Перейти к содержанию

Подозрение на вирусы. Trojan.MulDrop19.6073


Рекомендуемые сообщения

Здравствуйте. После переустановки Виндоус была проведена полная проверка ноутбука с помощью Касперского и Dr. Web. Касперский выявил пару подозрительных файлов с расширением exe., которые впоследствии были удалены.
Дальше Dr. Web нашёл Trojan.MulDrop19.6073 в файле ACMON.exe по адресу Program files (x86)>ASUS>Splendid.
Загрузила файл ACMON на virustotal и он показал, что в ACMON есть Trojan.MulDrop19.6073.


                         

 

A.png

CollectionLog-2022.01.13-02.42.zip

Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, Wooo сказал:

Здравствуйте. После переустановки Виндоус была проведена полная проверка ноутбука с помощью Касперского и Dr. Web. Касперский выявил пару подозрительных файлов с расширением exe., которые впоследствии были удалены.
Дальше Dr. Web нашёл Trojan.MulDrop19.6073 в файле ACMON.exe по адресу Program files (x86)>ASUS>Splendid.
Загрузила файл ACMON на virustotal и он показал, что в ACMON есть Trojan.MulDrop19.6073.


                         

 

A.png

CollectionLog-2022.01.13-02.42.zip 82.07 kB · 1 загрузка

Заодно проверила ноут AdwCleaner'ом и он тоже нашёл два подозрительных момента. Лог прикрепляю

AdwCleaner[S00].txt

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{02433966-8A07-42BD-8DA3-75AB4A17F9F4} - \RtHDVBg_CTPreset (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0C518199-F01B-42CF-9CB7-16710B002812} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0C518199-F01B-42CF-9CB7-16710B002812} - \Microsoft\Windows\EnterpriseMgmt\MDMMaintenenceTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{15E9BC37-1BF4-46A7-81CB-A72763FD0C69} - \ATK Package 36D18D69AFC3 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1774F68D-6CA7-43FD-AF02-48E2F8F3802B} - \NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{255EA88F-C45D-4D97-A0DD-2390C88F3F9A} - \ASUS\ASUS Product Register Service (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{293590E2-2867-414F-8E5C-D73800927023} - \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker_Display (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{42BB74D6-8A05-45B3-A415-D905094A4F6E} - \ASUS USB Charger Plus (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{464E7139-FF89-4668-8AFD-D601FE9AEB16} - \NvTmMon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4B6926D3-D490-4D93-82CE-D109F1D1BC80} - \Microsoft\Windows\WindowsUpdate\sih (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5A90AAA7-7705-401D-9E99-24A32CD8182C} - \NvTmRep_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5D81326C-D6EC-49A0-AAB5-D8A874E06E83} - \Microsoft\Windows\UpdateOrchestrator\Reboot (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7072963F-3763-4E9F-A1F5-DE9703BAE827} - \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7888CCE7-DCCD-4B6A-8E6F-705D5BC9D1D6} - \ATK Package A22126881260 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7FFFDFD1-DF03-413B-9470-24FE85F8F923} - \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker_ReadyToReboot (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{83AA2B2D-5F19-4349-87E2-3CA2B2442AD2} - \NvTmRepOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{879E57F8-BC2C-4782-8BFE-2E68E5ACD3A5} - \NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B035FCA9-7174-42A2-B2AB-A75AE54A2A9D} - \NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B0A0402A-7568-462E-805E-122C511F1C09} - \NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C240D828-2CFD-453E-81DF-346F1637EEAF} - \NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C4D5D471-C5F6-4488-B0F9-4BD3888ABFB4} - \Intel PTT EK Recertification (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D8FDBC7E-5D99-4DAE-8BEF-122C4CE7F53D} - \Update Checker (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DD3F0343-561D-4C74-817E-6AAB436926BB} - \Microsoft\Windows\UpdateOrchestrator\Maintenance Install (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E9B03F67-CEC6-47D6-84C7-826103B24E95} - \Microsoft\Windows\UpdateOrchestrator\Policy Install (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EAE0CCAB-7CC3-477F-8283-67D78DD611DC} - \Microsoft\Windows\UpdateOrchestrator\Combined Scan Download Install (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ASUSTek Computer Inc (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Intel (empty)/span>

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Ссылка на сообщение
Поделиться на другие сайты
9 часов назад, SQ сказал:

Прикрепляю результаты по UV

DESKTOP-D9JBNUT_2022-01-13_17-59-58_v4.12.7z

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

По возможности избегайте использование ПО сомнительной репутацей, как например следующего:
 

C:\USERS\JENYS\DESKTOP\RSTUDIO64 8.17.EXE

 


Скачайте Farbar Recovery Scan Tool NAAC5Ba.png и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

  1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
  2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

FRST.png

  1. Нажмите кнопку Scan.
  2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
  3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.
Ссылка на сообщение
Поделиться на другие сайты
7 часов назад, SQ сказал:

 

  1. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.


Пожалуйста. Прикрепляю два файла, которые появились в папке с программой.
 

Addition.txt FRST.txt

Ссылка на сообщение
Поделиться на другие сайты
  1. Закройте и сохраните все открытые приложения.
  2. Выделите следующий код::
    Start::
    CMD: type C:\ProgramData\qlzflasl.nzw
    CMD: type C:\ProgramData\UpdateLock-D78BF5DD33499EC2
    Folder: C:\WINDOWS\system32\config\TxR
    File: C:\WINDOWS\SysWOW64\DLLDEV32i.dll
    End::

     

  3. Скопируйте выделенный текст (правой кнопкой - Копировать).
  4. Запустите FRST/FRST64 (от имени администратора).
  5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  6. Обратите внимание, что компьютер будет возможно перезагружен.
Ссылка на сообщение
Поделиться на другие сайты
5 часов назад, SQ сказал:
  1.  
  2. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
  3. Обратите внимание, что компьютер будет возможно перезагружен.


