santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

ESET блокирует мой ресурс

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.06.2022 11:59:40

Информация о блокировке сайта отправлена в антивирусную лабораторию, ждем ответ.
--------
Мы получили ответ из антивирусной лаборатории, сайт/URL будет разблокирован в следующем обновлении

Thank you for your submission.
This URL will be blocked by the next update of detection engine.

Regards,

Detection Engineer
ESET

[ Как создать образ автозапуска? ]

Перейти

поговорить о uVS, Carberp, планете Земля

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 19.06.2022 12:50:35

PuzzleMedia в зеркале uVS, (к сожалению, образ был создан версией 4.11 без возможности включить отслеживание процессов и задач)

C:\USERS\USER\APPDATA\LOCAL\PROGRAMS\TRANSMISSION\TRANSMISSION-QT.EXE
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\USERS\USER\APPDATA\LOCAL\PROGRAMS\TRANSMISSION\TRANSMISSION-QT.EXE [3948], tid=5508
C:\USERS\DIMA-\APPDATA\LOCAL\PROGRAMS\TRANSMISSION\QT5CORE.DLL
HEUR:Trojan.Win32.Miner.gen [Kaspersky]
C:\WINDOWS\SYSTEM32\DLLHOST.EXE
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\DLLHOST.EXE [1936], tid=8928
C:\ProgramData\PuzzleMedia\print.exe --farm-recheck 1000 --farm-retries 300 -P stratum+tcp://13.51.156.23:80
"C:\ProgramData\PuzzleMedia\print.exe"

[ Как создать образ автозапуска? ]

Перейти

msil/injector.vof

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 18.06.2022 14:27:37

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

msil/injector.vof

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.06.2022 19:18:38

а если поиск выполнить в реестре по этой фразе "dialerstager"?
Если ничего не найдется, остается некоторое время подождать. Судя по журналу обнаружения были каждый день по 2-3. Можно через 1-2 сделать новый лог ELC, посмотрим по журналу, были новые детекты или нет.

[ Как создать образ автозапуска? ]

Перейти

msil/injector.vof

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.06.2022 18:12:52

Из реестра что-то грузится, судя по командной строке.
Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('SOFTWARE').GetValue('dialerstager')).EntryPoint.Invoke($Null,$Null)

Сделайте еще пожалуйста экспорт ключа из реестра:
(если есть такой)
HKEY_LOCAL_MACHINE\SOFTWARE\dialerstager
добавьте полученный файл во вложение.

[ Как создать образ автозапуска? ]

Перейти

msil/injector.vof

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.06.2022 17:44:39

согласен, эту задачу тоже следует удалить
"Задача" = "c:\windows\system32\tasks\GoogleUpdateTaskMachineQC" ( 5: Неизвестно ) ;
"Командная строка" = "c:\program Files\Chrome\updater.exe" ( 5: Неизвестно ) ;

[ Как создать образ автозапуска? ]

Перейти

msil/injector.vof

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.06.2022 17:29:09

+ такой еще файл поищите после перезагрузки по известному пути:
"Задача" = "c:\windows\tasks\dialersvc32.job" ( 5: Неизвестно ) ;
"Командная строка" = "powershell" ( 5: Неизвестно ) ;

[ Как создать образ автозапуска? ]

Перейти

msil/injector.vof

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.06.2022 17:23:05

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.12 [http://dsrt.dyndns.org:8888] ;Target OS: NTv6.1 v400c OFFSGNSAVE hide %Sys32%\DRIVERS\SMARTDEFRAGDRIVER.SYS ;------------------------autoscript--------------------------- delref {471EED5F-7417-4BC0-BC48-C58AA835E4AD}\[TASK] delref HTTPS://FASTPROXY.APP/SERVICE/UPDATE2/CRX?PARTNER=01?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGJAOJBKKFPEDGEFIDKAGJEIBCBFNAKKE%26INSTALLSOURCE%3DONDEMAND%26UC apply deltmp delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\DRIVERBOOSTER.EXE delref %SystemDrive%\PROGRAM delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref D:\PROGRAM FILES\WINDOWS DEFENDER\MPCMDRUN.EXE delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\SMART DEFRAG\AUTODEFRAG.EXE delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\SMART DEFRAG\SMARTDEFRAG.EXE delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\SMART DEFRAG\AUTOUPDATE.EXE delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL delref %SystemRoot%\SYSWOW64\UMPO.DLL delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL delref %SystemRoot%\SYSWOW64\CSCSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS delref %SystemRoot%\SYSWOW64\LSM.EXE delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID] delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID] delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID] delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID] delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID] delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID] delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID] delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID] delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID] delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID] delref %SystemRoot%\SYSWOW64\WIN32K.SYS delref %SystemRoot%\SYSWOW64\BLANK.HTM delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID] delref %Sys32%\DRIVERS\RDVGKMD.SYS delref %Sys32%\DRIVERS\TPM.SYS delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL delref %Sys32%\BLANK.HTM delref HELPSVC\[SERVICE] delref SACSVR\[SERVICE] delref TBS\[SERVICE] delref VMMS\[SERVICE] delref MESSENGER\[SERVICE] delref RDSESSMGR\[SERVICE] delref %SystemRoot%\XHUNTER1.SYS delref %Sys32%\PSXSS.EXE delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.161.35\PSMACHINE_64.DLL delref %Sys32%\SHAREMEDIACPL.CPL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.157.61\PSMACHINE_64.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.161.35\PSMACHINE.DLL delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.157.61\PSMACHINE.DLL delref %SystemDrive%\PROGRAMDATA\MALWAREBYTES' ANTI-MALWARE (PORTABLE)\MBAMDOR.EXE delref %SystemDrive%\PROGRAM FILES\PROCESS HACKER 2\PROCESSHACKER.EXE delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\SMART DEFRAG\UNINS000.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.12 [http://dsrt.dyndns.org:8888]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
hide %Sys32%\DRIVERS\SMARTDEFRAGDRIVER.SYS
;------------------------autoscript---------------------------

