Подозрение на вирусы. Trojan.MulDrop19.6073

[Wooo]

Здравствуйте. После переустановки Виндоус была проведена полная проверка ноутбука с помощью Касперского и Dr. Web. Касперский выявил пару подозрительных файлов с расширением exe., которые впоследствии были удалены.
Дальше Dr. Web нашёл Trojan.MulDrop19.6073 в файле ACMON.exe по адресу Program files (x86)>ASUS>Splendid.
Загрузила файл ACMON на virustotal и он показал, что в ACMON есть Trojan.MulDrop19.6073.


                         
 

CollectionLog-2022.01.13-02.42.zip

[Wooo]

3 часа назад, Wooo сказал:

Здравствуйте. После переустановки Виндоус была проведена полная проверка ноутбука с помощью Касперского и Dr. Web. Касперский выявил пару подозрительных файлов с расширением exe., которые впоследствии были удалены.
Дальше Dr. Web нашёл Trojan.MulDrop19.6073 в файле ACMON.exe по адресу Program files (x86)>ASUS>Splendid.
Загрузила файл ACMON на virustotal и он показал, что в ACMON есть Trojan.MulDrop19.6073.


                         
 

CollectionLog-2022.01.13-02.42.zip 82.07 kB · 1 загрузка

Заодно проверила ноут AdwCleaner'ом и он тоже нашёл два подозрительных момента. Лог прикрепляю

AdwCleaner[S00].txt

[SQ]

Здравствуйте,

HiJackThis (из каталога autologger)профиксить
Важно: необходимо отметить и профиксить только то, что указано ниже.

O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{02433966-8A07-42BD-8DA3-75AB4A17F9F4} - \RtHDVBg_CTPreset (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0C518199-F01B-42CF-9CB7-16710B002812} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0C518199-F01B-42CF-9CB7-16710B002812} - \Microsoft\Windows\EnterpriseMgmt\MDMMaintenenceTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{15E9BC37-1BF4-46A7-81CB-A72763FD0C69} - \ATK Package 36D18D69AFC3 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{1774F68D-6CA7-43FD-AF02-48E2F8F3802B} - \NvDriverUpdateCheckDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{255EA88F-C45D-4D97-A0DD-2390C88F3F9A} - \ASUS\ASUS Product Register Service (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{293590E2-2867-414F-8E5C-D73800927023} - \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker_Display (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{42BB74D6-8A05-45B3-A415-D905094A4F6E} - \ASUS USB Charger Plus (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{464E7139-FF89-4668-8AFD-D601FE9AEB16} - \NvTmMon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{4B6926D3-D490-4D93-82CE-D109F1D1BC80} - \Microsoft\Windows\WindowsUpdate\sih (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5A90AAA7-7705-401D-9E99-24A32CD8182C} - \NvTmRep_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{5D81326C-D6EC-49A0-AAB5-D8A874E06E83} - \Microsoft\Windows\UpdateOrchestrator\Reboot (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7072963F-3763-4E9F-A1F5-DE9703BAE827} - \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7888CCE7-DCCD-4B6A-8E6F-705D5BC9D1D6} - \ATK Package A22126881260 (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7FFFDFD1-DF03-413B-9470-24FE85F8F923} - \Microsoft\Windows\UpdateOrchestrator\USO_UxBroker_ReadyToReboot (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{83AA2B2D-5F19-4349-87E2-3CA2B2442AD2} - \NvTmRepOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{879E57F8-BC2C-4782-8BFE-2E68E5ACD3A5} - \NVIDIA GeForce Experience SelfUpdate_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B035FCA9-7174-42A2-B2AB-A75AE54A2A9D} - \NvProfileUpdaterOnLogon_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B0A0402A-7568-462E-805E-122C511F1C09} - \NvProfileUpdaterDaily_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C240D828-2CFD-453E-81DF-346F1637EEAF} - \NvNodeLauncher_{B2FE1952-0186-46C3-BAEC-A80AA35AC5B8} (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C4D5D471-C5F6-4488-B0F9-4BD3888ABFB4} - \Intel PTT EK Recertification (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{D8FDBC7E-5D99-4DAE-8BEF-122C4CE7F53D} - \Update Checker (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{DD3F0343-561D-4C74-817E-6AAB436926BB} - \Microsoft\Windows\UpdateOrchestrator\Maintenance Install (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E9B03F67-CEC6-47D6-84C7-826103B24E95} - \Microsoft\Windows\UpdateOrchestrator\Policy Install (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{EAE0CCAB-7CC3-477F-8283-67D78DD611DC} - \Microsoft\Windows\UpdateOrchestrator\Combined Scan Download Install (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ASUSTek Computer Inc (empty)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Intel (empty)/span>

