Выбрать дату в календареВыбрать дату в календаре

Если у вас, если у вас.. если вас атакует Avaddon Ransomware
[SIZE=14pt] Avaddon Ransomware завершает работу и публикует ключи дешифрования[/SIZE]

[B]Avaddon[/B] прекратила работу и предоставила ключи дешифрования своих жертв BleepingComputer.com.

После обмена файлами с Фабианом Восаром из Emsisoft и Майклом Гиллеспи из Coveware они подтвердили, что ключи являются законными.

Всего злоумышленники прислали нам 2934 ключа дешифрования, каждый из которых соответствует определенной жертве.

Emsisoft выпустила бесплатный дешифратор, который все жертвы могут использовать для бесплатного восстановления своих файлов.

Хотя это случается не так часто, некоторые группы программ-вымогателей ранее выпускали ключи дешифрования для BleepingComputer и других исследователей в качестве жеста доброй воли, когда они завершают работу или выпускают новую версию.

В прошлом ключи дешифрования выпускались для [B]TeslaCrypt, Crysis, AES-NI, Shade, FilesLocker, Ziggy и FonixLocker.[/B]

Неясно, почему Avaddon закрылся, но, вероятно, это было вызвано усилением давления и контроля со стороны правоохранительных органов и правительств во всем мире после недавних атак на критически важную инфраструктуру.

https://www.bleepingcomputer.com/news/security/avaddon-ransomware-shuts-down-and-releases-decryption-keys/
поговорить о uVS, Carberp, планете Земля
[QUOTE]RP55 RP55 написал:
Столько файлов запихать в START MENU\PROGRAMS...[/QUOTE]
+
здесь плюс еще в том, что все файлы найдены одной сигнатурой, и удаляются скриптом из трех команд
addsign
chklst
delvir

без указаний на длинные пути файлов.
Eset PROTECT не видит managment agent
напишите в support@esetnod32.ru
Ошибка при установке, Выдает ошибку при установке (пробывал устанавливать разные setup)
у вас у же установлен 360 Total Security,
если хотите установить продукт ESET, необходимо деинсталлировать 360 Total Security, перегрузить системУ,
затем уже пробовать установку продукта ESET
+
добавьте логи FRST
http://forum.esetnod32.ru/forum9/topic2798/
поговорить о uVS, Carberp, планете Земля
Скрытый майнер в svchost.exe
https://www.cyberforum.ru/viruses/thread2844923.html

хвост (в svchost.exe) виден в uVS



а из под Winpe видим, что скрытую dll и службу, запускаемую через svchost.exe
https://www.virustotal.com/gui/file/7893c5e68ff78d76c0b4b8ba5ae2367fa9c285efe520de4­4ff12498ba90df5b0/detection

[QUOTE]Полное имя C:\WINDOWS\SYSTEM32\MS5AC23CA6APP.DLL
Имя файла                   MS5AC23CA6APP.DLL
Тек. статус                 ?ВИРУС? ВИРУС сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST] Фильтр
                           
Обнаруженные сигнатуры      
Сигнатура                   Win32/Packed.VMProtect.AB (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2021-06-09
                           
www.virustotal.com          2021-06-01 00:20 [2021-05-05]
DrWeb                       Trojan.Packed2.43111
ESET-NOD32                  a variant of Win32/Packed.VMProtect.ABO
Kaspersky                   Trojan.Win32.Agentb.kkyb
Microsoft                   Trojan:Win32/Vigorf.A
                           
Удовлетворяет критериям    
SERV_DLL.FALSE              (ССЫЛКА ~ \PARAMETERS\SERVICEDLL)(1)   AND   (ЦИФР. ПОДПИСЬ !~ ДЕЙСТВИТЕЛЬНА)(1) [auto (0)]
MINER (FILTERED)            (SERVICEDLL ~ C:\WINDOWS\SYSTEM32\MS5AC23CA6APP.DLL)(1) [filtered (0)]
                           
Сохраненная информация      на момент создания образа
Статус                      сервисная_DLL в автозапуске [SAFE_MODE] [SVCHOST]
File_Id                     609002E7CF000
Linker                      8.0
Размер                      394240 байт
Создан                      25.05.2021 в 14:12:38
Изменен                     04.05.2021 в 18:19:00
                           
