santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] MSIL/Injector.YT - угроза в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.06.2015 16:09:37

да, здесь на форуме чуть ниже несколько тем с этой же проблемой
http://forum.esetnod32.ru/forum6/topic12130/
http://forum.esetnod32.ru/forum6/topic12104/
http://forum.esetnod32.ru/forum6/topic12123/

Цитата
23.06.2015 14:58:52 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3840000_2020.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 23.06.2015 14:58:52 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_30F0000_2020.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна 23.06.2015 14:58:52 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_30E0000_2020.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна

Цитата

23.06.2015 14:58:52 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_3840000_2020.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
23.06.2015 14:58:52 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_30F0000_2020.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна
23.06.2015 14:58:52 Модуль сканирования файлов, исполняемых при запуске системы файл Оперативная память = mem_30E0000_2020.dll модифицированный MSIL/Injector.YT троянская программа очистка невозможна

и по всем темам в образе автозапуске в задачах запуск этого (или аналогичного) активатора.
-------
то что не было детекта раньше:
возможно добавили детект недавно в новые базы
возможно ложный детект
возможно по просьбе "трудящихся из Микрософта" добавлен детект.

Изменено: santy - 23.06.2015 16:17:02

[ Как создать образ автозапуска? ]

Перейти

зашифровано с расширением *id-*[email protected]*, возможно, Filecoder.DG

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.06.2015 15:54:44

добавьте образ автозапуска системы
http://forum.esetnod32.ru/forum9/topic2687/

[ Как создать образ автозапуска? ]

Перейти

Зашифровано с расширением BLOCK; idz0861; id70915; du1732; id6532; EnCiPhErEd; .stoppirates; ava; o11fFQ; yakmbsd; 5Hf1Ct; .DrWeb; .qwerty, Filecoder.Q / Xorist

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.06.2015 15:53:51

Иван,
1. по очистке системы:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.25 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE addsgn 9204419A556ADC9B47C1DF7A7A881255CDACFCF68939F4673C3BCCBC505BCCAD3D57C3DCC9D818E435C084CFCB9310E43DDFB8FFD046AE6C2D2767EC9A537AF2 8 TR/Spy.942915 [AntiVir] zoo %SystemDrive%\PROGRAM FILES\CHIPEXPLORER\CHIPEX.EXE delall G:\AUTORUN.INF ;------------------------autoscript--------------------------- chklst delvir delref HTTP://PYURESA.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=3E4728B9C849C13FAEB43D3146D8CA56 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
addsgn 9204419A556ADC9B47C1DF7A7A881255CDACFCF68939F4673C3BCCBC505BCCAD3D57C3DCC9D818E435C084CFCB9310E43DDFB8FFD046AE6C2D2767EC9A537AF2 8 TR/Spy.942915 [AntiVir]

zoo %SystemDrive%\PROGRAM FILES\CHIPEXPLORER\CHIPEX.EXE
delall G:\AUTORUN.INF
;------------------------autoscript---------------------------

chklst
delvir

delref HTTP://PYURESA.RU/?UTM_SOURCE=UOUA03&UTM_CONTENT=3E4728B9C849C13FAEB43D3146D8CA56

deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению документов проверьте наличие чистых теневых копий на дисках

3. по расшифровке: при наличие лицензии на наш антивирус обратитесь в техподдержку [email protected]

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] MSIL/Injector.YT - угроза в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.06.2015 15:49:24

проблема возможно в этом активаторе
C:\PROGRAMDATA\KMSAUTOS\KMSAUTO NET.EXE

добавьте лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/

[ Как создать образ автозапуска? ]

Перейти

Предложение по улучшению форума

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.06.2015 02:53:23

Цитата
RP55 RP55 написал: Я бы уменьшил картинку в три раза.

имеешь ввиду логотип?
нормально. не промахнешься, если надо уйти на главную страницу

[ Как создать образ автозапуска? ]

Перейти

Стартовая страница с рекламой, Стартовая страница с рекламой

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 23.06.2015 02:51:33

далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы в Cryakl с расширением *.cbf, Filecoder.CQ,Filecoder.EQ/Encoder.567/Cryakl/ ver 4.0.0.0-8.0.0.0

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 22.06.2015 11:21:43

по образу все чисто.

по восстановлению документов проверьте наличие чистых теневых копий,

по расшифровке, если есть лицензия на наш антивирус, напишите в [email protected]

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Вирус в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.06.2015 18:36:42

проблема скорее всего в связи использованием этого файла
C:\WINDOWS\AUTOKMS\AUTOKMS.EXE
http://forum.esetnod32.ru/forum6/topic12104/

[ Как создать образ автозапуска? ]

Перейти

Вирус в опер. памяти, Высвечивается уведомление о вирусе в оперативной памяти. Архив образа автозапуска во вложении.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.06.2015 06:12:17

проблема похожа на эту
http://forum.esetnod32.ru/forum6/topic12104/

возможно связана с использованием вами
C:\WINDOWS\AUTOKMS\AUTOKMS.EXE

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 21.06.2015 03:23:26

1. по очистке системы выполните:

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.25 [http://dsrt.dyndns.org] ;Target OS: NTv5.1 v385c OFFSGNSAVE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\LOCAL SETTINGS\APPLICATION DATA\SYSTEMDIR\NETHOST.EXE addsgn 1A97B09A5583C58CF42BC4BD0C60D15D2562257889FA2C870CBE218F905D044018E0CCC2FE6E5A3C3368A58546168EFA6BDFE872BD36112C2DF46CD02EB22273 8 Trojan.LoadMoney.816 [DrWeb] zoo %SystemDrive%\PROGRAM FILES\NAPNUT\NEZAVISIMO\KRIP.EXE addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6B96B5F780C9FE19C9692555803E8D6634E159D212A00849FB903FD8A3DDFBB8D4056C26C2D1DAD8C7F316073 59 Win32/Glupteba.AF zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\LOCAL SETTINGS\TEMP\SETSEARCHM.EXE zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\LOCAL SETTINGS\TEMP\STARTPM.EXE hide %SystemDrive%\PROGRAM FILES\IOBIT\ADVANCED SYSTEMCARE 8\AUTOSWEEP.EXE ;------------------------autoscript--------------------------- chklst delvir delref {3B2CB4C8-72AB-4B25-8FA1-219B36A60BED}\[CLSID] delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID] delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID] delref FTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.REG delref %SystemDrive%\PROGRAM FILES\ADVPLUGIN\8Z1CZ8R.EXE.EXE delref %SystemDrive%\PROGRAM FILES\VK DOWNLOADER\UTIKZNZHO9.EXE deldirex %SystemDrive%\PROGRAM FILES\ADVPLUGIN delhst 172.245.83.128 my.mail.ru delhst 172.245.83.128 m.my.mail.ru delhst 172.245.83.128 vk.com delhst 172.245.83.128 ok.ru delhst 172.245.83.128 m.vk.com delhst 172.245.83.128 odnoklassniki.ru delhst 172.245.83.128 www.odnoklassniki.ru delhst 172.245.83.128 m.odnoklassniki.ru delhst 172.245.83.128 m.ok.ru ; Surfing Protection exec C:\Program Files\IObit\Surfing Protection\unins000.exe deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.85.25 [http://dsrt.dyndns.org]
;Target OS: NTv5.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\LOCAL SETTINGS\APPLICATION DATA\SYSTEMDIR\NETHOST.EXE
addsgn 1A97B09A5583C58CF42BC4BD0C60D15D2562257889FA2C870CBE218F905D044018E0CCC2FE6E5A3C3368A58546168EFA6BDFE872BD36112C2DF46CD02EB22273 8 Trojan.LoadMoney.816 [DrWeb]

zoo %SystemDrive%\PROGRAM FILES\NAPNUT\NEZAVISIMO\KRIP.EXE
addsgn 7300F39B556A1F275DE775E6ED94361DE2CED8E6B96B5F780C9FE19C9692555803E8D6634E159D212A00849FB903FD8A3DDFBB8D4056C26C2D1DAD8C7F316073 59 Win32/Glupteba.AF

zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\LOCAL SETTINGS\TEMP\SETSEARCHM.EXE
zoo %SystemDrive%\DOCUMENTS AND SETTINGS\ПОЛЬЗОВАТЕЛЬ\LOCAL SETTINGS\TEMP\STARTPM.EXE
hide %SystemDrive%\PROGRAM FILES\IOBIT\ADVANCED SYSTEMCARE 8\AUTOSWEEP.EXE
;------------------------autoscript---------------------------

chklst
delvir

delref {3B2CB4C8-72AB-4B25-8FA1-219B36A60BED}\[CLSID]

delref {8984B388-A5BB-4DF7-B274-77B879E179DB}\[CLSID]

delref {D5FEC983-01DB-414A-9456-AF95AC9ED7B5}\[CLSID]
delref FTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\FILEEXTS\.REG
delref %SystemDrive%\PROGRAM FILES\ADVPLUGIN\8Z1CZ8R.EXE.EXE
delref %SystemDrive%\PROGRAM FILES\VK DOWNLOADER\UTIKZNZHO9.EXE
deldirex %SystemDrive%\PROGRAM FILES\ADVPLUGIN


delhst 172.245.83.128 my.mail.ru
delhst 172.245.83.128 m.my.mail.ru
delhst 172.245.83.128 vk.com
delhst 172.245.83.128 ok.ru
delhst 172.245.83.128 m.vk.com
delhst 172.245.83.128 odnoklassniki.ru
delhst 172.245.83.128 www.odnoklassniki.ru
delhst 172.245.83.128 m.odnoklassniki.ru
delhst 172.245.83.128 m.ok.ru
; Surfing Protection
exec C:\Program Files\IObit\Surfing Protection\unins000.exe
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
2. по восстановлению из теневых копий ничего не выйдет. система XP не поддерживает теневое копирование документов

3. по расшифровке при наличие лицензии на наш антивирус обратитесь в техническую поддержку [email protected]

[ Как создать образ автозапуска? ]

Перейти