Перейти к содержанию

Подозрение на вирусы. Trojan.MulDrop19.6073


Рекомендуемые сообщения

Здравствуйте. После переустановки Виндоус была проведена полная проверка ноутбука с помощью Касперского и Dr. Web. Касперский выявил пару подозрительных файлов с расширением exe., которые впоследствии были удалены.
Дальше Dr. Web нашёл Trojan.MulDrop19.6073 в файле ACMON.exe по адресу Program files (x86)>ASUS>Splendid.
Загрузила файл ACMON на virustotal и он показал, что в ACMON есть Trojan.MulDrop19.6073.


                         

 

A.png

CollectionLog-2022.01.13-02.42.zip

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Wooo сказал:

Здравствуйте. После переустановки Виндоус была проведена полная проверка ноутбука с помощью Касперского и Dr. Web. Касперский выявил пару подозрительных файлов с расширением exe., которые впоследствии были удалены.
Дальше Dr. Web нашёл Trojan.MulDrop19.6073 в файле ACMON.exe по адресу Program files (x86)>ASUS>Splendid.
Загрузила файл ACMON на virustotal и он показал, что в ACMON есть Trojan.MulDrop19.6073.


                         

 

A.png

CollectionLog-2022.01.13-02.42.zip 82.07 kB · 1 загрузка

Заодно проверила ноут AdwCleaner'ом и он тоже нашёл два подозрительных момента. Лог прикрепляю

AdwCleaner[S00].txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{02433966-8A07-42BD-8DA3-75AB4A17F9F4} - \RtHDVBg_CTPreset (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0C518199-F01B-42CF-9CB7-16710B002812} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0C518199-F01B-42CF-9CB7-16710B002812} - \Microsoft\Windows\EnterpriseMgmt\MDMMaintenenceTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{15E9BC37-1BF4-46A7-81CB-A72763FD0C69} - \ATK Package 36D18D69AFC3 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1774F68D-6CA7-43FD-AF02-48E2F8F3802B} - \NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{255EA88F-C45D-4D97-A0DD-2390C88F3F9A} - \ASUS\ASUS Product Register Service (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{293590E2-2867-414F-8E5C-D73800927023} - \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker_Display (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{42BB74D6-8A05-45B3-A415-D905094A4F6E} - \ASUS USB Charger Plus (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{464E7139-FF89-4668-8AFD-D601FE9AEB16} - \NvTmMon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4B6926D3-D490-4D93-82CE-D109F1D1BC80} - \Microsoft\Windows\WindowsUpdate\sih (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5A90AAA7-7705-401D-9E99-24A32CD8182C} - \NvTmRep_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5D81326C-D6EC-49A0-AAB5-D8A874E06E83} - \Microsoft\Windows\UpdateOrchestrator\Reboot (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7072963F-3763-4E9F-A1F5-DE9703BAE827} - \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7888CCE7-DCCD-4B6A-8E6F-705D5BC9D1D6} - \ATK Package A22126881260 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7FFFDFD1-DF03-413B-9470-24FE85F8F923} - \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker_ReadyToReboot (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{83AA2B2D-5F19-4349-87E2-3CA2B2442AD2} - \NvTmRepOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{879E57F8-BC2C-4782-8BFE-2E68E5ACD3A5} - \NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B035FCA9-7174-42A2-B2AB-A75AE54A2A9D} - \NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B0A0402A-7568-462E-805E-122C511F1C09} - \NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C240D828-2CFD-453E-81DF-346F1637EEAF} - \NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C4D5D471-C5F6-4488-B0F9-4BD3888ABFB4} - \Intel PTT EK Recertification (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D8FDBC7E-5D99-4DAE-8BEF-122C4CE7F53D} - \Update Checker (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DD3F0343-561D-4C74-817E-6AAB436926BB} - \Microsoft\Windows\UpdateOrchestrator\Maintenance Install (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E9B03F67-CEC6-47D6-84C7-826103B24E95} - \Microsoft\Windows\UpdateOrchestrator\Policy Install (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EAE0CCAB-7CC3-477F-8283-67D78DD611DC} - \Microsoft\Windows\UpdateOrchestrator\Combined Scan Download Install (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ASUSTek Computer Inc (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Intel (empty)/span>

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Ссылка на сообщение
Поделиться на другие сайты
9 часов назад, SQ сказал:

Прикрепляю результаты по UV

DESKTOP-D9JBNUT_2022-01-13_17-59-58_v4.12.7z

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

По возможности избегайте использование ПО сомнительной репутацей, как например следующего:
 

C:\USERS\JENYS\DESKTOP\RSTUDIO64 8.17.EXE

 


Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
7 часов назад, SQ сказал:

 

  1. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


Пожалуйста. Прикрепляю два файла, которые появились в папке с программой.
 

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код::
    Start::
    CMD: type C:\ProgramData\qlzflasl.nzw
    CMD: type C:\ProgramData\UpdateLock-D78BF5DD33499EC2
    Folder: C:\WINDOWS\system32\config\TxR
    File: C:\WINDOWS\SysWOW64\DLLDEV32i.dll
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.
Ссылка на сообщение
Поделиться на другие сайты
5 часов назад, SQ сказал:
  1.  
  2. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  3. Обратите внимание, что компьютер будет возможно перезагружен.


Всё сделано. На этом всё? 
Я так понимаю, ничего необычного найдено не было?

Fixlog.txt

Изменено пользователем Wooo
Ссылка на сообщение
Поделиться на другие сайты

 

17 часов назад, SQ сказал:

Здравствуйте,

Да, в логах не видно активного вредоносного ПО. Уточните пожалуйста, если что-то еще Вас беспокоит?


