Форум esetnod32.ru [тема: MSIL/Injector.VGR] http://forum.esetnod32.ru Новое в теме MSIL/Injector.VGR форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sat, 18 Apr 2026 11:53:05 +0300 MSIL/Injector.VGR MSIL/Injector.VGR в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, все найденное в малваребайт удалить,
далее

3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
24.03.2021 13:32:11, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16369/message112207/ http://forum.esetnod32.ru/messages/forum6/topic16369/message112207/ Wed, 24 Mar 2021 13:32:11 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.VGR MSIL/Injector.VGR в форуме Обнаружение вредоносного кода и ложные срабатывания.
После выполнения скрипта в uVS, ESET вроде замолчал. По результатам проверки в Malwarebytes обнаружено 1940 объектов. Вот отчёт:
https://www.sendspace.com/file/2csaw6

Нажать Карантин?
24.03.2021 12:17:00, Олег Летуновский.]]> http://forum.esetnod32.ru/messages/forum6/topic16369/message112206/ http://forum.esetnod32.ru/messages/forum6/topic16369/message112206/ Wed, 24 Mar 2021 12:17:00 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.VGR MSIL/Injector.VGR в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
hide %Sys32%\RPCSS.DLL
;------------------------autoscript---------------------------

del %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROSOFT NET_FRAMEWORK.BAT
zoo %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\GOOGLE\CHROMEEXTENSIONS\ADS\HONEYADS\EXUPD.EXE
addsgn 0DC97ABF556A80BEC718627DA804DEC9E9EC9AF9967E1F7885C3C543B0962404A0FBE31FB5BFD5C22AC80F4ECD1EA1CF802017E21D59740C70B4686F924EA999 8 Trojan:Win32/Bomitag.D!ml [Microsoft] 7

chklst
delvir

delref HTTP://CAT.WARGAMING.NET
delref %SystemDrive%\USERS\ОЛЕГ\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\MICROSOFT NET_FRAMEWORK.BAT
apply

; OpenAL
exec  C:\Program Files (x86)\OpenAL\OpenAL.exe" /U

deltmp
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref %Sys32%\BLANK.HTM
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\AUSHELPER@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\E10SROLLOUT@MOZILLA.ORG.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\FEATURES\FIREFOX@GETPOCKET.COM.XPI
delref %SystemDrive%\PROGRAM FILES (X86)\MOZILLA FIREFOX\BROWSER\EXTENSIONS\{972CE4C6-7E08-4474-A285-3208198CE6FD}.XPI
;-------------------------------------------------------------

restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
24.03.2021 11:37:27, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16369/message112205/ http://forum.esetnod32.ru/messages/forum6/topic16369/message112205/ Wed, 24 Mar 2021 11:37:27 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.VGR MSIL/Injector.VGR в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
судя по логам журнала, последние события у вас наблюдались

====quote====
24.12.2020  15:32:39;Расширенный модуль сканирования памяти;файл;Оперативная память = rundll32.exe(3540);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;
24.12.2020 15:34:04;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = rundll32.exe(3540);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;
24.12.2020 15:39:08;Расширенный модуль сканирования памяти;файл;Оперативная память = rundll32.exe(4812);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;
=============

=============
Там если ниже прокрутить, то первое событие из этой серии было:

23.03.2021 15:37:51;Расширенный модуль сканирования памяти;файл;Оперативная память = exUpd.exe(2204);модифицированный MSIL/Injector.VGR троянская программа;содержит зараженные файлы;;;9BCE67EAE49F031BC560EC58694290353F55F8AF;


И до сих пор выскакивает...
24.03.2021 11:36:43, Олег Летуновский.]]> http://forum.esetnod32.ru/messages/forum6/topic16369/message112204/ http://forum.esetnod32.ru/messages/forum6/topic16369/message112204/ Wed, 24 Mar 2021 11:36:43 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.VGR MSIL/Injector.VGR в форуме Обнаружение вредоносного кода и ложные срабатывания.
судя по логам журнала, последние события у вас наблюдались

====quote====
24.12.2020 15:32:39;Расширенный модуль сканирования памяти;файл;Оперативная память = rundll32.exe(3540);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;
24.12.2020 15:34:04;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = rundll32.exe(3540);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;
24.12.2020 15:39:08;Расширенный модуль сканирования памяти;файл;Оперативная память = rundll32.exe(4812);модифицированный MSIL/CoinMiner.BGJ троянская программа;содержит зараженные файлы (после следующего перезапуска);;;7BECE19F11BEFBC204657F295AC32F39075DB34A;
=============

угу, вижу:
23.03.2021 15:37:51;Расширенный модуль сканирования памяти;файл;Оперативная память = exUpd.exe(2204);модифицированный MSIL/Injector.VGR троянская программа;содержит зараженные файлы;;;9BCE67EAE49F031BC560EC58694290353F55F8AF;
24.03.2021 11:28:21, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16369/message112203/ http://forum.esetnod32.ru/messages/forum6/topic16369/message112203/ Wed, 24 Mar 2021 11:28:21 +0300 Обнаружение вредоносного кода и ложные срабатывания MSIL/Injector.VGR MSIL/Injector.VGR в форуме Обнаружение вредоносного кода и ложные срабатывания.
Здравствуйте.

ESET постоянно (примерно каждые 30 сек.) выдает оповещение о том, что угроза MSIL/Injector.VGR удалена. Помогите удалить.

Образ автозапуска uVS и файл журнала:


https://www.sendspace.com/filegroup/V34XxhkhxTM4ViT47zknf%2BEt6MsfA1BN


Пользователь добавил изображение
24.03.2021 11:21:31, Олег Летуновский.]]> http://forum.esetnod32.ru/messages/forum6/topic16369/message112202/ http://forum.esetnod32.ru/messages/forum6/topic16369/message112202/ Wed, 24 Mar 2021 11:21:31 +0300 Обнаружение вредоносного кода и ложные срабатывания