Выбрать дату в календареВыбрать дату в календаре

MSIL/CoinMiner.BGJ
rundll32.exe загружает его в память через запуск здачи:

[QUOTE]Полное имя C:\USERS\***\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL
Имя файла                   ADNEKMOD8B4.DLL
Тек. статус                 ВИРУС в автозапуске
                           
Обнаруженные сигнатуры      
Сигнатура                   MSIL/Agent.UFA [ESET-NOD32] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2020-12-25
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
File_Id                     5FDC35A8C000
Linker                      11.0
Размер                      12800 байт
Создан                      23.12.2020 в 16:02:50
Изменен                     23.12.2020 в 16:02:50
                           
TimeStamp                   18.12.2020 в 04:52:56
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            AdNetwork.dll
Версия файла                1.0.0.0
Описание                    AdNetwork
Производитель              
Комментарий                
                           
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
[B]CmdLine C:\USERS\***\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL,AMIGOUPDATER[/B]
SHA1                        0CBA96ADD40FC610017EF4A2BA8F4220694A1018
MD5                         B5BF285378916D5119D87C08917FE872
                           
Ссылки на объект            
[B]Ссылка C:\WINDOWS\SYSTEM32\TASKS\ZAMIGOBROWSERUPDATE[/B]
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
                           
[/QUOTE]

со вчерашнего дня, ESET его детектирует как
MSIL/Agent.UFA [ESET-NOD32] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2020-12-25
благодаря вашему переданному файлу,
атаки могут повториться, важно локализовать источник возникновения атаки, это может быть в том числе и расширения браузера
Какойт троян появился на ПК, Троян MSIL/CoinMiner.BGJ
[QUOTE]Олег Летуновский написал:
Вот свежий файл журнала из ESET:  https://www.sendspace.com/file/zmt2j7 И на этом пока всё - антивирус молчит. Спасибо, что помогаете. Может ещё dr web cureit помог, которым вчера проверял - он там тоже что-то удалял...[/QUOTE]
интересно,
возможно, загрузка файла вновь произошла после очистки за предыдущий день в uVS

[QUOTE]25.12.2020 14:29:54;Модуль сканирования файлов, исполняемых при запуске системы;файл;c:\users\Олег\appdata\roaming\microsoft\admodnetw4b8\adnekmod8b4.dll;MSIL/Agent.UFA троянская программа;очищено удалением;;;0CBA96ADD40FC610017EF4A2BA8F4220694A1018;23.12.2020 16:02:50
[/QUOTE]

вчера мы добавили сигнатуру adnekmod8b4.dll в базу ESET и теперь ESET прибивает этот файл еще до момента его запуска.
Какойт троян появился на ПК, Троян MSIL/CoinMiner.BGJ
[QUOTE]Олег Летуновский написал:
Скрин уведомления с eset nod32: https://yadi.sk/i/B986Il8SSvcplg [/QUOTE]
по скиншоту:
[B]если есть возможность зайдите по ссылке "файл" и проверьте на какой файл указывает ESET[/B]
Какойт троян появился на ПК, Троян MSIL/CoinMiner.BGJ
Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Администратор\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Олег\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: C:\Windows\Tasks\3zgPNx83xcOWuSSk12ffUGHlPp.job => C:\Users\\AppData\Roaming\3zgPNx83xcOWuSSk12ffUGHlPp.exe <==== ATTENTION
Task: C:\Windows\Tasks\rUVHYmPai.job => C:\Users\\AppData\Roaming\rUVHYmPai.exe <==== ATTENTION
S1 iSafeNetFilter; system32\DRIVERS\iSafeNetFilter.sys [X] <==== ATTENTION
S1 {36ed28a4-ac0a-4653-91ff-10beb4246550}Gw64; system32\drivers\{36ed28a4-ac0a-4653-91ff-10beb4246550}Gw64.sys [X]
S1 {eb01aed1-bba3-4e72-8323-a77bb027b1d4}Gw64; system32\drivers\{eb01aed1-bba3-4e72-8323-a77bb027b1d4}Gw64.sys [X]
2020-12-24 15:52 - 2020-12-24 16:07 - 000000000 ____D C:\Users\Все пользователи\Doctor Web
2020-12-24 15:52 - 2020-12-24 16:07 - 000000000 ____D C:\ProgramData\Doctor Web
2015-04-19 22:20 - 2020-12-23 22:04 - 000000641 _____ () C:\Users\Олег\AppData\Roaming\3zgPNx83xcOWuSSk12ffUGHlPp
2018-09-08 18:49 - 2018-09-08 18:49 - 000000230 _____ () C:\Users\Олег\AppData\Roaming\del.bat
2015-04-19 22:20 - 2020-12-23 22:04 - 000000641 _____ () C:\Users\Олег\AppData\Roaming\rUVHYmPai
2015-04-03 19:06 - 2015-05-12 07:14 - 000000000 _____ () C:\Users\Олег\AppData\Roaming\smw_inst
EmptyTemp:
Reboot:[/CODE]
поговорить о uVS, Carberp, планете Земля
+
C:\USERS\HOME\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8­B4.DLL

