ESET CONNECT

rundll32.exe загружает его в память через запуск здачи:

[QUOTE]Полное имя C:\USERS\***\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL
Имя файла                   ADNEKMOD8B4.DLL
Тек. статус                 ВИРУС в автозапуске
                           
Обнаруженные сигнатуры      
Сигнатура                   MSIL/Agent.UFA [ESET-NOD32] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2020-12-25
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
File_Id                     5FDC35A8C000
Linker                      11.0
Размер                      12800 байт
Создан                      23.12.2020 в 16:02:50
Изменен                     23.12.2020 в 16:02:50
                           
TimeStamp                   18.12.2020 в 04:52:56
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            AdNetwork.dll
Версия файла                1.0.0.0
Описание                    AdNetwork
Производитель              
Комментарий                
                           
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
[B]CmdLine C:\USERS\***\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL,AMIGOUPDATER[/B]
SHA1                        0CBA96ADD40FC610017EF4A2BA8F4220694A1018
MD5                         B5BF285378916D5119D87C08917FE872
                           
Ссылки на объект            
[B]Ссылка C:\WINDOWS\SYSTEM32\TASKS\ZAMIGOBROWSERUPDATE[/B]
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
                           
[/QUOTE]

со вчерашнего дня, ESET его детектирует как
MSIL/Agent.UFA [ESET-NOD32] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2020-12-25
благодаря вашему переданному файлу,
атаки могут повториться, важно локализовать источник возникновения атаки, это может быть в том числе и расширения браузера

[QUOTE]Олег Летуновский написал:
Вот свежий файл журнала из ESET:  https://www.sendspace.com/file/zmt2j7 И на этом пока всё - антивирус молчит. Спасибо, что помогаете. Может ещё dr web cureit помог, которым вчера проверял - он там тоже что-то удалял...[/QUOTE]
интересно,
возможно, загрузка файла вновь произошла после очистки за предыдущий день в uVS

[QUOTE]25.12.2020 14:29:54;Модуль сканирования файлов, исполняемых при запуске системы;файл;c:\users\Олег\appdata\roaming\microsoft\admodnetw4b8\adnekmod8b4.dll;MSIL/Agent.UFA троянская программа;очищено удалением;;;0CBA96ADD40FC610017EF4A2BA8F4220694A1018;23.12.2020 16:02:50
[/QUOTE]

вчера мы добавили сигнатуру adnekmod8b4.dll в базу ESET и теперь ESET прибивает этот файл еще до момента его запуска.

[QUOTE]Олег Летуновский написал:
Скрин уведомления с eset nod32: https://yadi.sk/i/B986Il8SSvcplg [/QUOTE]
по скиншоту:
[B]если есть возможность зайдите по ссылке "файл" и проверьте на какой файл указывает ESET[/B]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Администратор\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Олег\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: C:\Windows\Tasks\3zgPNx83xcOWuSSk12ffUGHlPp.job => C:\Users\\AppData\Roaming\3zgPNx83xcOWuSSk12ffUGHlPp.exe <==== ATTENTION
Task: C:\Windows\Tasks\rUVHYmPai.job => C:\Users\\AppData\Roaming\rUVHYmPai.exe <==== ATTENTION
S1 iSafeNetFilter; system32\DRIVERS\iSafeNetFilter.sys [X] <==== ATTENTION
S1 {36ed28a4-ac0a-4653-91ff-10beb4246550}Gw64; system32\drivers\{36ed28a4-ac0a-4653-91ff-10beb4246550}Gw64.sys [X]
S1 {eb01aed1-bba3-4e72-8323-a77bb027b1d4}Gw64; system32\drivers\{eb01aed1-bba3-4e72-8323-a77bb027b1d4}Gw64.sys [X]
2020-12-24 15:52 - 2020-12-24 16:07 - 000000000 ____D C:\Users\Все пользователи\Doctor Web
2020-12-24 15:52 - 2020-12-24 16:07 - 000000000 ____D C:\ProgramData\Doctor Web
2015-04-19 22:20 - 2020-12-23 22:04 - 000000641 _____ () C:\Users\Олег\AppData\Roaming\3zgPNx83xcOWuSSk12ffUGHlPp
2018-09-08 18:49 - 2018-09-08 18:49 - 000000230 _____ () C:\Users\Олег\AppData\Roaming\del.bat
2015-04-19 22:20 - 2020-12-23 22:04 - 000000641 _____ () C:\Users\Олег\AppData\Roaming\rUVHYmPai
2015-04-03 19:06 - 2015-05-12 07:14 - 000000000 _____ () C:\Users\Олег\AppData\Roaming\smw_inst
EmptyTemp:
Reboot:[/CODE]

+
C:\USERS\HOME\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8­B4.DLL

ESET-NOD32
MSIL/Agent.UFA

https://www.virustotal.com/gui/file/f7391ddc770ac9e702c5aa89a736f550582067492dcd512­5475f6fc22491234c/detection

возможно, проблема в этом:

[QUOTE]Сегодня мы приняли решение отключить расширения [B]SaveFrom.net, Frigate Light, Frigate CDN[/B] и некоторые другие, установленные у пользователей Яндекс.Браузера. Совокупная аудитория этих инструментов превышает 8 млн человек. [/QUOTE]

https://habr.com/ru/company/yandex/blog/534586/

судя по нашим случаям у трех их 4 пострадавших пользователей (здесь на форуме) установлено одно из данных расширений:
FRIGATE CDN - СТРАНИЦА УСТАНОВКИ
SAVEFROM.NET ПОМОЩНИК
SAVEFROM.NET ПОМОЩНИК

[QUOTE]RP55 RP55 написал:
[QUOTE] santy написал:
могут предоставить больше информации по актуальной угрозе.[/QUOTE]
Судя по снимку директории сам файл может быть "чистым" просто запускает майнер из директории и дальше он сам...[/QUOTE]
вполне возможно, что обычный загрузчик, может даже из реестра что-то восстанавливает, как это было в пред. случаях

[QUOTE]RP55 RP55 написал:
[QUOTE] santy написал:
можешь сам зарегистрироваться там[/QUOTE]Реальной помощи по лечению я там не вижу.
Одни советы и рекомендации по работе со сканерами.
Если бы они сами были заинтересованы в нашем присутствии на форуме...
и как-то стимулировали :)
На большинстве A.V. форумов от вендеров поддержка липовая.[/QUOTE]
дело не в поддержке, а в аналитике, иногда там бывают эксперты, которые могут предоставить больше информации по актуальной угрозе.

можно карантинить весь каталог перед удалением dll, для изучения содержимого
завтра будет свободный день, создам тему на forum.eset.com, или можешь сам зарегистрироваться там, и создать тему, если будет время
https://forum.eset.com/forum/30-malware-finding-and-cleaning/
+
можно попытаться выяснить, что именно пользователи запускают, если получают после данный результат.
источник можно проанализировать на app.any.run

на форуме ЛК тоже есть подобные темы,
удаление mem:trojan.win32.sepeh.gen
https://forum.kasperskyclub.ru/topic/78918-udalenie-memtrojanwin32sepehgen/

[QUOTE]RP55 RP55 написал:
[QUOTE] santy написал:
откуда скриншот?[/QUOTE]
Это не сильно интересно ;)
Больше для статистики.
Там и про нас пишут :)
[URL=https://otvet.mail.ru/question/223144892]https://otvet.mail.ru/question/223144892[/URL] [/QUOTE]
ну понятно, удалил файл без удаления ссылок из автозапуска