TimeStamp                   03.05.2021 в 14:04:23
EntryPoint                  +
OS Version                  0.2
Subsystem                   Windows graphical user interface (GUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Доп. информация             на момент обновления списка
SHA1                        5FC84FB8A1052C66C3456B39FF0B2F1BA30BAC01
MD5                         BA8C6938AA6973E5081F48F1D61E2969
                           
Ссылки на объект            
Ссылка                      HKLM\uvs_system\ControlSet001\Services\Ms5AC23CA6App\Paramet­ers\ServiceDLL
ServiceDLL                  C:\Windows\System32\Ms5AC23CA6App.dll
Name                        Ms5AC23CA6App
Изменен                     25.05.2021 в 14:12:38
                           
[/QUOTE]

похожая тема:
https://forum.eset.com/topic/28800-cleaning-rootkit-problem/

[QUOTE] Hi Dear ESET Admins.

We find over 10 System in a network that was infected with a Dll that work like a rootkit. it use svchost.exe and dllhost.exe to download other Trojans and coin-miners.

The main dll threat is : c:\windows\system32\Ms32A1591EApp.dll [/QUOTE]

Если у вас, если у вас.. если вас атакует Avaddon Ransomware
Программа-вымогатель Avaddon - это программа-вымогатель как услуга (RaaS), сочетающая шифрование с кражей данных и вымогательством. Avaddon существует с 2019 года, но с июня 2020 года он стал более заметным и агрессивным. «Аффилированные лица» или клиенты службы наблюдали развертывание Avaddon для широкого круга целей во многих странах, часто посредством злонамеренного спама и фишинговых кампаний с импользованием JavaScript.

Организации, пораженные программой-вымогателем Avaddon, сталкиваются не только с шифрованием данных - существует также угроза раскрытия общедоступных данных на сайте утечки Avaddon и, в последнее время, риск распределенных атак типа «отказ в обслуживании» (DDoS), нарушающих работу. Эта тактика призвана усилить давление на жертв с требованием выкупа.

[B]Что делать немедленно: сдержать и обезвредить[/B]

Первое, что вам нужно сделать, это определить, продолжается ли атака. Если вы подозреваете, что это так, и у вас нет инструментов, чтобы остановить это, определите, какие устройства были затронуты, и немедленно изолируйте их. [B]Самый простой вариант - просто отсоединить сетевой кабель или выключить адаптер Wi-Fi. Если повреждение более масштабное, чем повреждение нескольких устройств, подумайте о том, чтобы сделать это на уровне коммутатора и отключить в автономном режиме целые сегменты сети, а не отдельные устройства. Выключайте устройства только в том случае, если не можете отключить сеть.[/B]

Во-вторых, нужно оценить ущерб. Какие конечные точки, серверы и операционные системы были затронуты, что было потеряно? Ваши резервные копии остались нетронутыми или злоумышленник удалил их? Если они целы, немедленно сделайте автономную копию. Кроме того, какие машины были защищены?

В-третьих, есть ли у вас комплексный план реагирования на инциденты? Если нет, вам необходимо определить, кто должен быть вовлечен в работу с этим инцидентом. Потребуются ИТ-администраторы и высшее руководство, но вам также может потребоваться привлечь внешних экспертов по безопасности, проконсультироваться с киберстраховщиком и юрисконсультом. Следует ли вам сообщать об инциденте в правоохранительные органы и / или информировать органы по защите данных? Также возникает вопрос о том, какую информацию следует предоставлять пользователям и клиентам, многие из которых, вероятно, придут на работу и столкнутся с аналогичной запиской о выкупе на своем рабочем столе.

И последнее, но не менее важное: вы хотите поговорить с людьми о том, что происходит, но злоумышленники могут подслушивать, поэтому не используйте обычные каналы связи. Например, если злоумышленники находятся в вашей сети какое-то время, у них, вероятно, будет доступ к электронной почте.

[B]Что делать дальше: исследовать[/B]

После того, как вам удалось сдержать и нейтрализовать атаку, найдите время, чтобы исследовать, что произошло, чтобы снизить вероятность ее повторения. Если вы не уверены в том, что делаете это самостоятельно, поставщики средств безопасности, в том числе Sophos, круглосуточно предлагают помощь специалистов по реагированию на инциденты и поиску угроз.

