018 17:05:00

кейс создан INC000009545477, срочно нужно объяснение что это?

Share this post


Link to post

Тоже самое около 14 часов обьявился троян точно такой-же как и у многих. Что делать?????!

Share this post


Link to post

Здравствуйте,

Уточните, пожалуйста, удается ли удалить вредоносную программу при включенном лечении активного заражения?

Share this post


Link to post

Добрый день.

Проблема в настоящее время исследуется.

Обнаружение касается содержимого файла seth.exe, как упоминает AIV99, а собственно детект с таким названием — это обнаружение файла cmd.exe под другим именем и/или расположенного по другому пути.

Лечение активного заражения помогает в том случае, если удается найти и восстановить оригинальный файл seth.exe, в противном случае необходимо сделать это для исправления проблемы.

Более подробное описание проблемы доступно по ссылке в сообщении AIV99 выше.

По мере доступности новая информация о проблеме будет публиковаться в этой теме.

Спасибо.

Share this post


Link to post
1 час назад, Kirill Tsapovsky сказал:

Добрый день.

Проблема в настоящее время исследуется.

Обнаружение касается содержимого файла seth.exe, как упоминает AIV99, а собственно детект с таким названием — это обнаружение файла cmd.exe под другим именем и/или расположенного по другому пути.

Лечение активного заражения помогает в том случае, если удается найти и восстановить оригинальный файл seth.exe, в противном случае необходимо сделать это для исправления проблемы.

Более подробное описание проблемы доступно по ссылке в сообщении AIV99 выше.

По мере доступности новая информация о проблеме будет публиковаться в этой теме.

Спасибо.

ок, ждем более детальную информацию, по данному детекту...

Share this post


Link to post

Описание проблемы и способа решения:

Данный вердикт используется для детектирования файлов cmd.exe и powershell.exe, хранящихся под другими именами в системной директории.

 

В схожих запросах от других Заказчиков встречали следующее:

Файл C:\Windows\system32\sethc.exe является cmd.exe, что может быть использовано для получения несанкционированного доступа к системе.

Поскольку оригинальный sethc.exe не был найден, система не была пролечена корректно.

Необходимо самостоятельно заменить файл на оригинальный.

Иными словами, исполняемый файл sethc.exe (который отвечает за вывод сообщения о залипании клавиш) был подменен на cmd.exe. Таким образом можно на этапе логина в систему, сделать "залипание" клавиш и получить доступ к cmd.exe

Стоит сразу проверить указанный файл.

 

Если дело не в нем: Для полноценного анализа детекта в вашей инфраструктуре потребуются трассировки KES с захватом детекта.

 

Ссылки по теме:

https://blogs.technet.microsoft.com/jonathantrull/2016/10/03/detecting-sticky-key-backdoors/

http://winitpro.ru/index.php/2012/05/29/dyra-pozvolyayushhaya-zapustit-lyuboe-prilozheniya-na-ekrane-vxoda-v-windows/

 

KES успешно выполняет лечение хоcта при включенной опции Лечение активного заражения в политике или в задаче поиска вирусов.

НО, успешно оно пройдет только если в системе обнаружится оригинальный файл. Если файла не будет - детект будет повторяться.

Спасибо.

Share this post


Link to post

Получается, что до вчерашнего дня это не детектировалось))

Share this post


Link to post

А это что за зверь и откуда: Trojan.Multi.GenAutorunReg.a, также в System Memory. Но результат: вылечено.

Share this post


Link to post

Такое чаще всего происходить при компрометации паролей привилегированных учетных записей. Например кто-то перебором смог определить пароль и творит сатанию. Срочно менять все пароли.

Share this post


Link to post
2 hours ago, Evgen80 said:

А это что за зверь и откуда: Trojan.Multi.GenAutorunReg.a, также в System Memory. Но результат: вылечено.

Такой объект не имеет отношения к предмету темы. Вероятно, это отдельное легитимное срабатывание.

В рамках стандартной форумной поддержки описания объектов не предоставляются, однако они доступны в публичных источниках по названию (в том числе на форуме фан-клуба ЛК: https://forum.kasperskyclub.ru/index.php?showtopic=57447)

Спасибо.

Share this post


Link to post
12 часов назад, Kirill Tsapovsky сказал:

В рамках стандартной форумной поддержки описания объектов не предоставляются

Кстати, может в курсе, а где сейчас можно посмотреть официальные описания вирусов детектируемых касперским? Раньше вроде на securelist.ru их выкладывали, недавно смотрел похоже описания многих старых вирусов вообще удалили.  Остальные надо искать, что куда переместили, а по новым вообще не нашёл описание, если не считать статьи про эпидемии.

