Обнаружение Trojan.Multi.Accesstr [KES для Windows]

[Antipova Anna]

Дисклеймер. Обязательно к прочтению перед использованием материалов базы знаний Форума.

Обнаружение Trojan.Multi.Accesstr происходит, когда KES обнаруживает, что одна из утилит Windows в папке %systemroot%\system32 заменена на cmd.exe или powershell.exe. Список пораженных файлов приведен ниже.

Trojan.Multi.Accesstr object detected in System Memory Result: Untreated: Trojan.Multi.Accesstr.a Reason: Skipped

 

• Trojan.Multi.Accesstr.a.ok
  • "%SystemRoot%\\system32\\osk.exe"
  • "%SystemRoot%\\syswow64\\osk.exe"
• Trojan.Multi.Accesstr.a.mf
  • "%SystemRoot%\\system32\\magnify.exe"
  • "%SystemRoot%\\syswow64\\magnify.exe"
• Trojan.Multi.Accesstr.a.ds
  • "%SystemRoot%\\system32\\displayswitch.exe"
  • "%SystemRoot%\\syswow64\\displayswitch.exe"
• Trojan.Multi.Accesstr.a.ab
  • "%SystemRoot%\\system32\\atbroker.exe"
  • "%SystemRoot%\\syswow64\\atbroker.exe"
• Trojan.Multi.Accesstr.a.um
  • "%SystemRoot%\\system32\\utilman.exe"
  • "%SystemRoot%\\syswow64\\utilman.exe"
• Trojan.Multi.Accesstr.a.sh
  • "%SystemRoot%\\system32\\sethc.exe"
  • "%SystemRoot%\\syswow64\\sethc.exe"
• Trojan.Multi.Accesstr.a.ed
  • "%SystemRoot%\\system32\\easeofaccessdialog.exe"
  • "%SystemRoot%\\syswow64\\easeofaccessdialog.exe"
• Trojan.Multi.Accesstr.a.nr
  • "%SystemRoot%\\system32\\narrator.exe"
  • "%SystemRoot%\\syswow64\\narrator.exe"

После обнаружения атаки KES попытается восстановить исходные файлы путем поиска резервной копии файла на устройстве. Однако резервные копии этих файлов могут отсутствовать, поэтому, возможно, придется попытаться восстановить их вручную. Вот рекомендуемый способ восстановления:

1. Запустите команду sfc /scannow 
2. Если команда sfc не помогла восстановить файлы, попробуйте выполнить следующие действия:
   1. запустите инструмент DISM, выполнив команду DISM /Online /Cleanup-Image /RestoreHealth
   2. запустите sfc /scannow снова после завершения работы DISM.
3. Если все вышеперечисленное не помогло восстановить исходные файлы или эти инструменты по каким-то причинам недоступны, вы можете заменить файлы вручную, используя приведенный выше список.

Полную информацию об использовании DISM для восстановления ОС см. в соответствующей статье Microsoft Docs.