По словам команды Sophos Rapid Response, это то, чего вам следует ожидать от активности вымогателя Avaddon в вашей сети:

1. Скорее всего, злоумышленники были в вашей сети несколько дней или даже недель. Avaddon - это программа-вымогатель как услуга, включающая кражу данных. Он управляется человеческими аффилированными лицами, которые получают долю от выкупа. Партнерам нужно время, чтобы изучить сеть цели, чтобы найти и украсть ценные данные и обеспечить максимальное нарушение работы, поскольку это позволяет им взимать более высокие выкуп.

Лица, отвечающие за реагирование на инциденты Sophos, наблюдали время ожидания злоумышленников от 10 до 28 дней в атаках, связанных с выпуском программы-вымогателя Avaddon.

2. Злоумышленники могут использовать множество различных методов для взлома вашей сети. Известные методы начального доступа для программ-вымогателей Avaddon включают, помимо прочего, спам-кампании, доставляющие вредоносные файлы JavaScript, открытые службы RDP (протокол удаленного рабочего стола) и уязвимые виртуальные частные сети (VPN). Такие сайты, как Shodan.io, дают представление о том, что может сделать злоумышленник. узнать о своей сети; попробуйте использовать его для поиска ваших внешних IP-адресов.

Злоумышленники Avaddon нацелены на системы как Windows, так и Linux.

3. У них будет защищенный доступ к учетным записям администраторов домена, а также к другим учетным записям пользователей. Злоумышленники обычно взламывают несколько учетных записей во время атаки. Их основная цель - получить доступ к учетным записям администраторов домена, которые они могут использовать для запуска вымогателей. Однако они также нацелены на определенные учетные записи администраторов, которые имеют доступ к конфиденциальным данным, системам резервного копирования и консолям управления безопасностью.

Злоумышленники Avaddon используют такие инструменты, как Mimikatz, для кражи учетных данных для доступа к учетной записи и для повышения привилегий после того, как они окажутся внутри сети. Mimikatz может собирать информацию из запущенного процесса Microsoft LSASS.exe, который содержит хэши имен и паролей пользователей, вошедших в систему в данный момент. Иногда злоумышленники оставляют эту функцию включенной, а затем намеренно ломают что-то на компьютере, на которое они нацелены, спровоцировав администратора войти в систему, чтобы исправить это. Затем злоумышленники могут захватить учетные данные этого администратора.

Если Mimikatz заблокирован программным обеспечением безопасности, злоумышленники могут вместо этого использовать что-то вроде Microsoft Process Monitor для создания дампа памяти LSASS.exe и переноса этого файла дампа обратно на свою машину для извлечения информации с помощью Mimikatz. С Mimikatz не имеет значения, насколько длинные или сложные пароли, потому что они забирают их прямо из памяти.

4. Они просканируют вашу сеть. Они знают, сколько у вас серверов и конечных точек и где вы храните свои резервные копии, критически важные для бизнеса данные и приложения. Одна из первых вещей, которую делают злоумышленники, когда они попадают в сеть, - это определить, какой доступ у них есть на локальной машине. Следующий шаг - выяснить, какие существуют удаленные машины и могут ли они получить к ним доступ.

Операторы программ-вымогателей Avaddon, как и многие другие злоумышленники, использующие ручную клавиатуру, используют RDP для внутреннего бокового перемещения внутри сети, используя его для проникновения на серверы и компьютеры, которые несут ценные активы.

5. Злоумышленники, скорее всего, загрузили и установили бэкдоры, которые позволяют им заходить и выходить в вашу сеть и устанавливать дополнительные инструменты. Они настроят папки и каталоги для сбора и хранения украденной информации и каналов для связи с злоумышленниками и для передачи информации из вашей сети.

Бэкдоры бывают разных форм. Некоторые просто связываются с IP-адресом злоумышленников, позволяя им отправлять и получать команды на машину.

Многие бэкдоры классифицируются как легальные приложения. Например, злоумышленники могут использовать инструменты удаленного администрирования, такие как RDP, для поддержания доступа. Даже если RDP отключен по умолчанию, злоумышленнику с правами администратора очень легко его снова включить. Еще один распространенный законный инструмент - AnyDesk. Это предлагает злоумышленникам прямой контроль над машиной, включая управление мышью / клавиатурой и возможность видеть экран.

