Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

MSIL/Injector.VGR , Появляется уведомление каждую минуту что угроза удалена MSIL/Injector.VGR

RSS
 
Casp White
Casp White
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 23.05.2021
Размещено 23.05.2021 00:36:22
Здравствуйте. Появляется уведомление каждую минуту что угроза удалена MSIL/Injector.VGR. Полная проверка и удаление подозрительных файлов ни к чему не привела. Буду благодарен за любую помощь, так как не знаю что с этим делать.

Изменено: Casp White - 23.05.2021 00:39:59

Ответы

Пред. 1 ... 3 4 5 6 7 8 След.
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 24.05.2021 17:38:04
если смотреть по другой теме, где было включено отслеживание

Цитата
Полное имя                  C:\USERS\ВАДИК\APPDATA\ROAMING\MICROSOFT\HASHCALC\MD5\HASHCALC­.EXE
Имя файла                   HASHCALC.EXE
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ в автозапуске Фильтр
                           
Удовлетворяет критериям    
HIDDEN AND NOT SIGN FILES   (АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1)   AND   (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]
HASHCALK                    (ССЫЛКА ~ \TASKS\ZHASHCALCULATOR)(1)   OR   ( ~ ZHASHCALCULATOR)(1) [filtered (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id                     60A8078240000
Linker                      48.0
Размер                      244224 байт
Создан                      23.05.2021 в 22:18:49
Изменен                     23.05.2021 в 22:18:49
Атрибуты                    СКРЫТЫЙ  
                           
TimeStamp                   21.05.2021 в 19:18:26
EntryPoint                  -
OS Version                  0.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            Calculator.exe
Версия файла                1.2.0.36
Версия продукта             1.2.0.36
Описание                    Calculator.NET
Продукт                     Calculator.NET
Copyright                   Copyright © 2015 Paul Welter
Производитель               LoreSoft
Комментарий                 Calculator that can parse math expression.
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла               "Скрытый" или "Системный" [типично для вирусов]
Путь до файла               Типичен для вирусов и троянов
                           
Доп. информация             на момент обновления списка
pid = 12800                 DESKTOP-O2C99K0\Вадик
Процесс создан              23:54:01 [2021.05.23]
Процесс завершен            23:54:01 [2021.05.23]
parentid = 1496             C:\WINDOWS\SYSTEM32\SVCHOST.EXE
SHA1                        91ED18FFA32D7576427A370D18F752960F93A877
MD5                         BAF6C03D6F8127F20C4A5680BDA6A4B7
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\ZHASHCALCULATOR
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{52C2A9C4-0ABF-44C8-9D82-F6A4D882DB23}\Actions
Actions                     "C:\Users\Вадик\AppData\Roaming\Microsoft\HashCalc\MD5\HashCalc­.exe"
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{52C2A9C4-0ABF-44C8-9D82-F6A4D882DB23}\
                           

здесь видим, что процесс запускается через планировщик задач
parentid = 1496             C:\WINDOWS\SYSTEM32\SVCHOST.EXE

но это и так ясно, не ясно, каким образом создается данная задача
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 24.05.2021 17:40:47
еще нужен новый лог журнала обнаружения угроз, ведь теперь антивирус отреагировал на создание файлов
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 24.05.2021 17:45:32
Цитата
Dark Fire написал:
 santy , а в какой момент вам написать нужно?
если заражение повторится в ближайшее время, можно написать на форум и в почту, в ближайшие несколько дней у меня будет больше времени, и RP55 так же мониторит эти темы
[ Как создать образ автозапуска? ]
 
Dark Fire
Dark Fire
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 23.05.2021
Размещено 24.05.2021 17:58:29
santy, хорошо, отпишусь, если что-то произойдёт.
 
Dark Fire
Dark Fire
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 23.05.2021
Размещено 27.05.2021 09:07:52
santy, день добрый, ситуации один в один, как в последнем случае, опять обнаружение. Архив скинул на почту. Включил торрент, и почти сразу поймал вирус, удалил папку с вирусом, через пару минут опять обнаружение.
Изменено: Dark Fire - 27.05.2021 09:21:32
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 27.05.2021 09:29:23
можно, полностью журнал обнаружения угроз добавить?
+
вопрос:
C:\USERS\DARKFIRE\APPDATA\ROAMING\OPENSSL\TORBROWSER\DATA\TOR.EXE
torbrowser сами ставили?
+
еще один лог сделайте:
ESETlogCollector
https://forum.esetnod32.ru/forum9/topic10671/
[ Как создать образ автозапуска? ]
 
Dark Fire
Dark Fire
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 23.05.2021
Размещено 27.05.2021 09:32:18
santy, я его периодически чистил, но вот ещё два новых обнаружения.
Изменено: Dark Fire - 27.05.2021 09:32:26
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 27.05.2021 09:33:07
вопрос:
C:\USERS\DARKFIRE\APPDATA\ROAMING\OPENSSL\TORBROWSER\DATA\TOR.EXE
torbrowser сами ставили?
+
еще один лог сделайте:
ESETlogCollector
https://forum.esetnod32.ru/forum9/topic10671/
[ Как создать образ автозапуска? ]
 
Dark Fire
Dark Fire
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 23.05.2021
Размещено 27.05.2021 09:35:58
santy, нет, я не помню вообще такого названия. Я так понимаю что скачиваю ESET Log Collector и просто нажимаю собрать?
Изменено: Dark Fire - 27.05.2021 09:37:34
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 27.05.2021 09:40:07
да, собрать
[ Как создать образ автозапуска? ]
 
Пред. 1 ... 3 4 5 6 7 8 След.
Читают тему