Форум esetnod32.ru [тема: MSIL/Injector.YT] http://forum.esetnod32.ru Новое в теме MSIL/Injector.YT форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 29 Apr 2026 04:36:19 +0300 MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
Случайно запустил файл. Уже удалил.
DNS был установлен от провайдера.
Тему закрыть.  :)
23.06.2015 17:19:09, Станислав Михайленко.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message86151/ http://forum.esetnod32.ru/messages/forum6/topic12104/message86151/ Tue, 23 Jun 2015 17:19:09 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
Только файл.
21.06.2015 10:55:20, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message86081/ http://forum.esetnod32.ru/messages/forum6/topic12104/message86081/ Sun, 21 Jun 2015 10:55:20 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
zloyDi написал:
%WINDIR%\autokms\autokms.exe
=============
Папку AutoKMS или файл только?
Ещё необходим скрипт uVS для удаления MultiKMS.
19.06.2015 13:46:05, Станислав Михайленко.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message86060/ http://forum.esetnod32.ru/messages/forum6/topic12104/message86060/ Fri, 19 Jun 2015 13:46:05 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
Да не ложняк это, реакция на кряк AutoKMS.exe
Удалите его и проблемы не будет.
c:\windows\autokms\autokms.exe
18.06.2015 21:18:19, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message86050/ http://forum.esetnod32.ru/messages/forum6/topic12104/message86050/ Thu, 18 Jun 2015 21:18:19 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
может и ложная.
поддерживаю рекомендацию обратиться в техподдержку, возможно они в курсе этого предположительно ложняка.
18.06.2015 18:46:48, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message86049/ http://forum.esetnod32.ru/messages/forum6/topic12104/message86049/ Thu, 18 Jun 2015 18:46:48 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
Извините за опоздание. Отвечаю:
С DNS ничего не делал. Реклама и перенаправление на скрипт пропали. После перепрошивки Android и получения рут-прав, рекламы не наблюдалось (сегодня перепрошивали).
Угроза возникает только при запуске системы. Больше никакого предупреждения нет, это хорошо.
Увеличиваются сомнения, что это ложная тревога.
18.06.2015 17:52:09, Станислав Михайленко.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message86048/ http://forum.esetnod32.ru/messages/forum6/topic12104/message86048/ Thu, 18 Jun 2015 17:52:09 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
Еще раз, хочу уточнить, когда именно возникает угроза, во время старта системы или во время сканирования системы?

В техподдержку обращались?

При наличии лицензии, обратитесь по адресу support@eset.ua

Спасибо.
17.06.2015 20:39:54, zloyDi.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message86036/ http://forum.esetnod32.ru/messages/forum6/topic12104/message86036/ Wed, 17 Jun 2015 20:39:54 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
это сделали?
====code==== 
по левому DNS вам решать. если есть доступ к настройкам роутера - вбейте гугловские DNS: 8.8.8.8 и 8.8.4.4
=============
17.06.2015 15:50:45, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message86035/ http://forum.esetnod32.ru/messages/forum6/topic12104/message86035/ Wed, 17 Jun 2015 15:50:45 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
Ну и где ответ?
17.06.2015 14:57:18, Станислав Михайленко.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message86034/ http://forum.esetnod32.ru/messages/forum6/topic12104/message86034/ Wed, 17 Jun 2015 14:57:18 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
есть доступ к настройкам роутера
=============
Не помню, сменил ли сисадмин пароль. Если пароль дефолтный, сменю потом.
угрозы.txt
11.06.2015 15:43:49, Станислав Михайленко.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85947/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85947/ Thu, 11 Jun 2015 15:43:49 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
по образу все ок, кроме левого DNS.
добавьте новый лог обнаружения угроз. посмотрим, повлияло ли решение убрать из автозапуска активатора или нет.

