Jump to content

Recommended Posts

Prezados, boa tarde.

Aqui na Empresa onde eu trabalho estou tento um problema com este Trojan muito estranho:

O antivirus kaspersky não consegue remover este trojan mencionado, fica alertando na tela e mesmo se fizer a exclusão ele volta depois de um tempo. Já tentei utilizar os seguintes programas para tentar realizar a remoção do mesmo:

- Malware Bytes

- Jr Tool (Ferramenta específica da Malware Bytes)

- Adw Cleaner

 

Nenhuma delas resolveu o problema, estou pensando em rodar o Rogue Killer que faz um scan no registro, alguém já passou por esta situação?

 

Obrigado.

Share this post


Link to post

O Trojan.Multi.Accesstr é a detecção deste ataque - https://attack.mitre.org/wiki/Technique/T1015 (backdoor de login através da substituição de ferramentas de acessibilidade por cmd.exe / powershell.exe).

Durante o procedimento de cura, o AV tenta encontrar backups dos arquivos originais do sistema, mas em alguns casos não há backups nos sistemas do usuário final. A única maneira é executar o comando "sfc.exe / scannow" ou restauração manual desses arquivos:

 

•    Trojan.Multi.Accesstr.a.ok
  o    "%SystemRoot%\\system32\\osk.exe"
  o    "%SystemRoot%\\syswow64\\osk.exe"

•    Trojan.Multi.Accesstr.a.mf
  o    "%SystemRoot%\\system32\\magnify.exe"
  o    "%SystemRoot%\\syswow64\\magnify.exe"

•    Trojan.Multi.Accesstr.a.ds
  o    "%SystemRoot%\\system32\\displayswitch.exe"
  o    "%SystemRoot%\\syswow64\\displayswitch.exe"

•    Trojan.Multi.Accesstr.a.ab
  o    "%SystemRoot%\\system32\\atbroker.exe"
  o    "%SystemRoot%\\syswow64\\atbroker.exe"

•    Trojan.Multi.Accesstr.a.um
  o    "%SystemRoot%\\system32\\utilman.exe"
  o    "%SystemRoot%\\syswow64\\utilman.exe"

•    Trojan.Multi.Accesstr.a.sh
  o    "%SystemRoot%\\system32\\sethc.exe"
  o    "%SystemRoot%\\syswow64\\sethc.exe"

•    Trojan.Multi.Accesstr.a.ed
  o    "%SystemRoot%\\system32\\easeofaccessdialog.exe"
  o    "%SystemRoot%\\syswow64\\easeofaccessdialog.exe"

•    Trojan.Multi.Accesstr.a.nr
  o    "%SystemRoot%\\system32\\narrator.exe"
  o    "%SystemRoot%\\syswow64\\narrator.exe"

Share this post


Link to post

Boa tarde Américo,

Obrigado pelos esclarecimentos, já havia uma suspeita que isso era um falso positivo que explora essa ferramenta de acessibilidade. Pensando nisso já até rodei o SFC /scannow porém o alerta do Kaspersky voltou. A unica solução seria a restauração manual de todos esses arquivos? 

 

Obrigado.

Share this post


Link to post

Baseado no nome da detecção, seria só este arquivo.

•    Trojan.Multi.Accesstr.a.sh
  o    "%SystemRoot%\\system32\\sethc.exe"
  o    "%SystemRoot%\\syswow64\\sethc.exe"

Share this post


Link to post

Teria que baixar esses dois arquivos e substitui-los na pasta de destino? 

Como se trata de arquivos executáveis todo cuidado é pouco, além de ter que ser uma fonte confiável também. Não teria nenhuma forma de resolver isso direto com o suporte da Kaspersky? 

 

Share this post


Link to post

Por se tratarem de arquivos do sistema operacional, eu acredito que não seria possível obter os arquivos originais a partir do suporte técnico da KL.

Acredito que seja mais viável você copiar de um outro computador na rede que não tenha o problema e tenha a mesma versão do Windows.

Share this post


Link to post
Posted (edited)

Americo,

Sim, aqui na rede da Empresa é padronizado o windows 7 para desktops. Estava pensando em reparar o sistema dos dois, porém vou criar um ponto de restauração e fazer o que você falou.

Obrigado pela ajuda. 

 

Edited by Bernardo

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.