MSIL/Injector.VGR , Появляется уведомление каждую минуту что угроза удалена MSIL/Injector.VGR

RSS

Сообщений: 4

Баллов: 2

Регистрация: 23.05.2021

Размещено 23.05.2021 00:36:22

Здравствуйте. Появляется уведомление каждую минуту что угроза удалена MSIL/Injector.VGR. Полная проверка и удаление подозрительных файлов ни к чему не привела. Буду благодарен за любую помощь, так как не знаю что с этим делать.

Прикрепленные файлы

MSIL_Injector.VGR.txt (486 Б)
DESKTOP-V95DKH9_2021-05-22_23-53-27_v4.11.6.TXT (18.78 МБ)

Изменено: Casp White - 23.05.2021 00:39:59

Ответы

Пред. 1 2 3 4 5 ... 8 След.

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 23.05.2021 16:59:18

Цитата
Dark Fire написал: santy , я конечно надеюсь, что оно не повторится, но если да, то обязательно напишу вам

хорошо, ждем полный комплект файлов, если будет новый случай - проверим в вирлабе

[ Как создать образ автозапуска? ]

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 23.05.2021 17:58:14

Dark Fire

Если не настраивали групповые политики выполните:

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:

Запустите FRST и нажмите один раз на кнопку Fix и подождите.

Код
GroupPolicy: Ограничение ? <==== ВНИМАНИЕ GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Policies: C:\Users\DarkFire\NTUSER.pol: Ограничение <==== ВНИМАНИЕ Task: {0A4F2A9C-72DD-4D5A-A7B1-4A0E917D58A6} - \Microsoft\Windows\BrokerInfrastructure\BgTaskRegistrationMaintenanceTask -> Нет файла <==== ВНИМАНИЕ EmptyTemp: Reboot:

Код

  

GroupPolicy: Ограничение ? <==== ВНИМАНИЕ
GroupPolicy\User: Ограничение ? <==== ВНИМАНИЕ
Policies: C:\ProgramData\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Policies: C:\Users\DarkFire\NTUSER.pol: Ограничение <==== ВНИМАНИЕ
Task: {0A4F2A9C-72DD-4D5A-A7B1-4A0E917D58A6} - \Microsoft\Windows\BrokerInfrastructure\BgTaskRegistrationMaintenanceTask -> Нет файла <==== ВНИМАНИЕ

EmptyTemp:
Reboot:

Программа FRST создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Сообщений: 31

Баллов: 15

Регистрация: 23.05.2021

Размещено 23.05.2021 18:27:01

RP55 RP55, хорошо, вот.

Прикрепленные файлы

Fixlog.txt (2.55 КБ)

Сообщений: 6234

Баллов: 4987

Регистрация: 25.05.2010

Размещено 23.05.2021 18:35:42

Пока всё :)

Сообщений: 31

Баллов: 15

Регистрация: 23.05.2021

Размещено 24.05.2021 14:20:30

RP55 RP55, к сожалению длилось это недолго, в каратине ESETa лежат два обнаруженных файла. Хотя бы сейчас не уведомлений каждую минуту, как упали в карантин и тишина, но файлы те же что и были до этого.

Прикрепленные файлы

Новый текстовый документ.txt (1.25 КБ)
PC_2021-05-24_18-13-02_v4.11.TXT (17.17 МБ)

Изменено: Dark Fire - 24.05.2021 14:23:32

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 24.05.2021 14:44:13

Цитата
Dark Fire написал: RP55 RP55 , к сожалению длилось это недолго, в каратине ESETa лежат два об наруженных файла. Хотя бы сейчас не уведомлений каждую минуту, как упали в карантин и тишина, но файлы те же что и были до этого.

