msil/injector.vof

Здравствуйте. помогите решить проблему, постоянно выскакивает окно что удален msil/injector.vof пишет что из оперативной памяти powershell.exe
вот файл автозапуска из uvs https://www.sendspace.com/file/ns06v7

Вам нужно установить системные обновления - которые закроют уязвимость.
Или официальные или накопительные обновления.

+
Нужен лог ESETLogCollector
как это сделать, подробнее в нашей инструкции
https://forum.esetnod32.ru/forum9/topic10671/
+
лог ESVC:
Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
https://ftp.eset.sk/samples/svchecker/ESETSysVulnCheck.exe
и запустите её от имени администратора.
После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip".
Пришлите его также нам на анализ.  

! Здесь внизу страницы есть меню: Загрузить файлы.

Вот ссылка на лог ESETLogCollector https://www.sendspace.com/file/holtqp извиняюсь поспешил не дочитал пару минут скину второй лог

все нашел меню)

17.06.2022 8:57:19 Advanced memory scanner file Operating memory » powershell.exe(1532) a variant of MSIL/Injector.VOF trojan cleaned - contained infected files 02BF98C88F11F998F15E6418695A17EC2FD51618
17.06.2022 2:56:36 Advanced memory scanner file Operating memory » powershell.exe(1620) a variant of MSIL/Injector.VOF trojan cleaned - contained infected files 02BF98C88F11F998F15E6418695A17EC2FD51618

Цитата

27.05.2022 14:43:16 Advanced memory scanner file Operating memory » taskeng.exe(1984) a variant of Win64/Rootkit.Agent.AZ trojan cleaned (after the next restart) - contained infected files 7DE35EDDF40ED09D65E6DC2122BE85D78DA83773 27.05.2022 14:43:15 Advanced memory scanner file Operating memory » taskeng.exe(2772) a variant of Win64/Rootkit.Agent.AZ trojan cleaned (after the next restart) - contained infected files 2BF64E68A5CB864127D1BC4DE3D65B759ACCDB81 27.05.2022 14:43:15 Advanced memory scanner file Operating memory » CCleaner64.exe(384) a variant of Win64/Rootkit.Agent.AZ trojan cleaned (after the next restart) - contained infected files 5437FA266CCB37ABD17D332120D4FBCDD53EB4BF 27.05.2022 14:43:14 Advanced memory scanner file Operating memory » dllhost.exe(4004) a variant of Win64/Rootkit.Agent.AZ trojan unable to clean 9F213E2E081104D00D7927D623251674309FB057

Систему уже пролечивали от руткита?

пытался) с форума брал утилиты, в общем ничего они не нашли, только малварь нашел какие то иньекторы

по логу ESVC:
Vulnerable SMBv1 protocol is enabled. To disable it, please check "How to remove SMBv1" at:
https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/detect-enable-and-disable-smbv1-v2-v3#how-to-remove-smbv1

Logon events auditing is probably partially (or fully) disabled.
To enable it, launch secpol.msc and in Local Policies -> Audit Policy -> Audit logon events, check both Success and Failure.

A tool that might have been misused by hackers to uninstall or disable ESET was detected:
- Process Hacker 2.39 (r124)  (installed on 08.05.2022 18:52:58)

The following critical patches are missing:
- MS16-032  (https://technet.microsoft.com/en-us/library/security/MS16-032)

MSIL/Injector.VOF trojan cleaned вот с этой надписью нод всплывающее окно показывал, причем чет с месяц вроде, это окно периодически всплывает

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.12 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c OFFSGNSAVE regt 39 regt 41 restart

перезагрузка, сделайте, пожалуйста, образ автозапуска с отслеживанием процессов и задач.
------------

судя по журналам сообщения выходит нечасто: 2-3 обнаружения за сутки.