MSIL/Injector.YT - Форум технической поддержки ESET NOD32

Сообщений: 27

Баллов: 13

Регистрация: 09.06.2015

Размещено 09.06.2015 12:27:41

Сегодня, когда брат принёс ноутбук с работы. Ноутбук мой.
Не работают другие учётные записи, работал под админской.
И сегодня увидел гору… сообщений о программе (шпионе?).
Вот часть журнала:

Скрытый текст
09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3960000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3080000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3070000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3050000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3040000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3030000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3020000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:00 Модуль сканирования по требованию файл Оперативная память = mem_3010000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:00 Модуль сканирования по требованию файл Оперативная память = mem_A30000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:00 Модуль сканирования по требованию файл Оперативная память = mem_A20000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:00 Модуль сканирования по требованию файл Оперативная память = mem_730000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:00 Модуль сканирования по требованию файл Оперативная память = mem_720000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3960000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3070000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3050000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3040000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3030000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3020000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3010000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_A30000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_A20000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_730000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:16:59 Модуль сканирования по требованию файл Оперативная память = mem_720000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3960000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3050000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3040000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3030000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3020000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3010000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_A30000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_A20000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_730000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_720000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:06:59 Модуль сканирования по требованию файл Оперативная память = mem_3040000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3960000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3030000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3020000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3010000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_A30000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_A20000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_730000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_720000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна

Скрытый текст

09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3960000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3080000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3070000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3050000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3040000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3030000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3020000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:22:00 Модуль сканирования по требованию файл Оперативная память = mem_3010000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:22:00 Модуль сканирования по требованию файл Оперативная память = mem_A30000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:22:00 Модуль сканирования по требованию файл Оперативная память = mem_A20000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:22:00 Модуль сканирования по требованию файл Оперативная память = mem_730000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:22:00 Модуль сканирования по требованию файл Оперативная память = mem_720000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3960000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3070000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3050000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3040000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3030000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3020000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3010000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_A30000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_A20000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_730000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:16:59 Модуль сканирования по требованию файл Оперативная память = mem_720000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3960000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3050000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3040000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3030000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3020000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3010000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_A30000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_A20000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_730000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_720000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:06:59 Модуль сканирования по требованию файл Оперативная память = mem_3040000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3960000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3030000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3020000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3010000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_A30000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_A20000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_730000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_720000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна

Изменено: Станислав Михайленко - 09.06.2015 12:28:26 (Спойлер)

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 09.06.2015 12:29:32

http://forum.esetnod32.ru/forum9/topic2687/

Сообщений: 27

Баллов: 13

Регистрация: 09.06.2015

Размещено 09.06.2015 12:36:25

Через минуту-две будет лог.

Сообщений: 27

Баллов: 13

Регистрация: 09.06.2015

Размещено 09.06.2015 12:46:00

IOBIT удалил давно, WoW.exe крякнут (снята защита на изменение LUA) и Angry Birds тоже.
F:/Installer.exe недоступен (флешка отключена).
Хром тоже удаляли.

Прикрепленные файлы

СТАС-ПК_2015-06-09_12-35-14.7z (585.93 КБ)

Изменено: Станислав Михайленко - 09.06.2015 12:53:55

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.06.2015 12:56:00

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.23 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IP.EXE addsgn 9AA023DE5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BC14D4CA304FF79817BF2C310AA16DB7E5461649FA7DDFE97255DAB02C2D77A42F97744D19 8 Trojan:Win32/Msposer.A [Microsoft] zoo %SystemDrive%\PROGRAM FILES\INTEL\INTEL.EXE zoo %SystemDrive%\PROGRAM FILES\MSDS\PHOENIX.EXE addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Trojan.BtcMine.142 [DrWeb] delall %SystemDrive%\PROGRAM FILES\IOBIT\ADVANCED SYSTEMCARE ULTIMATE 7\ASCTRAY.EXE delall %SystemDrive%\USERS\СТАС\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE ;------------------------autoscript--------------------------- chklst delvir regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IP.EXE
addsgn 9AA023DE5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BC14D4CA304FF79817BF2C310AA16DB7E5461649FA7DDFE97255DAB02C2D77A42F97744D19 8 Trojan:Win32/Msposer.A [Microsoft]

zoo %SystemDrive%\PROGRAM FILES\INTEL\INTEL.EXE
zoo %SystemDrive%\PROGRAM FILES\MSDS\PHOENIX.EXE
addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Trojan.BtcMine.142 [DrWeb]

delall %SystemDrive%\PROGRAM FILES\IOBIT\ADVANCED SYSTEMCARE ULTIMATE 7\ASCTRAY.EXE
delall %SystemDrive%\USERS\СТАС\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
;------------------------autoscript---------------------------

chklst
delvir

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 27

Баллов: 13

Регистрация: 09.06.2015

Размещено 09.06.2015 13:19:04

Уведомления 3* (потом 7, но не 15-20). Как только зашёл на эту страницу — сверху реклама. Такое и на телефоне есть (реклама).
Можно проверку сделать потом? Брату ноут надо.
*Тот же троян

Изменено: Станислав Михайленко - 09.06.2015 13:21:02

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.06.2015 13:27:48

лучше пролечить систему до конца, потом можно с ним работать, иначе нахватает новые сюрпризы.
потратьте еще 30 минут на очистку
предыдущий кстати был биткойн-майнер.

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 09.06.2015 13:31:30

+
еще и левый DNS откуда автоматически прилетает. из роутера?

https://www.nic.ru/whois/?query=146.185.239.240

Цитата
OrgName: RIPE Network Coordination Centre OrgId: RIPE Address: P.O. Box 10096 City: Amsterdam StateProv: PostalCode: 1001EB Country: NL

[ Как создать образ автозапуска? ]

Сообщений: 27

Баллов: 13

Регистрация: 09.06.2015

Размещено 09.06.2015 16:27:14

Цитата
santy спросил, откуда DNS: из роутера?

Похоже, что да.
Лог MBAM будет через ~30 минут.
Не знаю, как поставить быструю проверку, будет полная. В начале поставил на паузу (поискать кнопку "Быстрая проверка"), но такой не оказалось.

Изменено: Станислав Михайленко - 09.06.2015 16:31:42 (Полная проверка)

Сообщений: 27

Баллов: 13

Регистрация: 09.06.2015

Размещено 09.06.2015 16:34:11

Цитата
santy написал: биткойн-майнер.

С завода?! O_o

[ Закрыто ] MSIL/Injector.YT , Угроза в оперативной памяти