Известно, что операторы Avaddon используют Cobalt Strike, усовершенствованный инструмент для постэксплуатационного тестирования на проникновение. Злоумышленники часто пытаются установить маяк Cobalt Strike. Это обеспечивает регулярную обратную связь с сервером Cobalt Strike («командование и управление» для атаки Avaddon) и дает злоумышленникам полный контроль над машиной. Его также можно использовать для простого развертывания дополнительных маяков на других машинах в сети.

6. В дополнение к шифрованию данных и нарушению работы программного обеспечения и операций операторы Avaddon будут пытаться эксфильтровать корпоративные данные до основного события, связанного с вымогательством. Специалисты по реагированию на инциденты, которые расследовали атаки с участием Avaddon, обнаружили, что операторы использовали инструмент архивирования WinRar для сбора данных для эксфильтрации, а затем переправили данные поставщику облачного хранилища www.Mega.nz, используя свое приложение MegaSync. Mega пользуется популярностью у злоумышленников, поскольку предлагает им определенный уровень анонимности.

7. Они попытаются зашифровать, удалить, сбросить или удалить ваши резервные копии. Если ваши резервные копии не хранятся в автономном режиме, они находятся в пределах досягаемости злоумышленников. «Резервная копия», которая постоянно находится в сети и доступна, - это всего лишь вторая копия файлов, ожидающих шифрования.

8. Злоумышленники попытаются определить, какое решение безопасности используется в сети и могут ли они его отключить. Неважно, насколько хороша ваша защита, если злоумышленник может ее отключить.

Бесплатные инструменты по умолчанию, такие как Защитник Windows, могут быть немедленно отключены любым, у кого есть достаточные права администратора. Большинство современных программ-вымогателей пытаются сделать это по умолчанию. Злоумышленники также пытаются найти и получить доступ к консолям управления более продвинутых решений безопасности, чтобы отключить всю защиту непосредственно перед запуском программы-вымогателя.

Консоли управления безопасностью, размещенные локально, особенно подвержены риску, поскольку злоумышленники могут получить к ним доступ с учетными записями, которые они уже взломали.

9. Наиболее заметная часть атаки - выпуск программы-вымогателя - вероятно, произошла, когда ИТ-администраторы или специалисты по безопасности не были в сети, чтобы заметить и предотвратить длительный процесс шифрования файлов, возможно, посреди ночи или в выходные дни.

Примечание. Процесс шифрования занимает несколько часов. К моменту завершения работы программы-вымогателя на зашифрованной конечной точке Windows будут находиться десятки или сотни тысяч зашифрованных файлов. Для больших файловых серверов это может исчисляться миллионами. Вот почему большинство целевых атак программ-вымогателей запускаются посреди ночи, в выходные или праздничные дни, когда их наблюдает меньше людей.

10. Программа-вымогатель будет развернута на всех ваших конечных точках и любых серверах, которые были подключены к сети во время атаки - при условии, что это то, чего хотел злоумышленник. Программа-вымогатель «развертывается» как обычное приложение; в большинстве атак он не распространяется случайным образом во всех направлениях. Если ваши серверы были зашифрованы, но не ваши конечные точки, это потому, что злоумышленник решил нацеливаться только на ваши серверы.

Программа-вымогатель может быть развернута разными способами. В случае Avaddon злоумышленники, скорее всего, создали запланированные задачи на конечных точках и серверах в сети, которые развернули программу-вымогатель в заранее определенное время.

Другой метод, обычно используемый многими различными семействами программ-вымогателей, - это комбинация пакетных сценариев и инструмента Microsoft PsExec, который является отличным инструментом для выполнения команд на удаленных машинах. Злоумышленник может создать пакетный сценарий, который просматривает список ваших IP-адресов, используя PsExec для копирования программы-вымогателя на каждую машину, а затем выполняет ее.

Хотя большинство решений безопасности (включая Sophos) по умолчанию блокируют PsExec, администраторы часто разрешают его использование в своей сети, потому что они тоже считают его полезным - и, к сожалению, злоумышленники это знают.

Злоумышленники также могут создать или изменить существующий сценарий входа в систему объекта групповой политики (GPO). Если вы не заметите этого, атака может возобновляться каждый раз, когда машина загружается и подключается к домену. Создается впечатление, что программа-вымогатель «распространяется», когда она вызвана только объектом групповой политики.