delref {471EED5F-7417-4BC0-BC48-C58AA835E4AD}\[TASK]
delref HTTPS://FASTPROXY.APP/SERVICE/UPDATE2/CRX?PARTNER=01?RESPONSE=REDIRECT&PRODVERSION=38.0&X=ID%3DGJAOJBKKFPEDGEFIDKAGJEIBCBFNAKKE%26INSTALLSOURCE%3DONDEMAND%26UC
apply


deltmp
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\DRIVER BOOSTER\DRIVERBOOSTER.EXE
delref %SystemDrive%\PROGRAM
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref D:\PROGRAM FILES\WINDOWS DEFENDER\MPCMDRUN.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\SMART DEFRAG\AUTODEFRAG.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\SMART DEFRAG\SMARTDEFRAG.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\SMART DEFRAG\AUTOUPDATE.EXE
delref %SystemRoot%\SYSWOW64\PEERDISTSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\NDIS.SYS
delref %SystemRoot%\SYSWOW64\RDPCORETS.DLL
delref %SystemRoot%\SYSWOW64\UMPO.DLL
delref %SystemRoot%\SYSWOW64\IPHLPSVC.DLL
delref %SystemRoot%\SYSWOW64\CSCSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\RDVGKMD.SYS
delref %SystemRoot%\SYSWOW64\PNRPSVC.DLL
delref %SystemRoot%\SYSWOW64\DRIVERS\PACER.SYS
delref %SystemRoot%\SYSWOW64\LSM.EXE
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %SystemRoot%\SYSWOW64\WIN32K.SYS
delref %SystemRoot%\SYSWOW64\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref %Sys32%\DRIVERS\RDVGKMD.SYS
delref %Sys32%\DRIVERS\TPM.SYS
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref %Sys32%\BLANK.HTM
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %SystemRoot%\XHUNTER1.SYS
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.161.35\PSMACHINE_64.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.157.61\PSMACHINE_64.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.161.35\PSMACHINE.DLL
delref %SystemDrive%\PROGRAM FILES (X86)\MICROSOFT\EDGEUPDATE\1.3.157.61\PSMACHINE.DLL
delref %SystemDrive%\PROGRAMDATA\MALWAREBYTES' ANTI-MALWARE (PORTABLE)\MBAMDOR.EXE
delref %SystemDrive%\PROGRAM FILES\PROCESS HACKER 2\PROCESSHACKER.EXE
delref %SystemDrive%\PROGRAM FILES (X86)\IOBIT\SMART DEFRAG\UNINS000.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

msil/injector.vof

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.06.2022 17:19:14

Возможно эта задача срабатывает:"Задача" = "c:\windows\system32\tasks\dialersvc32" ( 5: Неизвестно ) ;
"Командная строка" = "powershell "[Reflection.Assembly]::Load([Microsoft.Win32.Registry]::LocalMachine.OpenSubkey('SOFTWARE').GetValue('dialerstager')).EntryPoint.Invoke($Null,$Null)"" ( 5: Неизвестно ) ;

Цитата
Полное имя {471EED5F-7417-4BC0-BC48-C58AA835E4AD}\[TASK] Имя файла [TASK] Тек. статус Сохраненная информация на момент создания образа Статус Ссылки на объект Ссылка HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{471EED5F-7417-4BC0-BC48-C58AA835E4AD}\ Task \dialersvc32

[ Как создать образ автозапуска? ]

Перейти

msil/injector.vof

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 17.06.2022 16:47:32

судя по журналам сообщения выходит нечасто: 2-3 обнаружения за сутки.

[ Как создать образ автозапуска? ]

Перейти