[РЕШЕНО] Обнаружил у себя Trojan.MulDrop22.16822

[ise29]

Дней 7 назад обнаружил, что во первых запуск пк сильно замедлился, очень долго в биосе грузится, потом экран "добро пожаловать" тоже около 30 сек (раньше запускался в сумме за секунд 10). Во вторых после прогрузки все висит достаточно долгое время. Открыв диспетчер я обнаружил, что мой локальный диск в сотне перманентно. Если открываю диспетчер - нагрузка на диск падает до нуля и остается такой, все работает нормально дальше, проблем не замечал в работе пк. Так же заметил в диспетчере кучу svchost.exe, штук 30 запущенных. Запущены в том числе и от самого пользователя, не только от системы нетворка и локал сервиса.
При сканировании пк DR WEB'ом локального диска С он обнаружил Trojan.MulDrop22.16822 в файле svchost.exe. Насколько я понимаю это просто вспомогательный файл для других вирусов, очень хотелось бы от них избавиться, если они есть. Днем ранее была попытка взлома стим-аккаунта. Есть подозрения на клиппер или еще что. 
Защитник видоус ничего не находит. 

CollectionLog-2024.11.21-15.24.zip

[Sandor]

Здравствуйте!

 

53 минуты назад, ise29 сказал:

При сканировании пк DR WEB'ом локального диска С он обнаружил Trojan.MulDrop22.16822

Его отчёт Cureit.log упакуйте в архив и прикрепите к следующему сообщению.

 

Дополнительно:

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

[ise29]

Вот отчеты с  Farbar Recovery Scan Tool.
С dr web'а не могу, там архив с файлом как бы я не сжимал чуть больше 5MB выходит. Сам файл с логом весит 117MB. Подскажите, как его отправить?

Addition.txt FRST.txt

[Sandor]

Загрузите на файлообменник (или на облако) и ссылку на скачивание дайте здесь.

Дополнительно, пожалуйста:

• Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      
• Скачайте Universal Virus Sniffer (uVS)
• Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
• Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
• Дождитесь окончания работы программы и прикрепите лог к сообщению в теме.

Подробнее читайте в руководстве Как подготовить лог UVS.
 

[ise29]

Cureit.log: https://drive.google.com/file/d/16n-9SAqQAYS8kIOL4hbbikeos12aEvLG/view?usp=sharing

 

FOMALHAUT_2024-11-21_17-46-29_v4.99.1v x64.7z

[safety]

Выполните скрипт очистки в uVS

Выполните скрипт очистки в uVS

Выполните в uVS скрипт из буфера обмена.

ЗАпускаем start,exe от имени Администратора (если не запущен)

текущий пользователь,

Копируем скрипт ниже из браузера в буфер обмена. Закрываем браузер.

В главном меню uVS выбираем: "Скрипт - выполнить скрипт из буфера обмена"

Скрипт автоматически очистит систему и выполнит перезагрузку системы.

;uVS v4.99.4v x64 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DLDGPJDIADOMHINPIMGCHMEEMBBGOJNJK%26INSTALLSOURCE%3DONDEMAND%26UC
delref HTTPS://F.A.K/E
apply