11. Запуск программы-вымогателя - это еще не конец. Злоумышленники могут использовать установленные ими ранее инструменты, чтобы оставаться в сети для отслеживания ситуации и даже для вашей электронной почты, чтобы увидеть, как вы реагируете на выпуск программы-вымогателя. Электронное письмо генеральному директору, в котором говорится, что с вами все будет в порядке, потому что они не зашифровали резервные копии на Сервере X, может привести к катастрофе, если злоумышленник прочитает его и все еще имеет доступ к этому серверу.

Злоумышленник также может дождаться вашего восстановления, чтобы затем запустить вторую атаку, чтобы действительно подчеркнуть, что он может продолжать делать это, пока вы не заплатите.

У злоумышленников Avaddon есть еще одна тактика, направленная на то, чтобы заставить цели заплатить: они запускают DDoS-атаку в попытке нарушить работу и связь.

12. Время, проведенное в вашей сети, вероятно, позволило злоумышленникам украсть критически важную, конфиденциальную и конфиденциальную информацию, которую они теперь угрожают публично раскрыть. Контроллеры Avaddon RaaS используют общедоступный «сайт утечки»: avaddongun7rngel [.] Onion. Цели, пораженные филиалами Avaddon, подвергаются риску публикации их данных на сайте для всеобщего обозрения, если они не заплатят выкуп. Некоторые из наиболее ценных данных могут быть проданы другим злоумышленникам для использования в дальнейших атаках.

Злоумышленники Avaddon утверждают, что они начнут публиковать украденные данные где-нибудь через несколько дней или неделю после основной атаки, если не будет получен контакт с целью или переговоры прервутся. Обычно они начинают с публикации около 5% данных, которые, по их утверждениям, хранятся. Однако может пройти несколько недель или даже больше, прежде чем что-либо будет опубликовано.

Кроме того, хотя злоумышленники могут пообещать удалить вашу информацию, если вы заплатите, у вас нет никаких гарантий, что они это сделают.
Что могут сделать защитники

Вы можете предпринять ряд упреждающих шагов для повышения своей ИТ-безопасности в будущем, в том числе:

[QUOTE] Контролируйте свою сетевую безопасность 24/7 и помните [URL=https://news.sophos.com/en-us/2020/08/04/the-realities-of-ransomware-five-signs-youre-about-to-be-attacked/]о пяти ранних индикаторах присутствия злоумышленника[/URL], чтобы остановить атаки программ-вымогателей, прежде чем они начнутся.

 Отключите протокол удаленного рабочего стола (RDP) с выходом в Интернет, чтобы запретить киберпреступникам доступ к сетям. Если вам нужен доступ к RDP, поместите его за VPN-соединение и принудительно используйте многофакторную аутентификацию (MFA).

   Обучите сотрудников тому, на что следует обращать внимание в отношении фишинга и вредоносного спама, и внедрите надежные политики безопасности.

   Регулярно создавайте резервные копии самых важных и актуальных данных на автономном устройстве хранения. Стандартная рекомендация для резервного копирования - следовать методу 3-2-1: 3 копии данных с использованием 2 разных систем, 1 из которых находится в автономном режиме.

   Предотвратите доступ злоумышленников к вашей безопасности и отключите ее: выберите расширенное решение с облачной консолью управления с включенной многофакторной аутентификацией и ролевым администрированием для ограничения прав доступа

   Помните, что не существует единой серебряной пули для защиты, и важна многоуровневая, многоуровневая модель безопасности - распространите ее на все конечные точки и серверы и убедитесь, что они могут обмениваться данными, связанными с безопасностью

   Разработайте эффективный план реагирования на инциденты и обновляйте его по мере необходимости. Если вы не уверены, что обладаете навыками или ресурсами, чтобы делать это, отслеживать угрозы или реагировать на чрезвычайные ситуации, подумайте об обращении за помощью к внешним экспертам.
[/QUOTE]

Заключение

[SIZE=14pt]Работа с кибератакой - это стрессовый опыт. Может возникнуть соблазн устранить непосредственную угрозу и закрыть книгу об инциденте, но правда в том, что таким образом вы вряд ли устранили все следы атаки. [B]Важно, чтобы вы нашли время, чтобы определить, как злоумышленники проникли, извлечь уроки из любых ошибок и улучшить свою безопасность.[/B] Если вы этого не сделаете, вы рискуете, что тот же злоумышленник или другой может прийти и сделать то же самое на следующей неделе.[/SIZE]

