Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

поговорить о uVS, Carberp, планете Земля

RSS
Обсуждаем Carberp всех модификаций :)


Цитата
;uVS v3.71 script [http://dsrt.dyndns.org]

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
bl 6D99C48BBD436116B78A04997D854F57 164352
delall %SystemDrive%\DOCUMENTS AND SETTINGS\HOUSE\ГЛАВНОЕ МЕНЮ\ПРОГРАММЫ\АВТОЗАГРУЗКА\IGFXTRAY.EXE
delall %SystemDrive%\DOCUMENTS AND SETTINGS\ALL USERS\APPLICATION DATA\ICQ\ICQNEWTAB\NEWTAB.HTML
regt 1
regt 2
regt 7
regt 18
deltmp
delnfr
restart
Изменено: Арвид - 22.11.2011 13:07:19
Правильно заданный вопрос - это уже половина ответа

Ответы

Пока искал информацию опять айфон выиграл  :)
Везёт же ...
----
Тема должна и на других форумах быть - посмотрю.
33445566_cr.jpg (43.33 КБ)
По форумам лечения пока глухо.
Цитата
RP55 RP55 написал:
По форумам лечения пока глухо.
ну почему же
https://forum.eset.com/topic/28522-dotnet-msil-injectorvgr/page/2/
Все таки забекдурили утилиту...

Цитата
Дмитрий Б написал:
Цитата
 RP55 RP55  написал:
По форумам лечения пока глухо.
ну почему же
https://forum.eset.com/topic/28522-dotnet-msil-injectorvgr/page/2/
Все таки забекдурили утилиту...

отлично, нас также отметили на форуме eset.com  в этой теме :)

Цитата
Interesting posting for MSIL / Injector.VGR on Eset Russian language forum here: https://translate.google.com/translate?hl=en&sl=ru&u=http://forum.esetnod32.ru/forum6/topic16369/&prev=search&pto=aue .

It appears a bit of manual cleaning for removal of it is required. Also, do not use the script posted in this link since it was written specifically for the OP. However, I would check the below  locations for presence of the files listed;

%SystemDrive% \ USERS \ xxxxx \ APPDATA \ ROAMING \ MICROSOFT \ WINDOWS \ START MENU \ PROGRAMS \ STARTUP \ MICROSOFT NET_FRAMEWORK.BAT
%SystemDrive% \ USERS \ xxxxx \ APPDATA \ ROAMING \ MICROSOFT \ GOOGLE \ CHROMEEXTENSIONS \ ADS \ HONEYADS \ EXUPD.EXE
так, ESET начал детектировать
C:\USERS\*\APPDATA\ROAMING\MICROSOFT\HASHCALC\MD5\HASHCALC.EXE

ESET-NOD32
MSIL/Agent.UNR
https://www.virustotal.com/gui/file/d1d09502f2352ce7ba252cfe146bbb4fa1d9e1354ee6076­94840ca8c7e4c6d50/detection
+

calc.dll
ESET-NOD32
MSIL/Agent.UNR
DrWeb
Trojan.LoaderNET.2
https://www.virustotal.com/gui/file/e148e5485feb62bc42152c0807c36834c054932bec0f54f­24c9f325705f7d492/detection

------------
судя по последней теме есть повторное заражение
+
во всех темах на форуме есть свежеустановленный  origin с неподписанными dll

тема с hashcalc на форуме Касперского
(посыпались)
https://forum.kasperskyclub.ru/topic/82418-proshu-pomoshhi-v-udalenii-trojana-memtrojanwin32sepehgen/
+
https://forum.kasperskyclub.ru/topic/82359-ne-mogu-udalit-memtrojanwin32sepehgen/
+
https://forum.kasperskyclub.ru/topic/82451-amsi-zashhita-heurtrojanmsilminergen/
+
https://forum.kasperskyclub.ru/topic/82452-kasperskij-vydaet-problemu-pod-nazvaniem-memtrojanwin32sepehgen/
Скрытый майнер в svchost.exe
https://www.cyberforum.ru/viruses/thread2844923.html

хвост (в svchost.exe) виден в uVS



а из под Winpe видим, что скрытую dll и службу, запускаемую через svchost.exe
https://www.virustotal.com/gui/file/7893c5e68ff78d76c0b4b8ba5ae2367fa9c285efe520de4­4ff12498ba90df5b0/detection

Цитата
Полное имя                  C:\WINDOWS\SYSTEM32\MS5AC23CA6APP.DLL
Имя файла                   MS5AC23CA6APP.DLL
Тек. статус                 ?ВИРУС? ВИРУС сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST] Фильтр
                           
Обнаруженные сигнатуры      
Сигнатура                   Win32/Packed.VMProtect.AB (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2021-06-09
                           
www.virustotal.com          2021-06-01 00:20 [2021-05-05]
DrWeb                       Trojan.Packed2.43111
ESET-NOD32                  a variant of Win32/Packed.VMProtect.ABO
Kaspersky                   Trojan.Win32.Agentb.kkyb
Microsoft                   Trojan:Win32/Vigorf.A
                           
Удовлетворяет критериям    
SERV_DLL.FALSE              (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
MINER (FILTERED)            (SERVICEDLL ~ C:\WINDOWS\SYSTEM32\MS5AC23CA6APP.DLL)(1) [filtered (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
File_Id                     609002E7CF000
Linker                      8.0
Размер                      394240 байт
Создан                      25.05.2021 в 14:12:38
Изменен                     04.05.2021 в 18:19:00
                           
TimeStamp                   03.05.2021 в 14:04:23
EntryPoint                  +
OS Version                  0.2
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        5FC84FB8A1052C66C3456B39FF0B2F1BA30BAC01
MD5                         BA8C6938AA6973E5081F48F1D61E2969
                           
Ссылки на объект            
Ссылка                      HKLM\uvs_system\ControlSet001\Services\Ms5AC23CA6App\Paramet­ers\ServiceDLL
ServiceDLL                  C:\Windows\System32\Ms5AC23CA6App.dll
Name                        Ms5AC23CA6App
Изменен                     25.05.2021 в 14:12:38
                           

похожая тема:
https://forum.eset.com/topic/28800-cleaning-rootkit-problem/

Цитата
Hi Dear ESET Admins.

We find over 10 System in a network that was infected with a Dll that work like a rootkit. it use svchost.exe and dllhost.exe to download other Trojans and coin-miners.

The main dll threat is : c:\windows\system32\Ms32A1591EApp.dll

Пожалуй тоже интересно.
virusinfo.info/showthread.php?t=226896&s=3f98f4e4dd71fb5419501413fd0b259c

Столько файлов запихать в START MENU\PROGRAMS...
Цитата
RP55 RP55 написал:
Столько файлов запихать в START MENU\PROGRAMS...
+
здесь плюс еще в том, что все файлы найдены одной сигнатурой, и удаляются скриптом из трех команд
addsign
chklst
delvir

без указаний на длинные пути файлов.
Microsoft призналась в подписании вредоносного драйвера «Netfilter»

«Netfilter» оказался руткитом, который обменивался данными с китайскими командными серверами...

safezone.cc/threads/microsoft-priznala-chto-podpisala-rutkit-vredonosnoe-po.38893/

https://www.virustotal.com/gui/file/e0afb8b937a5907fbe55a1d1cc7574e9304007ef33fa80f­f3896e997a1beaf37/details
Читают тему