MSIL/Injector.VGR - Форум технической поддержки ESET NOD32

Сообщений: 6

Баллов: 3

Регистрация: 24.12.2020

Размещено 24.03.2021 11:21:31

Здравствуйте.

ESET постоянно (примерно каждые 30 сек.) выдает оповещение о том, что угроза MSIL/Injector.VGR удалена. Помогите удалить.

Образ автозапуска uVS и файл журнала:

https://www.sendspace.com/filegroup/V34XxhkhxTM4ViT47zknf%2BEt6MsfA1BN

Изменено: Олег Летуновский - 24.03.2021 11:22:38

Сообщений: 17792

Баллов: 14233

Регистрация: 16.03.2010

Размещено 24.03.2021 11:28:21

судя по логам журнала, последние события у вас наблюдались

Цитата
24.12.2020 15:32:39;Расширенный модуль сканирования памяти;файл;Оперативная память = rundll32.exe(3540);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A; 24.12.2020 15:34:04;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = rundll32.exe(3540);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A; 24.12.2020 15:39:08;Расширенный модуль сканирования памяти;файл;Оперативная память = rundll32.exe(4812);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;

Цитата

24.12.2020 15:32:39;Расширенный модуль сканирования памяти;файл;Оперативная память = rundll32.exe(3540);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;
24.12.2020 15:34:04;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = rundll32.exe(3540);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;
24.12.2020 15:39:08;Расширенный модуль сканирования памяти;файл;Оперативная память = rundll32.exe(4812);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;

угу, вижу:
23.03.2021 15:37:51;Расширенный модуль сканирования памяти;файл;Оперативная память = exUpd.exe(2204);модифицированный MSIL/Injector.VGR троянская программа;содержит зараженные файлы;;;9BCE67EAE49F031BC560EC58694290353F55F8AF;

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 24.12.2020

Размещено 24.03.2021 11:36:43

Цитата

santy написал:
судя по логам журнала, последние события у вас наблюдались

Цитата

24.12.2020 15:32:39;Расширенный модуль сканирования памяти;файл;Оперативная память = rundll32.exe(3540);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;
24.12.2020 15:34:04;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = rundll32.exe(3540);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;
24.12.2020 15:39:08;Расширенный модуль сканирования памяти;файл;Оперативная память = rundll32.exe(4812);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;

Там если ниже прокрутить, то первое событие из этой серии было:

23.03.2021 15:37:51;Расширенный модуль сканирования памяти;файл;Оперативная память = exUpd.exe(2204);модифицированный MSIL/Injector.VGR троянская программа;содержит зараженные файлы;;;9BCE67EAE49F031BC560EC58694290353F55F8AF;

И до сих пор выскакивает...

Сообщений: 17792

Баллов: 14233

Регистрация: 16.03.2010

Размещено 24.03.2021 11:37:27

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.11.6 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c OFFSGNSAVE hide %Sys32%\RPCSS.DLL ;------------------------autoscript--------------------------- del %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROSOFT NET_FRAMEWORK.BAT zoo %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\GOOGLE\CHROMEEXTENSIONS\ADS\HONEYADS\EXUPD.EXE addsgn 0DC97ABF556A80BEC718627DA804DEC9E9EC9AF9967E1F7885C3C543B0962404A0FBE31FB5BFD5C22AC80F4ECD1EA1CF802017E21D59740C70B4686F924EA999 8 Trojan:Win32/Bomitag.D!ml [Microsoft] 7 chklst delvir delref HTTP://CAT.WARGAMING.NET delref %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROSOFT NET_FRAMEWORK.BAT apply ; OpenAL exec C:\Program Files (x86)\OpenAL\OpenAL.exe" /U deltmp delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemRoot%\SYSWOW64\BLANK.HTM delref %Sys32%\BLANK.HTM delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected] delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI ;------------------------------------------------------------- restart

Код

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
hide %Sys32%\RPCSS.DLL
;------------------------autoscript---------------------------

del %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROSOFT NET_FRAMEWORK.BAT
zoo %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\GOOGLE\CHROMEEXTENSIONS\ADS\HONEYADS\EXUPD.EXE
addsgn 0DC97ABF556A80BEC718627DA804DEC9E9EC9AF9967E1F7885C3C543B0962404A0FBE31FB5BFD5C22AC80F4ECD1EA1CF802017E21D59740C70B4686F924EA999 8 Trojan:Win32/Bomitag.D!ml [Microsoft] 7

chklst
delvir

delref HTTP://CAT.WARGAMING.NET
delref %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROSOFT NET_FRAMEWORK.BAT
apply

; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL.exe" /U

deltmp
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\[email protected]
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 6

Баллов: 3

Регистрация: 24.12.2020

Размещено 24.03.2021 12:17:00

После выполнения скрипта в uVS, ESET вроде замолчал. По результатам проверки в Malwarebytes обнаружено 1940 объектов. Вот отчёт:
https://www.sendspace.com/file/2csaw6

Нажать Карантин?

Изменено: Олег Летуновский - 24.03.2021 13:29:44

Сообщений: 17792

Баллов: 14233

Регистрация: 16.03.2010

Размещено 24.03.2021 13:32:11

да, все найденное в малваребайт удалить,
далее

3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/

[ Как создать образ автозапуска? ]