Возможное заражение трояном

[Asya 0]

Здравствуйте, уважаемые консультанты. Появилась необходимость обратиться к вам за советом. Очень надеюсь на вашу помощь. 
Ситуация следующая:
На смартфон в телеге было скачано два файла epub (электронные книги) из чата по англо-китайским книжкам. После, через соцсети файлы переброшены на ноутбук. 

27.09 - скачана первая книга. Проверка Kaspersky Security Cloud дала добро, и файл был открыт. 

20.10 - скачана вторая книга. Проверка Касперского - окей, но ещё закидываю файл на Virustotal - и вот тут обнаруживается единственное (1/64) срабатывание у китайского Kingsoft - пишет что в файле HTA trojan. Сразу удаляю файл и перепроверяю первую книгу - результат такой же, Kingsoft ругается, остальные антивирусы молчат.
Другие файлы, из того же чата, скачанные ранее - все целиком чистые, реакт есть только на те два файла.     

Я бы подумала на ложное срабатывание, но вдруг вспомнила, что:
15.10 - на мой номер телефона пришло смс с кодом верификации от китайского Wechat (которым не пользуюсь уже 10 лет) и который, естественно, не запрашивала. 

Плюсом последние несколько дней на одну из почт (моего основного гугл-аккаунта) сыпется нервирующий иностранный спам (раньше такого не было). 

Ноутбук проверяла своим Kaspersky Security Cloud, KVRT, Dr.Web Cureit - в них всё чисто, ничего не обнаруживается. 

 

И теперь сомневаюсь, то ли это просто совпадение, то ли мне попался какой-то хитрый китайский вирус, который ещё никто из антивирусов не видит. И где его теперь искать: на компьютере или на смартфоне (и вот с последним я вообще не знаю, что делать)? Не очень хочется думать, что какие-то китайцы таскают мои данные. 
Буду очень благодарна, если сможете помочь и подсказать, есть ли следы вирусной активности. Заранее спасибо за уделённое время. 

CollectionLog-2024.11.02-23.04.zip

[Sandor 1 303]

Здравствуйте!

 

Пока явных признаков заражения не видно.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[Asya 0]

Здравствуйте, спасибо, что откликнулись. Возможно, глупый вопрос, но лучше спрошу. Перед сканированием Farbar антивирус тоже выключать или не нужно?

[Sandor 1 303]

Да, желательно отключать до перезагрузки системы.

[Asya 0]

Брандмауэр тоже отключила. Возможно, напрасно(

Addition.txt FRST.txt

[Sandor 1 303]

Сделаем некоторую очистку мусорных записей реестра и временных файлов.

 

Примите к сведению - после выполнения скрипта (возможно) все открытые вкладки браузеров будут закрыты, произойдет выход из аккаунтов, временные файлы, корзина, история браузеров, куки и кэш будут очищены.

• Отключите до перезагрузки антивирус.
• Выделите следующий код:

  Start::
  CloseProcesses:
  SystemRestore: On
  CreateRestorePoint:
  HKU\S-1-5-21-3584496262-3865519469-2293511483-1001\...\Run: [movavi_suite_agent] => "C:\Users\zabub\AppData\Roaming\Movavi Video Suite 23\AgentInformer.exe" (Нет файла)
  Task: {325F3D42-676A-4AB0-9A32-106C346B579B} - \OneDrive Standalone Update Task-S-1-5-21-3964586304-2894556033-684470473-500 -> Нет файла <==== ВНИМАНИЕ
  Task: {35026029-F7FB-486F-B838-40F5DF7CF489} - \Repairing Yandex Browser update service -> Нет файла <==== ВНИМАНИЕ
  Task: {3E523053-E406-444A-8BB1-65055EB28200} - \System update for Yandex Browser -> Нет файла <==== ВНИМАНИЕ
  ExportKey: HKLM\SOFTWARE\Microsoft\Windows Defender\Exclusions
  EmptyTemp:
  Reboot:
  End::

   

• Скопируйте выделенный текст (правой кнопкой - Копировать).
• Запустите FRST (FRST64) от имени администратора.
• Нажмите Исправить (Fix) один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.

Компьютер будет перезагружен автоматически.

Подробнее читайте в этом руководстве.

[Asya 0]

Можно считать, что компьютер чист и менять пароли, не боясь, что они куда-нибудь утекут?

Fixlog.txt

[Sandor 1 303]

Так можно будет сказать после финальных шагов:

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

• Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
• Запустите из меню по щелчку правой кнопки мыши Запустить от имени администратора
• Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
• Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
• Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
• Прикрепите этот файл к своему следующему сообщению.

[Asya 0]

SecurityCheck.txt

[Sandor 1 303]

Обновите по возможности:

 

calibre 64bit v.6.14.1 Внимание! Скачать обновления
Yandex (All Users) v.24.10.1.598 Внимание! Скачать обновления
^Проверьте обновления через меню Дополнительно - О браузере Yandex!^
 

На заметку Рекомендации после удаления вредоносного ПО

 

При соблюдении этих несложных правил можно считать, что система защищена и пароли не утекут. По крайней мере по вине бреши в вашей системе.

[Asya 0]

Спасибо вам огромное! Программку SecurityCheck, как я понимаю, можно тоже просто удалить без деинсталлятора?

И можно ли в таком случае считать детект на Virustotal ложноположительным?  

[Sandor 1 303]

Вполне. Если среагировал только один вендор, чаще всего это ложное срабатывание.

Кстати, можете им об этом сообщить.

[Asya 0]

Хорошо, спасибо большое!