MSIL/Injector.YT - Форум технической поддержки ESET NOD32

Размещено 09.06.2015 12:27:41

Сегодня, когда брат принёс ноутбук с работы. Ноутбук мой.
Не работают другие учётные записи, работал под админской.
И сегодня увидел гору… сообщений о программе (шпионе?).
Вот часть журнала:

Скрытый текст
09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3960000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3080000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3070000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3050000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3040000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3030000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3020000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:00 Модуль сканирования по требованию файл Оперативная память = mem_3010000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:00 Модуль сканирования по требованию файл Оперативная память = mem_A30000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:00 Модуль сканирования по требованию файл Оперативная память = mem_A20000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:00 Модуль сканирования по требованию файл Оперативная память = mem_730000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:00 Модуль сканирования по требованию файл Оперативная память = mem_720000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3960000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3070000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3050000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3040000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3030000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3020000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3010000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_A30000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_A20000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_730000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:16:59 Модуль сканирования по требованию файл Оперативная память = mem_720000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3960000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3050000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3040000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3030000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3020000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3010000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_A30000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_A20000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_730000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_720000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:06:59 Модуль сканирования по требованию файл Оперативная память = mem_3040000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3960000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3030000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3020000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3010000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_A30000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_A20000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_730000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_720000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна

Скрытый текст

09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3960000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3080000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3070000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3050000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3040000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3030000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:22:01 Модуль сканирования по требованию файл Оперативная память = mem_3020000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:22:00 Модуль сканирования по требованию файл Оперативная память = mem_3010000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:22:00 Модуль сканирования по требованию файл Оперативная память = mem_A30000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:22:00 Модуль сканирования по требованию файл Оперативная память = mem_A20000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:22:00 Модуль сканирования по требованию файл Оперативная память = mem_730000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:22:00 Модуль сканирования по требованию файл Оперативная память = mem_720000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3960000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3070000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3050000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3040000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3030000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3020000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_3010000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_A30000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_A20000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:17:00 Модуль сканирования по требованию файл Оперативная память = mem_730000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:16:59 Модуль сканирования по требованию файл Оперативная память = mem_720000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3960000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3050000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3040000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3030000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3020000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_3010000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_A30000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_A20000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_730000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:11:59 Модуль сканирования по требованию файл Оперативная память = mem_720000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:06:59 Модуль сканирования по требованию файл Оперативная память = mem_3040000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3960000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3030000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3020000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3010000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_A30000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_A20000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_730000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
09.06.2015 12:06:08 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_720000_1324.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна

Изменено: Станислав Михайленко - 09.06.2015 12:28:26 (Спойлер)

Размещено 10.06.2015 19:50:44

1. перенастройте DNS роутера и установите надежный пароль на доступ к настройкам
https://www.nic.ru/whois/?query=5.104.175.150

Цитата
inetnum: 5.104.175.0 - 5.104.175.255 netname: Verdina descr: Verdina Ltd. org: ORG-VL172-RIPE country: BG

2. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.23 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\PROGRAM FILES\MSDS\PHOENIX.EXE addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Tool.BtcMine.94 [DrWeb] zoo %SystemDrive%\USERS\СТАС\DOWNLOADS\GIT-1.9.5-PREVIEW20150319.EXE addsgn A7679B1991CE1F245CE76E38210C9B40E503B95200BFCFF1C00B4CF99C5F3498AA521BDE7BB925652BC18477AE47B6054E1FBD1ACBC0F12C4988944B4E2611A1 40 Program.Unwanted.285 [DrWeb] addsgn A7679B19919AF4EE9195AE59DC63ECFA9D4E67B7891245A47B3C4EA99870304CAA154842F6F3DC49A0922553E0574912350A178DDECF788A6C772F3D666A8432 8 Win32/BitCoinMiner.AI [ESET-NOD32] zoo %SystemDrive%\PROGRAM FILES\INTEL\INTEL.EXE zoo D:\WINDOWS.OLD\USERS\СТАС\DESKTOP\AIVLIFE_RU_ANTIALAWAR_2013\ALAWAR SMSKEY KEYMAKER.EXE delref %SystemRoot%\AUTOKMS\AUTOKMS.EXE ;------------------------autoscript--------------------------- chklst delvir deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\MSDS\PHOENIX.EXE
addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Tool.BtcMine.94 [DrWeb]

zoo %SystemDrive%\USERS\СТАС\DOWNLOADS\GIT-1.9.5-PREVIEW20150319.EXE
addsgn A7679B1991CE1F245CE76E38210C9B40E503B95200BFCFF1C00B4CF99C5F3498AA521BDE7BB925652BC18477AE47B6054E1FBD1ACBC0F12C4988944B4E2611A1 40 Program.Unwanted.285 [DrWeb]

addsgn A7679B19919AF4EE9195AE59DC63ECFA9D4E67B7891245A47B3C4EA99870304CAA154842F6F3DC49A0922553E0574912350A178DDECF788A6C772F3D666A8432 8 Win32/BitCoinMiner.AI [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\INTEL\INTEL.EXE
zoo D:\WINDOWS.OLD\USERS\СТАС\DESKTOP\AIVLIFE_RU_ANTIALAWAR_2013\ALAWAR SMSKEY KEYMAKER.EXE
delref %SystemRoot%\AUTOKMS\AUTOKMS.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
3. добавьте все логи выполнения скриптов uVS
это файлы дата_Времяlog.txt из папки uVS

4. добавьте новый образ автозапуска

[ Как создать образ автозапуска? ]

[ Закрыто ] MSIL/Injector.YT , Угроза в оперативной памяти

Ответы