Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] MSIL/Injector.YT - угроза в оперативной памяти

1
RSS
 
Ярослав Иващук
Ярослав Иващук
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 23.06.2015
Размещено 23.06.2015 13:33:29
Добрый день!
Не заметил, где вчера поймал эту заразу.
ESET Smary Security, Dr. Web Cureit! с этой заразой не справились.
Требуемый лог прилагаю, прошу помощи
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.06.2015 15:49:24
проблема возможно в этом активаторе
C:\PROGRAMDATA\KMSAUTOS\KMSAUTO NET.EXE

добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
[ Как создать образ автозапуска? ]
 
Ярослав Иващук
Ярослав Иващук
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 23.06.2015
Размещено 23.06.2015 15:58:33
Возможно, и так, правда, этот активатор присутствует на компьютере довольно давно, а гадость обнаружилась лишь вчера.
Лог журнала прилагаю
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.06.2015 16:09:37
да, здесь на форуме чуть ниже несколько тем с этой же проблемой
http://forum.esetnod32.ru/forum6/topic12130/
http://forum.esetnod32.ru/forum6/topic12104/
http://forum.esetnod32.ru/forum6/topic12123/

Цитата
23.06.2015 14:58:52 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3840000_2020.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
23.06.2015 14:58:52 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_30F0000_2020.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
23.06.2015 14:58:52 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_30E0000_2020.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
и по всем темам в образе автозапуске в задачах запуск этого (или аналогичного) активатора.
-------
то что не было детекта раньше:
возможно добавили детект недавно в новые базы
возможно ложный детект
возможно по просьбе "трудящихся из Микрософта" добавлен детект.
Изменено: santy - 23.06.2015 16:17:02
[ Как создать образ автозапуска? ]
 
Ярослав Иващук
Ярослав Иващук
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 23.06.2015
Размещено 23.06.2015 16:23:57
Что ж, симптомы похожие. Каков будет Ваш вердикт? Какие действия предпринять?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.06.2015 16:30:06
проверьте будет ли детект если исключить активатор из автозапуска
[ Как создать образ автозапуска? ]
 
Ярослав Иващук
Ярослав Иващук
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 23.06.2015
Размещено 23.06.2015 17:26:29
В автозагрузке, доступной из диспетчера задач, ничего подобного на активатор не обнаружил. В процессах, однако, обнаружился процесс MultiKMS. Я его убил, сделал несколько контрольных перезагрузок компьютера. Прошло 20 минут работы, детект не обнаруживается. Далее сегодня нет возможности отслеживать (на работу пора), посмотрю еще завтра. Спасибо за помощь!
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.06.2015 17:51:50
есть пара файлов:
в списке задач и в сервисах.
Цитата
Полное имя                  C:\PROGRAMDATA\KMSAUTOS\KMSAUTO NET.EXE
Имя файла                   KMSAUTO NET.EXE
Тек. статус                 в автозапуске
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
File_Id                     5476BE60506000
Linker                      11.0
Размер                      5243904 байт
Создан                      06.06.2015 в 10:33:06
Изменен                     06.06.2015 в 10:28:11
                                                     
Оригинальное имя            KMSAuto Net.exe
Версия файла                1.3.4
Описание                    KMSAuto Net
Производитель               MSFree Inc.
                           
Доп. информация             на момент обновления списка
CmdLine                     /WIN=ACT
SHA1                        723209AE8ACB8FAF520CA1271505A8E6737154C9
MD5                         11D5507C8770EB6BF95E1924C83955A9
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\KMSAUTONET

и

Цитата
Полное имя                  C:\WINDOWS\MULTIKMS\MULTIKMS.EXE
Имя файла                   MULTIKMS.EXE
Тек. статус                 АКТИВНЫЙ ?ВИРУС? сервис в автозапуске
                           
www.virustotal.com          2014-09-01
Microsoft                   HackTool:Win32/Keygen
                           
Сохраненная информация      на момент создания образа
Статус                      АКТИВНЫЙ сервис в автозапуске
File_Id                     4EC7BDAA164000
Linker                      8.0
Размер                      1435136 байт
Создан                      06.06.2015 в 10:08:56
Изменен                     06.06.2015 в 10:08:56
                           
TimeStamp                   19.11.2011 в 14:31:06
EntryPoint                  +
OS Version                  4.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            MultiKMS.exe
Версия файла                2.3.0.0
Описание                    MultiKMS
                           
Доп. информация             на момент обновления списка
pid = 2020                  NT AUTHORITY\СИСТЕМА
CmdLine                     "C:\Windows\MultiKMS\MultiKMS.exe"
Процесс создан              10:28:33 [2015.06.23]
С момента создания          02:47:31
parentid = 548              
SHA1                        8AAD6038051F0E2200F20C4DA67B035A4B18053E
MD5                         1A18053E9943C658B33F072D8BDB9435
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\MultiKMS\ImagePath
ImagePath                   "C:\Windows\MultiKMS\MultiKMS.exe"
MultiKMS                    тип запуска: Авто (2)
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
                           
Образы                      EXE и DLL
MULTIKMS.EXE                C:\WINDOWS\MULTIKMS
--------
визможно причина детектирования в одном из них.
[ Как создать образ автозапуска? ]
 
Ярослав Иващук
Ярослав Иващук
Пользователь
Сообщений: 5
Баллов: 2
Регистрация: 23.06.2015
Размещено 25.06.2015 09:07:00
День добрый!
От греха подальше удалил из C:\WINDOWS\SYSTEM32\TASKS\ файл KMSAUTONET, а из C:\WINDOWS - папку MULTIKMS. Все, детекта нет со вчерашнего вечера. Надеюсь, болезнь если и не излечена, то заглушена надолго. Или я снова рано радуюсь?
Благодарю, santy, за помощь!  
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 25.06.2015 10:21:05
Ярослав,
поживем, увидим :).
закрываю тему
[ Как создать образ автозапуска? ]
 
1
Читают тему