ок, вс повторяется

Цитата
Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь 24.05.2021 17:55:08;Защита файловой системы в реальном времени;файл;C:\Users\DarkFire\AppData\Roaming\Microsoft\HashCalc\MD5\calc.dll;MSIL/Agent.UNR троянская программа;очищено удалением;PC\DarkFire;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (0524ADAB740ED73E0B17168F7F68A36B6D0CC5D6).;C39986E857622C9F1615E8389DE1FEFE99A82F18;22.05.2021 20:21:09 24.05.2021 17:55:08;Защита файловой системы в реальном времени;файл;C:\Users\DarkFire\AppData\Roaming\Microsoft\HashCalc\MD5\HashCalc.exe;MSIL/Agent.UNR троянская программа;очищено удалением;PC\DarkFire;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (0524ADAB740ED73E0B17168F7F68A36B6D0CC5D6).;91ED18FFA32D7576427A370D18F752960F93A877;22.05.2021 20:21:09

Цитата

Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
24.05.2021 17:55:08;Защита файловой системы в реальном времени;файл;C:\Users\DarkFire\AppData\Roaming\Microsoft\HashCalc\MD5\calc.dll;MSIL/Agent.UNR троянская программа;очищено удалением;PC\DarkFire;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (0524ADAB740ED73E0B17168F7F68A36B6D0CC5D6).;C39986E857622C9F1615E8389DE1FEFE99A82F18;22.05.2021 20:21:09
24.05.2021 17:55:08;Защита файловой системы в реальном времени;файл;C:\Users\DarkFire\AppData\Roaming\Microsoft\HashCalc\MD5\HashCalc.exe;MSIL/Agent.UNR троянская программа;очищено удалением;PC\DarkFire;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (0524ADAB740ED73E0B17168F7F68A36B6D0CC5D6).;91ED18FFA32D7576427A370D18F752960F93A877;22.05.2021 20:21:09

образ новый сейчас посмотрим
если можно, восстановите из карантина эти файлы, только используем функцию "восстановить как" и поменяйте им расширение с dll на vdll, exe на vexe, заархивировать с паролем, и выслать в ту же почту

только образ переделайте, у вас сейчас не актуальная версия
uVS v4.11 [http://dsrt.dyndns.org:8888]: Windows 10 Pro 1903 x64 (NT v10.0 SP0) build 18362 [C:\WINDOWS]

нужен образ актуальной версией 4.11.6, скачать отсюда

[ Как создать образ автозапуска? ]

Сообщений: 31

Баллов: 15

Регистрация: 23.05.2021

Размещено 24.05.2021 15:05:25

santy, вот образ, а скинуть архив не могу, антивирус тут же в карантин кидает файлы, даже с изменёнными расширениями.

Прикрепленные файлы

PC_2021-05-24_18-58-45_v4.11.6.TXT (17.29 МБ)

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 24.05.2021 15:08:43

Цитата
Dark Fire написал: santy , вот образ, а скинуть архив не могу, антивирус тут же в карантин кидает файлы, даже с изменёнными расширениями.

надо в исключения (в настройках) добавить расширения vexe, vdll и восстанавливать эти файлы с карантина именно с такими расширениями,

образ сейчас гляну

[ Как создать образ автозапуска? ]

Сообщений: 17962

Баллов: 14369

Регистрация: 16.03.2010

Размещено 24.05.2021 15:19:41

такой скрипт выполните в uVS

Код
;uVS v4.11.6 [http://dsrt.dyndns.org:8888] ;Target OS: NTv10.0 v400c OFFSGNSAVE dirzoo %SystemDrive%\PROGRAM FILES (X86)\ORIGIN dirzooex %SystemDrive%\PROGRAM FILES (X86)\ORIGIN regt 39 regt 40 CZOO restart

Код

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
dirzoo %SystemDrive%\PROGRAM FILES (X86)\ORIGIN
dirzooex %SystemDrive%\PROGRAM FILES (X86)\ORIGIN
regt 39
regt 40
CZOO
restart

после перезагрузки системы сделайте новый образ автозапуска в uVS

[ Как создать образ автозапуска? ]

Сообщений: 31

Баллов: 15

Регистрация: 23.05.2021

Размещено 24.05.2021 15:20:50

santy, архив скинул на почту, а файлы в папке так и оставить с изменёнными расширениями или удалить? Вот новый образ.

Прикрепленные файлы

PC_2021-05-24_19-25-11_v4.11.6.TXT (16.97 МБ)

Изменено: Dark Fire - 24.05.2021 15:32:13

Пред. 1 2 3 4 5 ... 8 След.