Share this post


Link to post
В 31.08.2018 в 18:16, Kirill Tsapovsky сказал:

Описание проблемы и способа решения:

Данный вердикт используется для детектирования файлов cmd.exe и powershell.exe, хранящихся под другими именами в системной директории.

 

В схожих запросах от других Заказчиков встречали следующее:

Файл C:\Windows\system32\sethc.exe является cmd.exe, что может быть использовано для получения несанкционированного доступа к системе.

Поскольку оригинальный sethc.exe не был найден, система не была пролечена корректно.

Необходимо самостоятельно заменить файл на оригинальный.

Иными словами, исполняемый файл sethc.exe (который отвечает за вывод сообщения о залипании клавиш) был подменен на cmd.exe. Таким образом можно на этапе логина в систему, сделать "залипание" клавиш и получить доступ к cmd.exe

Стоит сразу проверить указанный файл.

 

Если дело не в нем: Для полноценного анализа детекта в вашей инфраструктуре потребуются трассировки KES с захватом детекта.

 

Ссылки по теме:

https://blogs.technet.microsoft.com/jonathantrull/2016/10/03/detecting-sticky-key-backdoors/

http://winitpro.ru/index.php/2012/05/29/dyra-pozvolyayushhaya-zapustit-lyuboe-prilozheniya-na-ekrane-vxoda-v-windows/

 

KES успешно выполняет лечение хоcта при включенной опции Лечение активного заражения в политике или в задаче поиска вирусов.

НО, успешно оно пройдет только если в системе обнаружится оригинальный файл. Если файла не будет - детект будет повторяться.

Спасибо.

Хорошо, проблема в этом файле, что делать то? Не удаляется он, не лечится и не заменить его на оригинальный.

Какие варианты есть ещё?

Share this post


Link to post

Что бы не ждать оф.ответа, берете Файл C:\Windows\system32\sethc.exe и заменяете на оригинал. И все работает. Вируса больше нет.

Это если он у вас изменен вирусом.

Edited by Kutnev

Share this post


Link to post
12 часов назад, Kutnev сказал:

Что бы не ждать оф.ответа, берете Файл C:\Windows\system32\sethc.exe и заменяете на оригинал. И все работает. Вируса больше нет.

Это если он у вас изменен вирусом.

Где найти ссылку на Sethc.exe ????!!!!

Share this post


Link to post
22 часа назад, Evgeny_E сказал:

Описания обнаруживаемых объектов доступны по следующей ссылке: https://threats.kaspersky.com/ru/

Если только это, то можно сказать что описания нет. Очень жаль, раньше ведь были у касперского нормальные описания.

Для сравнения пример описания вируса у др. Веба https://vms.drweb.ru/virus/?i=17252743

Не хотелось давать ссылку на сайт конкурента, но зато хоть сразу видно описание вируса.

Share this post


Link to post

Подскажите где взять оригинальный файл Sethc.exe, если на компьютере не был настроен Backup. Также возможна ли проблема в замене файла Utilman на CMD.exe (Лично я менял эти файлы какраз для того чтобы поменять пароль администратора - предыдущий работник не соизволил записать пароль администратора и забыл его)? После замены вернул всё как было, но теперь вылезает :

Trojan.Multi.Accesstr.a

Неужели придётся переустанавливать Виндовс?

Share this post


Link to post
2 часа назад, ValeriZ сказал:

Также возможна ли проблема в замене файла Utilman на CMD.exe

да.

Share this post


Link to post
15 часов назад, Artyr194 сказал:

Где найти ссылку на Sethc.exe ????!!!!

Вообще он должен быть в этой же папке, только немного переименован.=)

(например : копияSethc.exe)

sethc.exe

Edited by Kutnev

Share this post


Link to post
2 часа назад, ValeriZ сказал:

Подскажите где взять оригинальный файл Sethc.exe, если на компьютере не был настроен Backup. Также возможна ли проблема в замене файла Utilman на CMD.exe (Лично я менял эти файлы какраз для того чтобы поменять пароль администратора - предыдущий работник не соизволил записать пароль администратора и забыл его)? После замены вернул всё как было, но теперь вылезает :


Trojan.Multi.Accesstr.a

Неужели придётся переустанавливать Виндовс?

Если выше сказанное не помогло, то придется переустанавливать.

И если "Касперский" не добавит в базу себе этот вирус.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.