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

[Wooo]

9 часов назад, SQ сказал:

 

Скачайте программу Universal Virus Sniffer и сделайте полный образ автозапуска uVS.

Прикрепляю результаты по UV

DESKTOP-D9JBNUT_2022-01-13_17-59-58_v4.12.7z

[SQ]

Здравствуйте,

По возможности избегайте использование ПО сомнительной репутацей, как например следующего:
 

C:\USERS\JENYS\DESKTOP\RSTUDIO64 8.17.EXE

 

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.

1. Запустите программу двойным щелчком. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
2. Убедитесь, что под окном Optional Scan отмечены "List BCD" , "SigCheckExt" и "90 Days Files".

1. Нажмите кнопку Scan.
2. После окончания сканирования будет создан отчет (FRST.txt) в той же папке, откуда была запущена программа. Пожалуйста, прикрепите отчет в следующем сообщении.
3. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

[Wooo]

7 часов назад, SQ сказал:

 

1. Если программа была запущена в первый раз, будет создан отчет (Addition.txt). Пожалуйста, прикрепите его в следующем сообщении.

Пожалуйста. Прикрепляю два файла, которые появились в папке с программой.
 

Addition.txt FRST.txt

[SQ]

1. Закройте и сохраните все открытые приложения.
2. Выделите следующий код::

   Start::
   CMD: type C:\ProgramData\qlzflasl.nzw
   CMD: type C:\ProgramData\UpdateLock-D78BF5DD33499EC2
   Folder: C:\WINDOWS\system32\config\TxR
   File: C:\WINDOWS\SysWOW64\DLLDEV32i.dll
   End::

    

3. Скопируйте выделенный текст (правой кнопкой - Копировать).
4. Запустите FRST/FRST64 (от имени администратора).
5. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
6. Обратите внимание, что компьютер будет возможно перезагружен.

[Wooo]

5 часов назад, SQ сказал:

1.  
2. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt).
3. Обратите внимание, что компьютер будет возможно перезагружен.

Всё сделано. На этом всё? 
Я так понимаю, ничего необычного найдено не было?

Fixlog.txt

Изменено 14 января, 2022 пользователем Wooo

[SQ]

Здравствуйте,

Да, в логах не видно активного вредоносного ПО. Уточните пожалуйста, если что-то еще Вас беспокоит?

[Wooo]

 

17 часов назад, SQ сказал:

Здравствуйте,

Да, в логах не видно активного вредоносного ПО. Уточните пожалуйста, если что-то еще Вас беспокоит?

Иногда пропадает информация на диске D и его невозможно открыть, хотя в диспетчере дисков его прекрасно видно. На форумах прочитала, что это может быть вирус в теории.
Но я также проверила диск программой CrystalDiskInfo и там обнаружились битые сектора. Так что скорее всего причина в отмирании диска, раз ничего подозрительного не нашлось.

[SQ]

Что касается диска, то скорее всего проблема не вирусах, так как в системных событиях регистрируются много ошибок аппаратного характера.
 

Системные ошибки:
=============
Error: (01/14/2022 05:18:26 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:18:18 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:18:10 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:18:02 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:17:54 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:17:46 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:17:38 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (01/14/2022 05:17:30 AM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Касаемо ошибок такого рода, Вам лучше создать тему в компьютeрной помощи и по возможности перести данные c поврежденного диска, пока он не умер совсем.

Если нет больше вопросов, то выполните завершающие шаги:

 

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

 

Остальные утилиты лечения и папки можно просто удалить.

 

2. Проверьте уязвимые места и устаревшее критическое ПО: Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10)
Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
Прикрепите этот файл к своему следующему сообщению.