Всё сделано. На этом всё? 
Я так понимаю, ничего необычного найдено не было?

Fixlog.txt

Изменено пользователем Wooo
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте,

Да, в логах не видно активного вредоносного ПО. Уточните пожалуйста, если что-то еще Вас беспокоит?

Ссылка на сообщение
Поделиться на другие сайты

 

17 часов назад, SQ сказал:

Здравствуйте,

Да, в логах не видно активного вредоносного ПО. Уточните пожалуйста, если что-то еще Вас беспокоит?


Иногда пропадает информация на диске D и его невозможно открыть, хотя в диспетчере дисков его прекрасно видно. На форумах прочитала, что это может быть вирус в теории.
Но я также проверила диск программой CrystalDiskInfo и там обнаружились битые сектора. Так что скорее всего причина в отмирании диска, раз ничего подозрительного не нашлось.

photo_2022-01-14_02-33-29.jpg

Ссылка на сообщение
Поделиться на другие сайты

Что касается диска, то скорее всего проблема не вирусах, так как в системных событиях регистрируются много ошибок аппаратного характера.
 


Системные ошибки:
=============
Error: (01/14/2022 05:18:26 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:18:18 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:18:10 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:18:02 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:17:54 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:17:46 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:17:38 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:17:30 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Касаемо ошибок такого рода, Вам лучше создать тему в компьютeрной помощи и по возможности перести данные c поврежденного диска, пока он не умер совсем.

Если нет больше вопросов, то выполните завершающие шаги:

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Проверьте уязвимые места и устаревшее критическое ПО: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KZMZ
      От KZMZ
      Зависает местами прошу проверить логи на подозрительное
      CollectionLog-2022.01.18-11.05.zip
    • ignatknyazzef
      От ignatknyazzef
      Здравствуйте. Мой антивирус Kaspersky Free находит вирус, или же троян MEM:Trojan.Win32.SEPEH.gen. После лечения с перезагрузкой антивирус находит его вновь. 
      CollectionLog-2022.01.09-14.00.zip
    • Elly
      От Elly
      Друзья!
       
      «Лаборатория Касперского» - международная компания, которая ставит своей целью построить безопасный мир. Основная задача компании - обнаружить и нейтрализовать все виды киберугроз независимо от их цели или происхождения.

      Одним из видов киберугроз являются компьютерные вирусы, история развития которых насчитывает уже почти 40 лет.
      Мы предлагаем вашему вниманию викторину по истории создания компьютерных вирусов и масштабным эпидемиям, состоящую из 15 вопросов.
      Вся необходимая информация для успешного прохождения викторины может быть найдена в сети Интернет.
       
      НАГРАЖДЕНИЕ
      Без ошибок — 1500 баллов Одна ошибка — 1200 баллов Две ошибки — 900 баллов Три ошибки —  600 баллов   
      ПРАВИЛА ПРОВЕДЕНИЯ

      Викторина проводится до 20:00 03.12.2021 года (время московское).
      Правильные ответы будут опубликованы не позднее 10 дней с момента окончания викторины. Публичное обсуждение вопросов и ответов викторины запрещено. Итоги будут подведены в течение десяти дней с момента публикации правильных ответов. Баллы будут начислены в течение двадцати дней с момента опубликования итогов викторины.
      Все вопросы, связанные с корректностью проведения викторины, необходимо отправлять пользователю @Elly (пользователей @andrew75 и @kmscom включать в копию адресатов) через систему личных сообщений с подробным описанием ситуации. Ответ будет дан коллегиальным решением организаторов викторины и дальнейшего обсуждения не предполагает.
      Вопросы по начислению баллов направлять пользователю @Ellyчерез систему личных сообщений.
      Вопросы по викторине принимаются только через личные сообщения в течение срока проведения викторины и не позднее трёх дней после публикации ответов (время московское). Ответы направляются представителем от организаторов викторины через личные сообщения в рамках созданной переписки.

      Администрация, официально уведомив, может в любой момент внести изменения в правила викторины, перезапустить или вовсе прекратить её проведение, а также отказать участнику в получении приза в случае выявления фактов его недобросовестного участия в ней и/или нарушения правил викторины. При ответе на вопросы викторины настоятельно рекомендуется не использовать анонимайзеры и другие технические средства для намеренного сокрытия реального IP-адреса.

      Любые вопросы, связанные с викториной, в том числе и по начислению баллов, принимаются в течение 30 дней с момента подведения её итогов. Викторина является собственностью клуба «Лаборатории Касперского», её использование на сторонних ресурсах без разрешения администрации клуба запрещено.

      Участие в викторине означает безоговорочное согласие с настоящими правилами. Для перехода к вопросам викторины нажмите ЗДЕСЬ.
       
      Желаем успехов всем участникам!
    • Elly
    • R31D3N
      От R31D3N
      Добрый день!
      Наблюдаю следующую картину в списке "Разрешенных угроз"
      Все что мог, почистил через Malwarebytes
      При попытке нажать "Не разрешать" снова появляются эти файлы
       
       
       

×
×
  • Создать...