MSIL/Injector.VGR , Появляется уведомление каждую минуту что угроза удалена MSIL/Injector.VGR

RSS

Сообщений: 4

Баллов: 2

Регистрация: 23.05.2021

Размещено 23.05.2021 00:36:22

Здравствуйте. Появляется уведомление каждую минуту что угроза удалена MSIL/Injector.VGR. Полная проверка и удаление подозрительных файлов ни к чему не привела. Буду благодарен за любую помощь, так как не знаю что с этим делать.

Прикрепленные файлы

MSIL_Injector.VGR.txt (486 Б)
DESKTOP-V95DKH9_2021-05-22_23-53-27_v4.11.6.TXT (18.78 МБ)

Изменено: Casp White - 23.05.2021 00:39:59

Ответы

Пред. 1 ... 3 4 5 6 7 8 След.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.05.2021 17:38:04

если смотреть по другой теме, где было включено отслеживание

Цитата
Полное имя C:\USERS\ВАДИК\APPDATA\ROAMING\MICROSOFT\HASHCALC\MD5\HASHCALC.EXE Имя файла HASHCALC.EXE Тек. статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Фильтр Удовлетворяет критериям HIDDEN AND NOT SIGN FILES (АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1) AND (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)] HASHCALK (ССЫЛКА ~ \TASKS\ZHASHCALCULATOR)(1) OR ( ~ ZHASHCALCULATOR)(1) [filtered (0)] Сохраненная информация на момент создания образа Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске File_Id 60A8078240000 Linker 48.0 Размер 244224 байт Создан 23.05.2021 в 22:18:49 Изменен 23.05.2021 в 22:18:49 Атрибуты СКРЫТЫЙ TimeStamp 21.05.2021 в 19:18:26 EntryPoint - OS Version 0.0 Subsystem Windows graphical user interface (GUI) subsystem IMAGE_FILE_DLL - IMAGE_FILE_EXECUTABLE_IMAGE + Тип файла 64-х битный ИСПОЛНЯЕМЫЙ Цифр. подпись Отсутствует либо ее не удалось проверить Оригинальное имя Calculator.exe Версия файла 1.2.0.36 Версия продукта 1.2.0.36 Описание Calculator.NET Продукт Calculator.NET Copyright Copyright © 2015 Paul Welter Производитель LoreSoft Комментарий Calculator that can parse math expression. Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ Атрибут файла "Скрытый" или "Системный" [типично для вирусов] Путь до файла Типичен для вирусов и троянов Доп. информация на момент обновления списка pid = 12800 DESKTOP-O2C99K0\Вадик Процесс создан 23:54:01 [2021.05.23] Процесс завершен 23:54:01 [2021.05.23] parentid = 1496 C:\WINDOWS\SYSTEM32\SVCHOST.EXE SHA1 91ED18FFA32D7576427A370D18F752960F93A877 MD5 BAF6C03D6F8127F20C4A5680BDA6A4B7 Ссылки на объект Ссылка C:\WINDOWS\SYSTEM32\TASKS\ZHASHCALCULATOR Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{52C2A9C4-0ABF-44C8-9D82-F6A4D882DB23}\Actions Actions "C:\Users\Вадик\AppData\Roaming\Microsoft\HashCalc\MD5\HashCalc.exe" Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{52C2A9C4-0ABF-44C8-9D82-F6A4D882DB23}\

Цитата

Полное имя C:\USERS\ВАДИК\APPDATA\ROAMING\MICROSOFT\HASHCALC\MD5\HASHCALC.EXE
Имя файла HASHCALC.EXE
Тек. статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске Фильтр

Удовлетворяет критериям
HIDDEN AND NOT SIGN FILES (АТРИБУТ ФАЙЛА ~ "СКРЫТЫЙ" ИЛИ "СИСТЕМНЫЙ")(1) AND (ЦИФР. ПОДПИСЬ ~ ОТСУТСТВУЕТ)(1) [auto (0)]
HASHCALK (ССЫЛКА ~ \TASKS\ZHASHCALCULATOR)(1) OR ( ~ ZHASHCALCULATOR)(1) [filtered (0)]

Сохраненная информация на момент создания образа
Статус ПОДОЗРИТЕЛЬНЫЙ в автозапуске
File_Id 60A8078240000
Linker 48.0
Размер 244224 байт
Создан 23.05.2021 в 22:18:49
Изменен 23.05.2021 в 22:18:49
Атрибуты СКРЫТЫЙ

TimeStamp 21.05.2021 в 19:18:26
EntryPoint -
OS Version 0.0
Subsystem Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL -
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла 64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись Отсутствует либо ее не удалось проверить

Оригинальное имя Calculator.exe
Версия файла 1.2.0.36
Версия продукта 1.2.0.36
Описание Calculator.NET
Продукт Calculator.NET
Copyright Copyright © 2015 Paul Welter
Производитель LoreSoft
Комментарий Calculator that can parse math expression.

