rundll32.exe загружает его в память через запуск здачи:
[QUOTE]Полное имя C:\USERS\***\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL
Имя файла ADNEKMOD8B4.DLL
Тек. статус ВИРУС в автозапуске
Обнаруженные сигнатуры
Сигнатура MSIL/Agent.UFA [ESET-NOD32] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2020-12-25
Сохраненная информация на момент создания образа
Статус в автозапуске
File_Id 5FDC35A8C000
Linker 11.0
Размер 12800 байт
Создан 23.12.2020 в 16:02:50
Изменен 23.12.2020 в 16:02:50
TimeStamp 18.12.2020 в 04:52:56
EntryPoint +
OS Version 0.0
Subsystem Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить
Оригинальное имя AdNetwork.dll
Версия файла 1.0.0.0
Описание AdNetwork
Производитель
Комментарий
Доп. информация на момент обновления списка
Файл C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
[B]CmdLine C:\USERS\***\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL,AMIGOUPDATER[/B]
SHA1 0CBA96ADD40FC610017EF4A2BA8F4220694A1018
MD5 B5BF285378916D5119D87C08917FE872
Ссылки на объект
[B]Ссылка C:\WINDOWS\SYSTEM32\TASKS\ZAMIGOBROWSERUPDATE[/B]
Prefetcher C:\WINDOWS\Prefetch\Layout.ini
[/QUOTE]
со вчерашнего дня, ESET его детектирует как
MSIL/Agent.UFA [ESET-NOD32] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2020-12-25
благодаря вашему переданному файлу,
атаки могут повториться, важно локализовать источник возникновения атаки, это может быть в том числе и расширения браузера
[QUOTE]Полное имя C:\USERS\***\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL
Имя файла ADNEKMOD8B4.DLL
Тек. статус ВИРУС в автозапуске
Обнаруженные сигнатуры
Сигнатура MSIL/Agent.UFA [ESET-NOD32] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2020-12-25
Сохраненная информация на момент создания образа
Статус в автозапуске
File_Id 5FDC35A8C000
Linker 11.0
Размер 12800 байт
Создан 23.12.2020 в 16:02:50
Изменен 23.12.2020 в 16:02:50
TimeStamp 18.12.2020 в 04:52:56
EntryPoint +
OS Version 0.0
Subsystem Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить
Оригинальное имя AdNetwork.dll
Версия файла 1.0.0.0
Описание AdNetwork
Производитель
Комментарий
Доп. информация на момент обновления списка
Файл C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
[B]CmdLine C:\USERS\***\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL,AMIGOUPDATER[/B]
SHA1 0CBA96ADD40FC610017EF4A2BA8F4220694A1018
MD5 B5BF285378916D5119D87C08917FE872
Ссылки на объект
[B]Ссылка C:\WINDOWS\SYSTEM32\TASKS\ZAMIGOBROWSERUPDATE[/B]
Prefetcher C:\WINDOWS\Prefetch\Layout.ini
[/QUOTE]
со вчерашнего дня, ESET его детектирует как
MSIL/Agent.UFA [ESET-NOD32] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2020-12-25
благодаря вашему переданному файлу,
атаки могут повториться, важно локализовать источник возникновения атаки, это может быть в том числе и расширения браузера