regt 27
deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\ASUS\GPUTWEAKIII\GPU TWEAK III.EXE
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref E:\PROGRAMS\7-ZIP\7-ZIP.DLL
delref E:\PROGRAMS\7-ZIP\7-ZIP32.DLL
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref E:\RED.DEAD.REDEMPTION.2.ULTIMATE.EDITION.RGL.RIP-INSANERAMZES
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref E:\PROGRAMS\SHUM\BIAS SOUNDSOAP PRO.EXE
delref %Sys32%\BLANK.HTM
delref %SystemDrive%\USERS\FOMALHAUT\APPDATA\ROAMING\YANDEX\YANDEXDISK\YANDEXDISKOVERLAYS-2398.DLL
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref %SystemRoot%\TEMP\CPUZ152\CPUZ152_X64.SYS
delref E:\PROGRAMS\GOG GALAXY\GALAXYCLIENTSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MSI\MSI CENTER\CASE\MSI_CASE_SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MSI\MSI CENTER\MSI_CENTRAL_SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MSI\MSI CENTER\VOICE CONTROL\VOICECONTROL_SERVICE.EXE
delref E:\PROGRAMS\PRIO\PRIO_SVC.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RAZER\RAZER SERVICES\GMS\GAMEMANAGERSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RAZER\SYNAPSE3\SERVICE\RAZER SYNAPSE SERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RAZER\RAZER SERVICES\RAZER CENTRAL\RAZERCENTRALSERVICE.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\RAZER\SYNAPSE3\WPFUI\FRAMEWORK\RAZER SYNAPSE 3 HOST\RAZER SYNAPSE 3.EXE
delref F:\INSTALL MEGAFON INTERNET.EXE
delref H:\HISUITEDOWNLOADER.EXE
delref G:\HISUITEDOWNLOADER.EXE
delref F:\HISUITEDOWNLOADER.EXE
delref E:\PROGRAMS\RAIDERIO\RAIDERIO.EXE
delref %SystemDrive%\USERS\FOMALHAUT\APPDATA\ROAMING\BITTORRENT WEB\BTWEB.EXE
delref F:\PROGRAMS\WARCRAFT LOGS UPLOADER\WARCRAFT LOGS UPLOADER.EXE --RUN-ON-STARTUP
delref E:\PROGRAMS\PLANETVPN\PLANETVPN.EXE
delref %SystemDrive%\USERS\FOMALHAUT\APPDATA\LOCAL\PROGRAMS\SIRUS-OPEN-LAUNCHER\RESOURCES\APP.ASAR.UNPACKED\NODE_MODULES\NODE-NOTIFIER\VENDOR\SNORETOAST\SNORETOAST.EXE
delref E:\PROGRAMS\TELEGRAM DESKTOP\TELEGRAM.EXE
delref X:\HOYOPLAY\LAUNCHER.EXE
delref X:\HOYOPLAY\UNINSTALL.EXE
delref E:\PROGRAMS\LAGOFAST\UNINSTALL.EXE
delref E:\1. GAMES\GTA 4\MODMANAGER UNINSTALLERS\UNINSTALL-[CARS-COMET]-191378-BMW-M3-E46-ST-R.EXE
delref E:\1. GAMES\GTA 4\MODMANAGER UNINSTALLERS\UNINSTALL-[CARS-COQUETTE]-161920-DELOREAN-DMC-12-BS.EXE
delref E:\1. GAMES\GTA 4\MODMANAGER UNINSTALLERS\UNINSTALL-[CARS-HUNTLEY SPORT]-30524-RANGE-ROVER-SPORT-AUTOBIOGRAPHY-2013-VOSSEN.EXE
delref E:\1. GAMES\GTA 4\MODMANAGER UNINSTALLERS\UNINSTALL-[CARS-INTRUDER]-125028-TOYOTA-CHASER-V10.EXE
delref E:\1. GAMES\GTA 4\MODMANAGER UNINSTALLERS\UNINSTALL-[CARS-SULTAN]-131063-AUDI-A8-G-STYLE.EXE
delref E:\1. GAMES\GTA 4\MODMANAGER UNINSTALLERS\UNINSTALL-[MODS]-165742-GTAV-WEAPON-HUD-NEXT-GEN-STYLE.EXE
delref E:\1. GAMES\GTA 4\MODMANAGER UNINSTALLERS\UNINSTALL-[MODS]-179095-IV-NUDLE-MAPS-RADAR-STYLE.EXE
delref E:\1. GAMES\GTA 4\MODMANAGER UNINSTALLERS\UNINSTALL-[MODS]-193181-REALISM-TRAFFIC-PEDESTRIAN-MINI-MOD.EXE
delref E:\PROGRAMS\OVERWOLF\OVERWOLFLAUNCHER.EXE
delref E:\PROGRAMS\SCREEN CAPTURE\UNINSTALLER.EXE
delref E:\PROGRAMS\UBISOFT GAME LAUNCHER\UBISOFTCONNECT.EXE
delref E:\PROGRAMS\UBISOFT GAME LAUNCHER\UNINSTALL.EXE
delref E:\PROGRAMS\UBISOFT GAME LAUNCHER\UPLAY.EXE
;-------------------------------------------------------------

restart

после перезагрузки системы.

Добавьте файл дата_времяlog.txt из папки откуда запускали uVS

Напишите по состоянию системы после выполнения скрипта очистки

[ise29]

прикрепляю лог, особо ничего не изменилось, все почти так же висит сильно после запуска, пока с горем пополам не открою диспетчер, только после этого нагрузка на диск C падает со 100 до 0 и держится так (по крайней мере пока открыт диспетчер)

2024-11-22_11-04-04_log.txt

[safety]

Попробуйте  еще в KVRT проверить систему. обратите внимание на процессы, которые максимально нагружают процессор.

 

Это что у вас?

KVRT наверняка обнаружит SEPEH.gen

 

(!) Процесс нагружает CPU: Q:\WORLD OF WARCRAFT\_RETAIL_\WOW.EXE

(!) Процесс нагружает GPU 1: Q:\WORLD OF WARCRAFT\_RETAIL_\WOW.EXE

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе Q:\WORLD OF WARCRAFT\_RETAIL_\WOW.EXE [16640], tid=16976

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе Q:\WORLD OF WARCRAFT\_RETAIL_\WOW.EXE [16640], tid=17412

----------

Родительский процесс для WOW.exe неизвестен.

