Размещено 17.06.2022 12:44:23
Здравствуйте. помогите решить проблему, постоянно выскакивает окно что удален msil/injector.vof пишет что из оперативной памяти powershell.exe
вот файл автозапуска из uvs
вот файл автозапуска из uvs
Дорогие участники форума!
Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше. После официального ухода компании ESET с российского рынка мы приступили к разработке новых продуктов вместе с новыми партнёрами. Приглашаем вас присоединиться к нашему новому форуму PRO32.
Мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.
Купить и продлить лицензии ESET на нашем сайте больше нельзя.
Предлагаем вам попробовать новые продукты компании PRO32.
PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств. Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.
msil/injector.vof
Размещено 17.06.2022 14:40:56
Вам нужно установить системные обновления - которые закроют уязвимость.
Или официальные или накопительные обновления.
+
Нужен лог ESETLogCollector
как это сделать, подробнее в нашей инструкции
+
лог ESVC:
Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
и запустите её от имени администратора.
После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip".
Пришлите его также нам на анализ.
! Здесь внизу страницы есть меню: Загрузить файлы.
Или официальные или накопительные обновления.
+
Нужен лог ESETLogCollector
как это сделать, подробнее в нашей инструкции
+
лог ESVC:
Скачайте специальную утилиту ESETSysVulnCheck[/B] по ссылке (скачивать необходимо в IE)
и запустите её от имени администратора.
После окончания работы утилиты в папке, откуда была запущенна сама утилита, появится лог - файл вида "SysVulnCheck_out.zip".
Пришлите его также нам на анализ.
! Здесь внизу страницы есть меню: Загрузить файлы.
Изменено: RP55 RP55 - 17.06.2022 16:23:23
Размещено 17.06.2022 16:24:10
Вот ссылка на лог ESETLogCollector извиняюсь поспешил не дочитал пару минут скину второй лог
Изменено: rusik ens - 17.06.2022 16:26:21
Размещено 17.06.2022 16:37:41
17.06.2022 8:57:19 Advanced memory scanner file Operating memory » powershell.exe(1532) a variant of MSIL/Injector.VOF trojan cleaned - contained infected files 02BF98C88F11F998F15E6418695A17EC2FD51618
17.06.2022 2:56:36 Advanced memory scanner file Operating memory » powershell.exe(1620) a variant of MSIL/Injector.VOF trojan cleaned - contained infected files 02BF98C88F11F998F15E6418695A17EC2FD51618
Систему уже пролечивали от руткита?
17.06.2022 2:56:36 Advanced memory scanner file Operating memory » powershell.exe(1620) a variant of MSIL/Injector.VOF trojan cleaned - contained infected files 02BF98C88F11F998F15E6418695A17EC2FD51618
| Цитата |
|---|
| 27.05.2022 14:43:16 Advanced memory scanner file Operating memory » taskeng.exe(1984) a variant of Win64/Rootkit.Agent.AZ trojan cleaned (after the next restart) - contained infected files 7DE35EDDF40ED09D65E6DC2122BE85D78DA83773 27.05.2022 14:43:15 Advanced memory scanner file Operating memory » taskeng.exe(2772) a variant of Win64/Rootkit.Agent.AZ trojan cleaned (after the next restart) - contained infected files 2BF64E68A5CB864127D1BC4DE3D65B759ACCDB81 27.05.2022 14:43:15 Advanced memory scanner file Operating memory » CCleaner64.exe(384) a variant of Win64/Rootkit.Agent.AZ trojan cleaned (after the next restart) - contained infected files 5437FA266CCB37ABD17D332120D4FBCDD53EB4BF 27.05.2022 14:43:14 Advanced memory scanner file Operating memory » dllhost.exe(4004) a variant of Win64/Rootkit.Agent.AZ trojan unable to clean 9F213E2E081104D00D7927D623251674309FB057 |
Систему уже пролечивали от руткита?
Размещено 17.06.2022 16:42:15
пытался) с форума брал утилиты, в общем ничего они не нашли, только малварь нашел какие то иньекторы
Размещено 17.06.2022 16:42:40
по логу ESVC:
Vulnerable SMBv1 protocol is enabled. To disable it, please check "How to remove SMBv1" at:
Logon events auditing is probably partially (or fully) disabled.
To enable it, launch secpol.msc and in Local Policies -> Audit Policy -> Audit logon events, check both Success and Failure.
A tool that might have been misused by hackers to uninstall or disable ESET was detected:
- Process Hacker 2.39 (r124) (installed on 08.05.2022 18:52:58)
The following critical patches are missing:
- MS16-032 ()
Vulnerable SMBv1 protocol is enabled. To disable it, please check "How to remove SMBv1" at:
Logon events auditing is probably partially (or fully) disabled.
To enable it, launch secpol.msc and in Local Policies -> Audit Policy -> Audit logon events, check both Success and Failure.
A tool that might have been misused by hackers to uninstall or disable ESET was detected:
- Process Hacker 2.39 (r124) (installed on 08.05.2022 18:52:58)
The following critical patches are missing:
- MS16-032 ()
Размещено 17.06.2022 16:44:03
MSIL/Injector.VOF trojan cleaned вот с этой надписью нод всплывающее окно показывал, причем чет с месяц вроде, это окно периодически всплывает
Изменено: rusik ens - 17.06.2022 16:44:38
Размещено 17.06.2022 16:44:53
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
перезагрузка, сделайте, пожалуйста, образ автозапуска с отслеживанием процессов и задач.
------------
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
| Код |
|---|
;uVS v4.12 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c OFFSGNSAVE regt 39 regt 41 restart |
перезагрузка, сделайте, пожалуйста, образ автозапуска с отслеживанием процессов и задач.
------------
Читают тему