Иногда пропадает информация на диске D и его невозможно открыть, хотя в диспетчере дисков его прекрасно видно. На форумах прочитала, что это может быть вирус в теории.
Но я также проверила диск программой CrystalDiskInfo и там обнаружились битые сектора. Так что скорее всего причина в отмирании диска, раз ничего подозрительного не нашлось.

photo_2022-01-14_02-33-29.jpg

Ссылка на сообщение
Поделиться на другие сайты

Что касается диска, то скорее всего проблема не вирусах, так как в системных событиях регистрируются много ошибок аппаратного характера.
 


Системные ошибки:
=============
Error: (01/14/2022 05:18:26 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:18:18 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:18:10 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:18:02 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:17:54 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:17:46 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:17:38 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:17:30 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Касаемо ошибок такого рода, Вам лучше создать тему в компьютeрной помощи и по возможности перести данные c поврежденного диска, пока он не умер совсем.

Если нет больше вопросов, то выполните завершающие шаги:

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Проверьте уязвимые места и устаревшее критическое ПО: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • PuCan
      От PuCan
      Предыстория:

      Две недели назад в браузере Mozila Firefox при запуске системы начал открываться сайт dipladoks.org
      Меня это не сильно беспокоило, поэтому я отложил решение данной проблемы на эти самые две недели. 
      Спустя две недели я решил эту проблему, отключив процесс всплытия данного сайта при загрузке.
      Просканировал систему защитником Windows (полное сканирование) - он ничего не нашёл.
      Решил почистить Dr.Web Curelt! и Adwcleaner - они нашли трояны и майнеры. 
      Вскоре я решил запустить программу Malwarebytes - он установился, но значка на ярлыке нет. При попытке запуска высвечивается Explorer.exe "Не удаётся получить доступ к объекту, на который ссылается этот ярылк. Отсутствуют необходимые разрешения." При попытке узнать расположение данной программы по ярлыку высвечивается тоже самое и открывается проводник по пути Этот компьютер - Windows (C:) - Пользователи - Общие - Общий рабочий стол - Данный ярлык
      Пробовал переустанавливать эту программу - устанавливает, но на рабочем столе тот же ярлык без значка. Я пробовал установку без интернета - установщик прерывался где-то на середине. Пробовал установить Malwarebytes с других носителей, изменяя название установщика, добавляя различные расширения в названии (так советовали в интернете) - бесполезно.
      MalwareBytes нельзя удалить - так как при удалении через меню  пуск выясняется, что программа уже удалена и предлагается только исключить программу из списка компонентов - такая вот ошибка.
      Потом я обновил Windows ( не версию, просто обновления) в надежде на то, что защитник сможет вычислить что это вредит. Но нет, в дальнейшем он также перестал находить что-то.
      Так как я не знал, что делать, то решил откатить ПК к исходному состоянию, удалив всё и установив ОС заново. Однако всплыло окно "Возникла проблема с возвратом компьютера в исходное состояние. Не было выполнено никаких изменений"
      Ознакомился с правилами на данном форуме и вот что я сделал:
      Проверка ПК
      KVRT (Скриншот результата) - https://ibb.co/YZZCJsn
      KVRT (Скриншот того, что нашёл в карантине) - https://ibb.co/wBxf14z
      Dr.Web Curelt! (Скриншот результата) - https://ibb.co/p44cwXK - всё найденное переместил в карантин
       
      Дальше я не стал скачивать и запускать автоматический сборщик логов, так как я не могу выполнить обязательное условие - отключение антивируса. Прям вот совсем недавно оказывается что-то вытеснило мой защитник Windows и начало работать под видом антивируса MalwareBytes (На скриншоте видно - https://ibb.co/gWG759R ) - "открыть приложение" не работает и я не знаю как это отключить.

      Что мне делать теперь? До того, как я пришёл на форум я запускал вышеописанные программы - они находили и трояны, и биткоин майнеры, и шпионы за клавиатурой, и программы для показа рекламы, в общем полный винегрет. И всё потому, что я всё это время доверял защитнику Windows, который, как оказалось, не такой уж и полезный.

      У меня Windows 10.
       
    • vikingjumala
      От vikingjumala
      Добрый день, в процессе установки касперского возникла ошибка 1303
      AutoLogger не создает архива логами
      Система 64 разрядная, win 10 корпоративная
    • Айдос
      От Айдос
      ПК домашний, для просмотора ютуба, игр со стима и учёбы, начал очень сильно тормозить, при загрузке и отключении, выходит надпись подождите, скорее всего заражен руткитами, вылетает с игр, память и цп бывают загружены очень сильно.
      Майнер RobotDemo.exe находится по адресу: C:\ProgramData\RobotDemo . Приходится его удалять при каждом запуске винды.
      Разрешённые угрозы каждый раз появляются снова. 
      Стоит служба удаленного рабочего стола не знаю как отключить.  
      Также в диспетчере задач Runtime broker и другие подозрительные по, после их снятия снова появляются, а некоторые невозможно снять, т.к. недостаточно прав.
      Ccleaner не может исправить ошибку реестера, скрин прилагается, возможно поможет в решении вопроса.
      Заранее благодарю за помощь.



      CollectionLog-2022.04.14-15.33.zip
    • lolich25
      От lolich25
      Привет. начал лагать комп, озу стало не хватать - видно в диспетчере. загрузился с флешки в KRD. он не может удалить найденные объекты.
      CollectionLog-2022.01.24-15.43.zip
    • KZMZ
      От KZMZ
      Зависает местами прошу проверить логи на подозрительное
      CollectionLog-2022.01.18-11.05.zip
×
×
  • Создать...