[ Закрыто ] MSIL/Injector.YT , Угроза в оперативной памяти

RSS
Сегодня, когда брат принёс ноутбук с работы. Ноутбук мой.
Не работают другие учётные записи, работал под админской.
И сегодня увидел гору… сообщений о программе (шпионе?).
Вот часть журнала:
Скрытый текст
Изменено: Станислав Михайленко - 09.06.2015 12:28:26 (Спойлер)

Ответы

MBAM завис?
Проверка реестра 99.9 (а может и 100) %.
13 979 записей проверено. Число не растёт.
Время в MBAM идёт.

UPD 17:43: Отменяю проверку

UPD 17:50: Ставлю снова
Изменено: Станислав Михайленко - 09.06.2015 17:50:43
Цитата
Станислав Михайленко написал:
Цитата
santy   написал:
биткойн-майнер.
С завода?! O_o
https://www.virustotal.com/ru/file/4ac8f3fb9d404755be92a6288f7e830269d161016b284c13­fa1e763993ec4571/analysis/#item-detail
https://www.virustotal.com/ru/file/3e7329200012c19df54a0407b148d2ff49cbe8bc6656c3c9­0343decc9631b981/analysis/
https://www.virustotal.com/ru/file/d1ae5cd702f8bacb09e46db31b3d16934c882f46327d1dbe­fb9893c278094e9c/analysis/

+
что скажете по настройкам DNS?
https://www.nic.ru/whois/?query=146.185.239.240

если это настройки из роутера, то необходимо заменить настройки DNS
+
если зависает мбам на проверке, пропустите эту проверку и выполните
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991
Цитата
santy написал:
что скажете по настройкам DNS?
В исходный код сайта встроены ссылки на сайт storage.com и на сайт geolocations.net
Цитата
santy написал:
пропустите
Уже не зависает. Логи скоро приложу и буду выполнять следующие проверки.
UPD: Надоело ждать.
Изменено: Станислав Михайленко - 09.06.2015 22:50:41
Скрытый текст
Boost нельзя удалить, т. к. без этой библиотеки нельзя разрабатывать сервер.
ADWCLEANER LOG
FRST-логи ниже:
RGHOST, RGHOST
Пароль: ESET
Изменено: Станислав Михайленко - 09.06.2015 23:21:41
6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!


Цитата
AlternateDataStreams: C:\ProgramData\TEMP:10D14739
AlternateDataStreams: C:\Users\Все пользователи\TEMP:10D14739
CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION
EmptyTemp:
Reboot:
C:\Users\All Users\TEMP — пусто.
Лог есть.
ок, добавьте новый лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
+ Добавьте программу AutoKMS.exe в исключение антивируса, скорее всего реакция на этот файл.
ESET пришёл с логом. =)
Все старые вирусы удалены.
Cheat Engine удалять не собираюсь (иногда необходимо взломать игру, а иногда заменить строку в памяти).
т.е. ЕСЕТ по прежнему находит в памяти это
Цитата
10.06.2015 12:34:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3EE0000_1792.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
10.06.2015 12:34:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_970000_1792.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
10.06.2015 12:34:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_960000_1792.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
Читают тему (гостей: 1)