по левому DNS вам решать. если есть доступ к настройкам роутера - вбейте гугловские DNS: 8.8.8.8 и 8.8.4.4
11.06.2015 15:06:00, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85946/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85946/ Thu, 11 Jun 2015 15:06:00 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
Лог после скрипта.
DNS от провайдера не знаю. Сисадмин в сети, походу, тоже не знает.
СТАС-ПК_2015-06-10_20-55-43.7z
11.06.2015 13:43:04, Станислав Михайленко.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85943/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85943/ Thu, 11 Jun 2015 13:43:04 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
Станислав,

====quote====
Станислав Михайленко написал:
На этот DNS?
Не сильно в этом разбираюсь.
=============

этот DNS заменить на DNS от вашего провайдера.
если нет доступа в настройки роутера, аппаратно сбросьте настройки роутера и перенастройте его по настройкам от провайдера.
+ установите надежный пароль на настройки.
если это сложно сделать вам, попросите это сделать специалиста, или человека который умеет настроить роутер для работы в сети.


====quote====
СТАРЫЙ ЛОГ:
=============
старый образ не нужен.
нужен новый образ после выполнения последнего скрипта.
11.06.2015 05:17:26, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85928/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85928/ Thu, 11 Jun 2015 05:17:26 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
inetnum:        5.104.175.0 - 5.104.175.255
netname:        Verdina
descr:          Verdina Ltd.
org:            ORG-VL172-RIPE
country:        BG
=============
На этот DNS?
Не сильно в этом разбираюсь.
10.06.2015 20:53:02, Станислав Михайленко.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85926/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85926/ Wed, 10 Jun 2015 20:53:02 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
Лог новый делать или тот, который я забыл выложить?
СТАРЫЙ ЛОГ:
СТАС-ПК_2015-06-10_19-30-50.7z
10.06.2015 20:50:51, Станислав Михайленко.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85925/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85925/ Wed, 10 Jun 2015 20:50:51 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
3. Готово
4. Будет через 10 минут
2015-06-09_13-12-23_log.txt
2015-06-10_20-40-28_log.txt
10.06.2015 20:48:14, Станислав Михайленко.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85924/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85924/ Wed, 10 Jun 2015 20:48:14 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
1. перенастройте DNS роутера и установите надежный пароль на доступ к настройкам
https://www.nic.ru/whois/?query=5.104.175.150


====quote====
inetnum:        5.104.175.0 - 5.104.175.255
netname:        Verdina
descr:          Verdina Ltd.
org:            ORG-VL172-RIPE
country:        BG
=============

2. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\PROGRAM FILES\MSDS\PHOENIX.EXE
addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Tool.BtcMine.94 [DrWeb]

zoo %SystemDrive%\USERS\СТАС\DOWNLOADS\GIT-1.9.5-PREVIEW20150319.EXE
addsgn A7679B1991CE1F245CE76E38210C9B40E503B95200BFCFF1C00B4CF99C5F3498AA521BDE7BB925652BC18477AE47B6054E1FBD1ACBC0F12C4988944B4E2611A1 40 Program.Unwanted.285 [DrWeb]

addsgn A7679B19919AF4EE9195AE59DC63ECFA9D4E67B7891245A47B3C4EA99870304CAA154842F6F3DC49A0922553E0574912350A178DDECF788A6C772F3D666A8432 8 Win32/BitCoinMiner.AI [ESET-NOD32]

zoo %SystemDrive%\PROGRAM FILES\INTEL\INTEL.EXE
zoo D:\WINDOWS.OLD\USERS\СТАС\DESKTOP\AIVLIFE_RU_ANTIALAWAR_2013\ALAWAR SMSKEY KEYMAKER.EXE
delref %SystemRoot%\AUTOKMS\AUTOKMS.EXE
;------------------------autoscript---------------------------

chklst
delvir

deltmp
delnfr
;-------------------------------------------------------------

restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
3. добавьте все логи выполнения скриптов uVS
это файлы дата_Времяlog.txt из папки uVS