ESET-NOD32
MSIL/Agent.UFA

https://www.virustotal.com/gui/file/f7391ddc770ac9e702c5aa89a736f550582067492dcd512­5475f6fc22491234c/detection

возможно, проблема в этом:

[QUOTE]Сегодня мы приняли решение отключить расширения [B]SaveFrom.net, Frigate Light, Frigate CDN[/B] и некоторые другие, установленные у пользователей Яндекс.Браузера. Совокупная аудитория этих инструментов превышает 8 млн человек. [/QUOTE]

https://habr.com/ru/company/yandex/blog/534586/

судя по нашим случаям у трех их 4 пострадавших пользователей (здесь на форуме) установлено одно из данных расширений:
FRIGATE CDN - СТРАНИЦА УСТАНОВКИ
SAVEFROM.NET ПОМОЩНИК
SAVEFROM.NET ПОМОЩНИК
поговорить о uVS, Carberp, планете Земля
[QUOTE]RP55 RP55 написал:
[QUOTE] santy написал:
могут предоставить больше информации по актуальной угрозе.[/QUOTE]
Судя по снимку директории сам файл может быть "чистым" просто запускает майнер из директории и дальше он сам...[/QUOTE]
вполне возможно, что обычный загрузчик, может даже из реестра что-то восстанавливает, как это было в пред. случаях
поговорить о uVS, Carberp, планете Земля
[QUOTE]RP55 RP55 написал:
[QUOTE] santy написал:
можешь сам зарегистрироваться там[/QUOTE]Реальной помощи по лечению я там не вижу.
Одни советы и рекомендации по работе со сканерами.
Если бы они сами были заинтересованы в нашем присутствии на форуме...
и как-то стимулировали :)
На большинстве A.V. форумов от вендеров поддержка липовая.[/QUOTE]
дело не в поддержке, а в аналитике, иногда там бывают эксперты, которые могут предоставить больше информации по актуальной угрозе.
поговорить о uVS, Carberp, планете Земля
можно карантинить весь каталог перед удалением dll, для изучения содержимого
завтра будет свободный день, создам тему на forum.eset.com, или можешь сам зарегистрироваться там, и создать тему, если будет время
https://forum.eset.com/forum/30-malware-finding-and-cleaning/
+
можно попытаться выяснить, что именно пользователи запускают, если получают после данный результат.
источник можно проанализировать на app.any.run
поговорить о uVS, Carberp, планете Земля
на форуме ЛК тоже есть подобные темы,
удаление mem:trojan.win32.sepeh.gen
https://forum.kasperskyclub.ru/topic/78918-udalenie-memtrojanwin32sepehgen/
поговорить о uVS, Carberp, планете Земля
[QUOTE]RP55 RP55 написал:
[QUOTE] santy написал:
откуда скриншот?[/QUOTE]
Это не сильно интересно ;)
Больше для статистики.
Там и про нас пишут :)
[URL=https://otvet.mail.ru/question/223144892]https://otvet.mail.ru/question/223144892[/URL] [/QUOTE]
ну понятно, удалил файл без удаления ссылок из автозапуска