https://news.sophos.com/en-us/2021/05/24/what-to-expect-when-youve-been-hit-with-avaddon-ransomware/
MSIL/Injector.VGR, Появляется уведомление каждую минуту что угроза удалена MSIL/Injector.VGR
[QUOTE]Dark Fire написал:
 santy , хотя нет, 31.05 было обнаружение я просто не заметил.[/QUOTE]
фиксируйте дату и время создания этих файлов в папке MD5, сопоставьте, какие программы могли быть запущены в это время, какие события происходили в системе в данное время.
+
важно  увидеть,
есть ли какая то периодичность, для этого надо чтобы все записи в журнале обнаруженных угроз не очищались
+
проверяйте (и обновляйте) версии браузеров. в частности Chrome.
через уязвимости в хроме, которые "любят" публиковать исследователи,
и которые оперативно подхватывают злоумышленники с последующим созданием эксплойтов возможно проникновение и доставка в систему вредоносных файлов.
(в нашем случае, была попытка использовать  доставленный зашифрованный файл, чтобы расшифровать (часто уникальным для конкретного пользователя ключом) его, и выполнить запуск (скорее всего майнер)
[ Закрыто] js/agent.ped
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
[code]

;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------

delref %SystemDrive%\USERS\ADMINPC\APPDATA\LOCAL\GOOGLE\CHROME\USER­ DATA\DEFAULT\EXTENSIONS\NPKNLAJILKNLNFGEIHKPDAAEONBDCNIA\5.7_0\VK VIDEO SAVER - ЗАГРУЗЧИК ВИДЕО ИЗ ВКОНТАКТЕ
delref HTTP://CLIENTS2.GOOGLE.COM/SERVICE/UPDATE2/CRX?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DEKMEPPJGAJOFKPIOFBEBGCBOHBMFLDAF%26INSTALLSOURCE%3D­ONDEMAND%26UC
apply