4. добавьте новый образ автозапуска
10.06.2015 19:50:44, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85921/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85921/ Wed, 10 Jun 2015 19:50:44 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
Bitcoin.Miner в папке с uVS. Я думал, что снова установился (а вдруг он как браузер "Амиго"?), а потом uVS написал, что нет доступа.
Вот лог.
MBAM я удалил. Если надо — поставлю снова.
Антивирус снова выдаёт артефакты ругательства.
P. S. Boot.exe — файл Денвера, который я недавно установил.
10.06.2015 19:41:45, Станислав Михайленко.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85920/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85920/ Wed, 10 Jun 2015 19:41:45 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
Образ будет, когда приедем.
10.06.2015 16:45:25, Станислав Михайленко.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85918/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85918/ Wed, 10 Jun 2015 16:45:25 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
добавьте новый образ автозапуска,
посмотрим что осталось, заодно и скриптом AutoKMS.exe отключим
10.06.2015 16:07:43, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85914/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85914/ Wed, 10 Jun 2015 16:07:43 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
исключите его из автозапуска
=============
Скажите как его исключить. Не знаю, как сделать, чтобы служба не запускалась.
10.06.2015 15:27:52, Станислав Михайленко.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85913/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85913/ Wed, 10 Jun 2015 15:27:52 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
тогда временно исключите его из автозапуска, посмотрим что будет в результате.
10.06.2015 14:30:32, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85912/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85912/ Wed, 10 Jun 2015 14:30:32 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
Добавлено.
10.06.2015 14:28:49, Станислав Михайленко.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85911/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85911/ Wed, 10 Jun 2015 14:28:49 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
я думаю, смысл вам понятен,
(как в русской пословице: дурак не заметит, умный заметит не скажет :))

потому нужен ответ по существу:
добавлено это приложение (AutoKMS.exe) в исключение из проверки антивируса или нет.
---------
или временно исключите из автозапуска: посмотрим результат - причина детекта в нем или в чем то другом.
10.06.2015 14:22:14, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85910/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85910/ Wed, 10 Jun 2015 14:22:14 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
детектрует
=============
Исправьте.
10.06.2015 14:18:50, Станислав Михайленко.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85909/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85909/ Wed, 10 Jun 2015 14:18:50 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
zloyDi написал:
+ Добавьте программу AutoKMS.exe в исключение антивируса, скорее всего реакция на этот файл.
=============
возможно и так, поскольу ESET его детектрует как:
MSIL/HackKMS.A potentially unsafe [ESET-NOD32]
10.06.2015 13:59:09, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85908/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85908/ Wed, 10 Jun 2015 13:59:09 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
ЕСЕТ по прежнему находит в памяти
=============
Ну раньше вообще часто было. Сейчас почти сведено на "нет". Может быть при включении ноутбука.
10.06.2015 13:55:37, Станислав Михайленко.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85907/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85907/ Wed, 10 Jun 2015 13:55:37 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
zloyDi написал:
AutoKMS.exe
=============
В ИКС-клю*… исключения было добавлено.
*Переиграл в World of Warcraft  :)
10.06.2015 13:53:56, Станислав Михайленко.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85906/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85906/ Wed, 10 Jun 2015 13:53:56 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
т.е. ЕСЕТ по прежнему находит в памяти это

====quote====
10.06.2015 12:34:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3EE0000_1792.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
10.06.2015 12:34:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_970000_1792.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
10.06.2015 12:34:35 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_960000_1792.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна

=============

10.06.2015 13:52:56, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85905/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85905/ Wed, 10 Jun 2015 13:52:56 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.YT MSIL/Injector.YT Угроза в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
ESET пришёл с логом. =)
Все старые вирусы удалены.
Cheat Engine удалять не собираюсь (иногда необходимо взломать игру, а иногда заменить строку в памяти).
threat.txt
10.06.2015 13:50:04, Станислав Михайленко.]]> http://forum.esetnod32.ru/messages/forum6/topic12104/message85904/ http://forum.esetnod32.ru/messages/forum6/topic12104/message85904/ Wed, 10 Jun 2015 13:50:04 +0300 Обнаружение вредоносного кода и ложные срабатывания