БАНКОВСКИЙ ТРОЯНЕЦ

Добрый день! Прислали на почту ZIP архив с EXCEL файлом, Архив был запаролен, пароль был в письме, по незнанию открыли архив и запустили файл. Встроенный антивирус Windows Defender автоматом обнаружил TrojanDownloader:O97M/Emotet.BOR!MTB. Несколько раз делал проверку Dr. WEB Curelt, он нашел в первый раз какие то вирусы полечил их и сейчас показывает, что все чисто. Вроде больше никаких жалоб на ноутбук нет, но все равно страшновато потерять данные, пароли и т.д. так как по описанию этот банковский троян может оставаться в системе незамеченым и качать на ноут новые вирусы. Прошу проверить логи на предмет присутствия вируса в системе.

Уважаемый(ая) [B]Nikkol[/B], спасибо за обращение на наш форум!

Помощь при заражении компьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в [URL="https://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

[INFORMATION]Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом [URL="https://virusinfo.info/content.php?r=613-sub_pomogite"]Помогите+[/URL].[/INFORMATION]

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста, [URL="https://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

Скачайте, распакуйте и запустите [url=http://virusinfo.info/soft/tool.php?tool=ClearLNK]утилиту ClearLNK[/url]. Скопируйте текст ниже в окно утилиты и нажмите "[B]Лечить[/B]".[CODE]>>> "C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Lavasoft\WebCompanion\Web Companion.lnk" -> ["C:\Program Files (x86)\Lavasoft\Web Companion\Application\WebCompanion.exe" =>> --startmenu][/CODE]Отчёт о работе прикрепите.

Запустите HijackThis, расположенный в папке Autologger и [url="http://virusinfo.info/showthread.php?t=4491"]пофиксите только эти строки[/url]:[code]O21 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_1: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ - C:\Program Files (x86)\Bitrix24\64\BitrixShellExt.dll (file missing)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ - C:\Program Files\Avast Software\Avast\ashShell.dll
O21 - HKLM\..\ShellIconOverlayIdentifiers\ - C:\Program Files\Google\Drive File Stream\55.0.3.0\drivefsext.dll
O21 - HKLM\..\ShellIconOverlayIdentifiers\ MailRuCloudIconOverlay0: (no name) - - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ MailRuCloudIconOverlay1: (no name) - - (no file)
O21 - HKLM\..\ShellIconOverlayIdentifiers\ MailRuCloudIconOverlay2: (no name) - - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ 00BitrixShellExt_1: (no name) - {A11A1EE5-F9F8-4BE0-907F-D74A49CC506B} - (no file)
O21-32 - HKLM\..\ShellIconOverlayIdentifiers\ - C:\Program Files (x86)\Bitrix24\32\BitrixShellExt.dll (file missing)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{071A0CAF-202C-479A-842A-14246E469140} - \Microsoft\Windows\UpdateOrchestrator\USO_Broker_Display (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{0BCD95AE-148D-4CD9-8D3C-215FE3955B6C} - \HPAudioSwitch (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{2BB692C1-F60F-479E-ADC2-1CAF9422A2AC} - \Microsoft\Windows\Shell\FamilySafetyMonitorToastTask (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{6ECC17BA-2F21-4D1D-A937-AF5B7E29ED7A} - \Microsoft\Windows\UpdateOrchestrator\Reboot (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{7052317E-2CA2-465C-8EF8-699A76DE4A1C} - \Hewlett-Packard\HP Support Assistant\Product Configurator (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B6E67297-4E2A-4BAB-9C4A-63B62EDBF591} - (no key)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B6E67297-4E2A-4BAB-9C4A-63B62EDBF591} - \Microsoft\Windows\Management\Provisioning\PostResetBoot (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{B867E5BF-9F3F-401D-8586-2A5D10242BD6} - \HPJumpStartLaunch (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C2098BE2-A29A-4EB1-97F6-F0C57E086D4F} - \Microsoft\Windows\Speech\HeadsetButtonPress (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C27FFC12-B2BB-44EB-B073-F10220ABD242} - \Hewlett-Packard\HP Support Assistant\HP Support Assistant Quick Start (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C48D50E5-71A9-48D8-B7C1-3DA9AECBDEC3} - \Microsoft\Windows\WindowsUpdate\sih (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{E0D7D29D-32A0-439B-82EF-4D6398A599FD} - \HPEA3JOBS (no xml)
O22 - Task: (damaged) HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{ECF4EDB1-4804-471F-A03C-A059A6C6200E} - \StartCN (no xml)[/code]
Деинсталлируйте программы Web Companion и WebAdvisor от McAfee, не выйдет стандартно - удалите принудительно, с помощью [URL="https://geekuninstaller.com/ru/download"]Geek Uninstaller Free[/URL].

Скачайте [URL="http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/"]Farbar Recovery Scan Tool[/URL] или с [URL="https://www.geekstogo.com/forum/files/file/435-frst-farbar-recovery-scan-tool/"]зеркала[/URL] и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите [B]Да[/B] для соглашения с предупреждением.

Нажмите кнопку [B]Сканировать[/B].

После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (лучше оба в одном архиве).

Добрый день! Отправляю файлы!

Следов трояна не видно.
А вот с одним из HDD явно проблемы:[QUOTE]Системные ошибки:
=============
Error: (02/12/2022 02:26:42 PM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (02/12/2022 02:26:41 PM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.

Error: (02/12/2022 02:26:41 PM) (Source: disk) (EventID: 7) (User: )
Description: Неверный блок на устройстве \Device\Harddisk1\DR1.[/QUOTE]

В сервисе в прошлом году устанавливали твердотельный накопитель чтобы по быстрее работал ноут, ну и старый HDD оставили так как он был вполне рабочий. Как понять с каким диском проблемы? Они оба открываются и там и там есть файлы.

По логам сложно сказать, скорее, со старым. Посмотрите SMART обоих дисков с помощью программы [URL="https://hdd.by/victoria"]Victoria[/URL].