Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

MSIL/Injector.VGR , Появляется уведомление каждую минуту что угроза удалена MSIL/Injector.VGR

RSS
 
Casp White
Casp White
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 23.05.2021
Размещено 23.05.2021 00:36:22
Здравствуйте. Появляется уведомление каждую минуту что угроза удалена MSIL/Injector.VGR. Полная проверка и удаление подозрительных файлов ни к чему не привела. Буду благодарен за любую помощь, так как не знаю что с этим делать.

Изменено: Casp White - 23.05.2021 00:39:59

Ответы

Пред. 1 2 3 4 5 6 ... 8 След.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2021 15:31:51
файлы можно удалить, образ сейчас гляну
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2021 15:40:14
файлы получил, спасибо! судя по дате создания все свежие, от сегодня. по работе origin так понимаю что служба приостановлена сейчас.

Цитата
Полное имя                  C:\PROGRAM FILES (X86)\ORIGIN\ORIGINWEBHELPERSERVICE.EXE
Имя файла                   ORIGINWEBHELPERSERVICE.EXE
Тек. статус                 ?ВИРУС? ПОДОЗРИТЕЛЬНЫЙ сервис в автозапуске
                           
Удовлетворяет критериям    
SIGN.NOT.IN WHITE LIST      (ССЫЛКА ~ \IMAGEPATH)(1)   AND   (ЦИФР. ПОДПИСЬ ~ ДЕЙСТВИТЕЛЬНА)(1)   AND   (ЦИФР. ПОДПИСЬ !~ WDSL)(1) [auto (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПРОВЕРЕННЫЙ сервис в автозапуске
File_Id                     6099126D361000
Linker                      14.0
Размер                      3487320 байт
Создан                      20.05.2021 в 07:40:50
Изменен                     10.05.2021 в 04:09:26
                           
TimeStamp                   10.05.2021 в 11:01:01
EntryPoint                  +
OS Version                  6.0
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              -
IMAGE_FILE_EXECUTABLE_IMAGE +
Оригинальное имя            ORIGINWEBHELPERSERVICE.EXE
Тип файла                   32-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Действительна, подписано "Electronic Arts, Inc."
                           
Оригинальное имя            OriginWebHelperService.exe
Версия файла                10,5,99,47918
Описание                    OriginWebHelperService
Производитель               Electronic Arts
                           
Доп. информация             на момент обновления списка
SHA1                        BE169AAA99B26DAFA7F8AAFC1B5D766FD10ED374
MD5                         B8B6DB822D28AAA41DE4AE226A4A1236
                           
Ссылки на объект            
Ссылка                      HKLM\System\CurrentControlSet\Services\Origin Web Helper Service\ImagePath
ImagePath                   "C:\Program Files (x86)\Origin\OriginWebHelperService.exe"
DisplayName                 Origin Web Helper Service
Origin Web Helper Service   тип запуска: Вручную (3)
Изменен                     23.05.2021 в 21:01:35
                           
пусть пару дней будет в таком случае, понаблюдайте, будет ли новое заражение HashCalc.vexe
потом можно рискнуть, и включить эту службу и проверить результат.
папку с HashCalc.exe можно удалить. Если будет новое заражение она будет пересоздана.

хэши файлов вчерашние и свежие по HashCalc одинаковы.
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2021 15:42:39
да, и я просит вас сделать копию всей папки с origin
C:\PROGRAM FILES (X86)\ORIGIN
все файлы добавить в один архив с паролем infected, если файл будет небольшой можно так же в почту выслать
[ Как создать образ автозапуска? ]
 
Dark Fire
Dark Fire
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 23.05.2021
Размещено 24.05.2021 15:59:51
santy,я вчера вроде оключил эту службу, отправил на почту архив с папкой.
Изменено: Dark Fire - 24.05.2021 16:07:05
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2021 16:17:43
Цитата
Dark Fire написал:
 santy ,я вчера вроде оключил эту службу, отправил на почту архив с папкой.

да, активность есть только в этом образе от 2021.05.23 16:55
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2021 16:41:12
важно отмониторить кем эта задача создается

Цитата
Полное имя                  C:\USERS\DARKFIRE\APPDATA\ROAMING\MICROSOFT\HASHCALC\MD5\HASHC­ALC.EXE
Имя файла                   HASHCALC.EXE
Тек. статус                 ПОДОЗРИТЕЛЬНЫЙ в автозапуске Фильтр
                           
Удовлетворяет критериям    
HASHCALK                    (ССЫЛКА ~ \TASKS\ZHASHCALCULATOR)(1) [filtered (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      ПОДОЗРИТЕЛЬНЫЙ в автозапуске
Инф. о файле                Не удается найти указанный файл.
Цифр. подпись               проверка не производилась
                           
Статус                      ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Путь до файла               Типичен для вирусов и троянов
                           
Ссылки на объект            
Ссылка                      C:\WINDOWS\SYSTEM32\TASKS\ZHASHCALCULATOR
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C191EF47-E312-4874-8F70-C7A0D18BD395}\Actions
Actions                     "C:\Users\DarkFire\AppData\Roaming\Microsoft\HashCalc\MD5\HashC­alc.exe"
                           
Ссылка                      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{C191EF47-E312-4874-8F70-C7A0D18BD395}\
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2021 16:48:12
+
этот скрипт судя по последнему образу вы не выполнили, т.е не включили мониторинг процессов
(!) Подробная информация о завершенных процессах недоступна, включите отслеживания процессов твиком #39 и перезагрузите систему

если не сложно, выполните этот скрипт,

Цитата
;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
regt 39
restart

и после перезагрузки нужен новый образ с включенным мониторингом процессов

здесь косяк с моей стороны, потому что regt 40 следом отключил мониторинг :((
[ Как создать образ автозапуска? ]
 
Dark Fire
Dark Fire
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 23.05.2021
Размещено 24.05.2021 17:01:24
santy, сейчас сделаю, вот пожалуйста.
Изменено: Dark Fire - 24.05.2021 17:06:50
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2021 17:27:17
да, теперь отслеживание включено
Цитата
Отслеживание задач: 1
Отслеживание запуска процессов: 1
Отслеживание завершения процессов: 1
пусть система в таком режиме поработает некоторое время,
[ Как создать образ автозапуска? ]
 
Dark Fire
Dark Fire
Пользователь
Сообщений: 31
Баллов: 15
Регистрация: 23.05.2021
Размещено 24.05.2021 17:36:13
santy, а в какой момент вам написать нужно?
 
Пред. 1 2 3 4 5 6 ... 8 След.
Читают тему