regt 27
deltmp
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F C:\PROGRAMDATA\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref %SystemDrive%\PROGRAM FILES (X86)\DRIVER BOOSTER\SCHEDULER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\DRIVER BOOSTER\AUTOUPDATE.EXE
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\OFFICE16\OLICENSEHEARTBEAT.EXE
delref {9F2B0085-9218-42A1-88B0-9F0E65851666}\[CLSID]
delref {E984D939-0E00-4DD9-AC3A-7ACA04745521}\[CLSID]
delref {FE285C8C-5360-41C1-A700-045501C740DE}\[CLSID]
delref {9CDA66BE-3271-4723-8D35-DD834C58AD92}\[CLSID]
delref %SystemRoot%\SYSWOW64\MAPSTOASTTASK.DLL
delref %SystemRoot%\SYSWOW64\MAPSUPDATETASK.DLL
delref {DEF03232-9688-11E2-BE7F-B4B52FD966FF}\[CLSID]
delref {D2CBF5F7-5702-440B-8D8F-8203034A6B82}\[CLSID]
delref %SystemRoot%\SYSWOW64\GPSVC.DLL
delref %SystemRoot%\SYSWOW64\VID.DLL
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\WEVTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\TCPIP.SYS
delref %SystemRoot%\SYSWOW64\APPVETWCLIENTRES.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\MRXSMB.SYS
delref %SystemRoot%\SYSWOW64\W32TIME.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\USBXHCI.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SRV2.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DXGMMS2.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\HTTP.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\WINNAT.SYS
delref %SystemRoot%\SYSWOW64\UMPOEXT.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBUSR.SYS
delref %SystemRoot%\SYSWOW64\BTHSERV.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\DMVSC.SYS
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\VMBKMCL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\REFS.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\SPACEPORT.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\FVEVOL.SYS
delref %SystemRoot%\SYSWOW64\DRIVERS\AFD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\HVHOSTSVC.DLL
delref %SystemRoot%\SYSWOW64\LSM.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\SYNTH3DVSC.SYS
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\IE4USHOWIE.EXE
delref %SystemRoot%\SYSWOW64\IE4UINIT.EXE
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {0F8604A5-4ECE-4DE1-BA7D-CF10F8AA4F48}\[CLSID]
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONE­DRIVE\20.084.0426.0007\FILESYNCSHELL.DLL
delref {B298D29A-A6ED-11DE-BA8C-A68E55D89593}\[CLSID]
delref {4A7C4306-57E0-4C0C-83A9-78C1528F618C}\[CLSID]
delref %Sys32%\DRIVERS\VMBUSR.SYS
delref {A910D941-9DA9-4656-8933-AA1EAE01F76E}\[CLSID]
delref {75579960-3DAF-4389-9CFA-C2BB270C91E6}\[CLSID]
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGE\APPLICATION\90.0.818.66\MSEDGE.DLL
delref %Sys32%\PWCREATOR.EXE
delref %Sys32%\DRIVERS\SCMDISK0101.SYS
delref %Sys32%\DRIVERS\UMDF\USBCCIDDRIVER.DLL
delref %Sys32%\BLANK.HTM
delref %Sys32%\DRIVERS\HDAUDADDSERVICE.SYS
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemDrive%\PROGRAM FILES\AMD\RYZENMASTER\BIN\AMDRYZENMASTERDRIVER.SYS
delref %Sys32%\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\DISPLAY.NVCONTAINER\NVDISPLAY.CONTAINER.EXE -S NVDISPLAY.CONTAINERLOCALSYSTEM -F %PROGRAMDATA%\NVIDIA\NVDISPLAY.CONTAINERLOCALSYSTEM.LOG -L 3 -D C:\WINDOWS\SYSTEM32\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\DISPLAY.NVCONTAINER\PLUGINS\LOCALSYSTEM -R -P 30000 -CFG NVDISPLAY.CONTAINERLOCALSYSTEM\LOCALSYSTEM
delref IRENUM\[SERVICE]
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONE­DRIVE\20.084.0426.0007\FILECOAUTH.EXE
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONE­DRIVE\ONEDRIVE.EXE
delref %SystemDrive%\USERS\DEFAULTUSER0\APPDATA\LOCAL\MICROSOFT\ONE­DRIVE\20.084.0426.0007\FILECOAUTHLIB.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE_64.DLL
delref %Sys32%\TETHERINGSETTINGHANDLER.DLL
delref %Sys32%\QUICKACTIONSPS.DLL
delref %Sys32%\VAILAUDIOPROXY.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\MICROSOFT SHARED\DAO\DAO360.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.137.99\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SPEECHRUNTIME.EXE
delref %SystemRoot%\SYSWOW64\TAPILUA.DLL
delref %SystemRoot%\SYSWOW64\UPDATEDEPLOYMENTPROVIDER.DLL
delref %SystemRoot%\SYSWOW64\LOCATIONFRAMEWORK.DLL
delref %SystemRoot%\SYSWOW64\MAPSBTSVCPROXY.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.32\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.72\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\COMPPKGSRV.EXE
delref %SystemRoot%\SYSWOW64\EAPPCFGUI.DLL
delref %SystemRoot%\SYSWOW64\LISTSVC.DLL
delref %SystemRoot%\SYSWOW64\AUTHHOSTPROXY.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\NVENCMFTH264.DLL
delref %SystemRoot%\SYSWOW64\WPCREFRESHTASK.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\NVDECMFTMJPEG.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.36.52\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\RMSROAMINGSECURITY.DLL
delref %SystemRoot%\SYSWOW64\SYSTEMSETTINGSBROKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.63\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.59\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\DRIVERSTORE\FILEREPOSITORY\NV_DISPI.INF_AMD64_D71D3F5EA7618CBB\NVENCMFTHEVC.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\GOOGLE\UPDATE\1.3.35.452\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\SPEECH_ONECORE\COMMON\SAPI_EXTENSIONS.DLL
delref %SystemRoot%\SYSWOW64\SMARTSCREEN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.133.5\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\IDLISTEN.DLL
delref %SystemRoot%\SYSWOW64\WIFICONFIGSP.DLL
delref %SystemDrive%\PROGRAM FILES\COMMON FILES\SYSTEM\OLE DB\MSDAORA.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.141.59\PSMACHINE.DLL
delref %SystemRoot%\SYSWOW64\WIREDNETWORKCSP.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.139.71\PSMACHINE.DLL
delref F:\PROGRAM\NOX\BIN\NOX.EXE
;-------------------------------------------------------------

restart
[/code]
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
MSIL/Injector.VGR, Появляется уведомление каждую минуту что угроза удалена MSIL/Injector.VGR
пока новостей нет,
те. каким образом эти файлы попадают в систему - непонятно. по темам на других форумах - тоже нет инфы,
[ Закрыто] js/agent.ped
добавьте образ автозапуска системы