Статус ПОДОЗРИТЕЛЬНЫЙ ОБЪЕКТ
Атрибут файла "Скрытый" или "Системный" [типично для вирусов]
Путь до файла Типичен для вирусов и троянов

Доп. информация на момент обновления списка
pid = 12800 DESKTOP-O2C99K0\Вадик
Процесс создан 23:54:01 [2021.05.23]
Процесс завершен 23:54:01 [2021.05.23]
parentid = 1496 C:\WINDOWS\SYSTEM32\SVCHOST.EXE
SHA1 91ED18FFA32D7576427A370D18F752960F93A877
MD5 BAF6C03D6F8127F20C4A5680BDA6A4B7

Ссылки на объект
Ссылка C:\WINDOWS\SYSTEM32\TASKS\ZHASHCALCULATOR

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{52C2A9C4-0ABF-44C8-9D82-F6A4D882DB23}\Actions
Actions "C:\Users\Вадик\AppData\Roaming\Microsoft\HashCalc\MD5\HashCalc.exe"

Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Plain\{52C2A9C4-0ABF-44C8-9D82-F6A4D882DB23}\

здесь видим, что процесс запускается через планировщик задач
parentid = 1496 C:\WINDOWS\SYSTEM32\SVCHOST.EXE

но это и так ясно, не ясно, каким образом создается данная задача

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.05.2021 17:40:47

еще нужен новый лог журнала обнаружения угроз, ведь теперь антивирус отреагировал на создание файлов

[ Как создать образ автозапуска? ]

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 24.05.2021 17:45:32

Цитата
Dark Fire написал: santy , а в какой момент вам написать нужно?

если заражение повторится в ближайшее время, можно написать на форум и в почту, в ближайшие несколько дней у меня будет больше времени, и RP55 так же мониторит эти темы

[ Как создать образ автозапуска? ]

Сообщений: 31

Баллов: 15

Регистрация: 23.05.2021

Размещено 24.05.2021 17:58:29

santy, хорошо, отпишусь, если что-то произойдёт.

Сообщений: 31

Баллов: 15

Регистрация: 23.05.2021

Размещено 27.05.2021 09:07:52

santy, день добрый, ситуации один в один, как в последнем случае, опять обнаружение. Архив скинул на почту. Включил торрент, и почти сразу поймал вирус, удалил папку с вирусом, через пару минут опять обнаружение.

Прикрепленные файлы

PC_2021-05-27_13-10-52_v4.11.6.TXT (17.42 МБ)
Новый текстовый документ.txt (1.25 КБ)

Изменено: Dark Fire - 27.05.2021 09:21:32

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.05.2021 09:29:23

можно, полностью журнал обнаружения угроз добавить?
+
вопрос:
C:\USERS\DARKFIRE\APPDATA\ROAMING\OPENSSL\TORBROWSER\DATA\TOR.EXE
torbrowser сами ставили?
+
еще один лог сделайте:
ESETlogCollector
https://forum.esetnod32.ru/forum9/topic10671/

[ Как создать образ автозапуска? ]

Сообщений: 31

Баллов: 15

Регистрация: 23.05.2021

Размещено 27.05.2021 09:32:18

santy, я его периодически чистил, но вот ещё два новых обнаружения.

Прикрепленные файлы

Новый текстовый документ.txt (1.25 КБ)

Изменено: Dark Fire - 27.05.2021 09:32:26

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.05.2021 09:33:07

вопрос:
C:\USERS\DARKFIRE\APPDATA\ROAMING\OPENSSL\TORBROWSER\DATA\TOR.EXE
torbrowser сами ставили?
+
еще один лог сделайте:
ESETlogCollector
https://forum.esetnod32.ru/forum9/topic10671/

[ Как создать образ автозапуска? ]

Сообщений: 31

Баллов: 15

Регистрация: 23.05.2021

Размещено 27.05.2021 09:35:58

santy, нет, я не помню вообще такого названия. Я так понимаю что скачиваю ESET Log Collector и просто нажимаю собрать?

Изменено: Dark Fire - 27.05.2021 09:37:34

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 27.05.2021 09:40:07

да, собрать

[ Как создать образ автозапуска? ]

Пред. 1 ... 3 4 5 6 7 8 След.