 

Имеет смысл создать образ автозавпуска с отслеживанием процессов и задач.

Как это сделать:

Запускаете uVS через start.exe (от имени Администратора) - текущий пользователь - Главное меню- Дополнительно - выполнить твик 39,

Перегружаете систему,

и далее, создаем образ автозапуска по инструкции выше (для создания образа автозапуска)

Образ автозапуска прикрепите в вашему сообщению.

Изменено 22 ноября пользователем safety

[ise29]

Цитата

Попробуйте  еще в KVRT проверить систему. обратите внимание на процессы, которые максимально нагружают процессор.

 

Это что у вас?

KVRT наверняка обнаружит SEPEH.gen

что конкретно включать в проверке касперским? К примеру, когда я делал общую проверку DR WEB'ом (просто как обычно, не выбирая ничего нажал на проверку), он ничего не нашел, но когда я сделал проверку конкретно диска С, только тогда он нашел Trojan.MulDrop22.16822

 

Цитата

(!) Процесс нагружает CPU: Q:\WORLD OF WARCRAFT\_RETAIL_\WOW.EXE

(!) Процесс нагружает GPU 1: Q:\WORLD OF WARCRAFT\_RETAIL_\WOW.EXE

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе Q:\WORLD OF WARCRAFT\_RETAIL_\WOW.EXE [16640], tid=16976

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе Q:\WORLD OF WARCRAFT\_RETAIL_\WOW.EXE [16640], tid=17412

видимо, это была запущена игра во время того что я делал
 

Цитата

Имеет смысл создать образ автозавпуска с отслеживанием процессов и задач.

Как это сделать:

Запускаете uVS через start.exe (от имени Администратора) - текущий пользователь - Главное меню- Дополнительно - выполнить твик 39,

Перегружаете систему,

и далее, создаем образ автозапуска по инструкции выше (для создания образа автозапуска)

Образ автозапуска прикрепите в вашему сообщению.

прикрепляю
 

 

FOMALHAUT_2024-11-22_19-32-15_v4.99.1v x64.7z

 

upd.

 

Цитата

обратите внимание на процессы, которые максимально нагружают процессор.

насколько я смотрел в диспетчере, который я запускаю после включения пк, процессор на нуле практически, процентов 10 может, и процессов нет странных, которые могли бы его нагружать. Также смотрел и сильно позже, в течение нескольких часов (тк диспетчер у меня включен постоянно), на процессор никакой подозрительной нагрузки не идет, никаких процессов подозрительных тоже нет.
По поводу диска С, кстати говоря, тоже не вижу никаких процессов, сильно нагружающих его (когда сортирую по нагрузке на диск) в то время когда диск 100%. Просто уточняю

[safety]

Хорошо, только не надо избыточно цитировать.

Можно было сделать быструю проверку в KVRT, чтобы проверить если ли детекты MEM или нет.

Новый образ  сейчас проверю.

 

Это приложение не запускали перед созданием нового образа?

Q:\WORLD OF WARCRAFT\_RETAIL_\WOW.EXE

Судя по предыдущему образу, проблема была именно в нем. Именно это приложение нагружает CPU. GPU,  и процесс содержит множество внедренных потоков.

Изменено 23 ноября пользователем safety

[ise29]

Сделал проверку в KVRT, нашел троян дроппер. Удалил его. Еще он нашел подозрительные файлы в программах zapret и goodbye.dpi, они нужны для обхода блокировок ютуба и дискорда в настоящее время. Их сам касперский предложил пропустить. Могу скинуть лог, если подскажете где лежит этот текстовый файл

По поводу приложения  - да. Это игра, она была запущена перед созданием нового образа или даже во время него. В ней я уверен, да и проблем с нагрузкой цпу и гпу в простое, когда ничего не запущенно у меня нет. Только с диском.

[safety]

В новом образе я не увидел этот файл. Нет процесса, соответственно, нет и потоков, и родительский процесс неизвестный в предыдущем образе, так же не определен.

 

 

По проблеме с диском, попробуйте выполнить проверку chkdsk /f

[ise29]

А лог с проверки KVRT не нужен?

вот по поводу проверки диска, не могу. Запустить проверку при перезагрузке?

[safety]

да, системный диск проверяется только при перезагрузке системы. KVRT сделайте позже, после проверки chkdsk

[ise29]

написало что будет выполнена проверка при следующей перезагрузке, я перезагрузил. Ничего не вылезало, никаких окон. Как понять, что проверка выполнена?