MSIL/Injector.VGR

1
RSS
Здравствуйте.

ESET постоянно (примерно каждые 30 сек.) выдает оповещение о том, что угроза MSIL/Injector.VGR удалена. Помогите удалить.

Образ автозапуска uVS и файл журнала:


https://www.sendspace.com/filegroup/V34XxhkhxTM4ViT47zknf%2BEt6MsfA1BN


Изменено: Олег Летуновский - 24.03.2021 11:22:38
судя по логам журнала, последние события у вас наблюдались
Цитата
24.12.2020 15:32:39;Расширенный модуль сканирования памяти;файл;Оперативная память = rundll32.exe(3540);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;
24.12.2020 15:34:04;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = rundll32.exe(3540);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;
24.12.2020 15:39:08;Расширенный модуль сканирования памяти;файл;Оперативная память = rundll32.exe(4812);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;

угу, вижу:
23.03.2021 15:37:51;Расширенный модуль сканирования памяти;файл;Оперативная память = exUpd.exe(2204);модифицированный MSIL/Injector.VGR троянская программа;содержит зараженные файлы;;;9BCE67EAE49F031BC560EC58694290353F55F8AF;
Цитата
santy написал:
судя по логам журнала, последние события у вас наблюдались
Цитата
24.12.2020  15:32:39;Расширенный модуль сканирования памяти;файл;Оперативная память = rundll32.exe(3540);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;
24.12.2020 15:34:04;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = rundll32.exe(3540);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;
24.12.2020 15:39:08;Расширенный модуль сканирования памяти;файл;Оперативная память = rundll32.exe(4812);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;
Там если ниже прокрутить, то первое событие из этой серии было:

23.03.2021 15:37:51;Расширенный модуль сканирования памяти;файл;Оперативная память = exUpd.exe(2204);модифицированный MSIL/Injector.VGR троянская программа;содержит зараженные файлы;;;9BCE67EAE49F031BC560EC58694290353F55F8AF;


И до сих пор выскакивает...
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
hide %Sys32%\RPCSS.DLL
;------------------------autoscript---------------------------

del %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROSOFT NET_FRAMEWORK.BAT
zoo %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\GOOGLE\CHROMEEXTENSIONS\ADS\HONEYADS\EXUPD.EXE
addsgn 0DC97ABF556A80BEC718627DA804DEC9E9EC9AF9967E1F7885C3C543B0962404A0FBE31FB5BFD5C22AC80F4ECD1EA1CF802017E21D59740C70B4686F924EA999 8 Trojan:Win32/Bomitag.D!ml [Microsoft] 7

chklst
delvir

delref HTTP://CAT.WARGAMING.NET
delref %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROSOFT NET_FRAMEWORK.BAT
apply

; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL.exe" /U

deltmp
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\AUSHELPER@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\E10SROLLOUT@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\FIREFOX@GETPOCKET.COM.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
После выполнения скрипта в uVS, ESET вроде замолчал. По результатам проверки в Malwarebytes обнаружено 1940 объектов. Вот отчёт:
https://www.sendspace.com/file/2csaw6

Нажать Карантин?
Изменено: Олег Летуновский - 24.03.2021 13:29:44
да, все найденное в малваребайт удалить,
далее

3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
1
Читают тему (гостей: 1)