santy (Все сообщения пользователя) - Форум технической поддержки ESET NOD32

[ Закрыто] MSIL/Injector.YT, Угроза в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 10.06.2015 05:30:07

6. Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

Цитата
AlternateDataStreams: C:\ProgramData\TEMP:10D14739 AlternateDataStreams: C:\Users\Все пользователи\TEMP:10D14739 CHR HKLM\SOFTWARE\Policies\Google: Policy restriction <======= ATTENTION EmptyTemp: Reboot:

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] MSIL/Injector.YT, Угроза в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.06.2015 18:38:15

Цитата

Станислав Михайленко написал:

Цитата
santy написал: биткойн-майнер.

С завода?! O_o

https://www.virustotal.com/ru/file/4ac8f3fb9d404755be92a6288f7e830269d161016b284c13fa1e763993ec4571/analysis/#item-detail
https://www.virustotal.com/ru/file/3e7329200012c19df54a0407b148d2ff49cbe8bc6656c3c90343decc9631b981/analysis/
https://www.virustotal.com/ru/file/d1ae5cd702f8bacb09e46db31b3d16934c882f46327d1dbefb9893c278094e9c/analysis/

+
что скажете по настройкам DNS?
https://www.nic.ru/whois/?query=146.185.239.240

если это настройки из роутера, то необходимо заменить настройки DNS
+
если зависает мбам на проверке, пропустите эту проверку и выполните
далее,
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://pchelpforum.ru/f26/t24207/2/#post1257991

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] MSIL/Injector.YT, Угроза в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.06.2015 13:31:30

+
еще и левый DNS откуда автоматически прилетает. из роутера?

https://www.nic.ru/whois/?query=146.185.239.240

Цитата
OrgName: RIPE Network Coordination Centre OrgId: RIPE Address: P.O. Box 10096 City: Amsterdam StateProv: PostalCode: 1001EB Country: NL

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] MSIL/Injector.YT, Угроза в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.06.2015 13:27:48

лучше пролечить систему до конца, потом можно с ним работать, иначе нахватает новые сюрпризы.
потратьте еще 30 минут на очистку
предыдущий кстати был биткойн-майнер.

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] MSIL/Injector.YT, Угроза в оперативной памяти

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.06.2015 12:56:00

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v3.85.23 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE zoo %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IP.EXE addsgn 9AA023DE5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BC14D4CA304FF79817BF2C310AA16DB7E5461649FA7DDFE97255DAB02C2D77A42F97744D19 8 Trojan:Win32/Msposer.A [Microsoft] zoo %SystemDrive%\PROGRAM FILES\INTEL\INTEL.EXE zoo %SystemDrive%\PROGRAM FILES\MSDS\PHOENIX.EXE addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Trojan.BtcMine.142 [DrWeb] delall %SystemDrive%\PROGRAM FILES\IOBIT\ADVANCED SYSTEMCARE ULTIMATE 7\ASCTRAY.EXE delall %SystemDrive%\USERS\СТАС\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE ;------------------------autoscript--------------------------- chklst delvir regt 28 regt 29 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v385c
OFFSGNSAVE
zoo %SystemDrive%\USERS\СТАС\APPDATA\ROAMING\MICROSOFT\WINDOWS\START MENU\PROGRAMS\STARTUP\IP.EXE
addsgn 9AA023DE5582A28DF42BAEB164C81205158AFCF6C9FA1F7885C3C5BC14D4CA304FF79817BF2C310AA16DB7E5461649FA7DDFE97255DAB02C2D77A42F97744D19 8 Trojan:Win32/Msposer.A [Microsoft]

zoo %SystemDrive%\PROGRAM FILES\INTEL\INTEL.EXE
zoo %SystemDrive%\PROGRAM FILES\MSDS\PHOENIX.EXE
addsgn 1A97749A5583D38FF42B254E3143FE8E608277F608C27C0BE823B096D3AE614F563348172A68BD4CB899F08A7B374C6964ABE64F77DF23355970992F879F2306 8 Trojan.BtcMine.142 [DrWeb]

delall %SystemDrive%\PROGRAM FILES\IOBIT\ADVANCED SYSTEMCARE ULTIMATE 7\ASCTRAY.EXE
delall %SystemDrive%\USERS\СТАС\APPDATA\LOCAL\YANDEX\UPDATER\PRAETORIAN.EXE
;------------------------autoscript---------------------------

chklst
delvir

regt 28
regt 29
deltmp
delnfr
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Перейти

Адрес заблокирован

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.06.2015 12:44:17

а какой у вас антивирус? Аваст или Комодо? тогда могут они создавать эти перехваты

[ Как создать образ автозапуска? ]

Перейти

[ Закрыто] Ошибка при обмене данных с ядром

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.06.2015 05:32:16

Код
;uVS v3.85.23 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v385c OFFSGNSAVE deltmp delnfr restart

перезагрузка, пишем о старых и новых проблемах.
------------
если не поможет,
удалите ESET NOD32 из безопасного режима системы с помощью ESETuninstaller
и заново установите из нормального режима актуальную версию продукта.

[ Как создать образ автозапуска? ]

Перейти

Обнаружена угроза в памяти chrome.exe

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.06.2015 19:05:50

похоже на подмену DNS
https://www.nic.ru/whois/?query=77.244.128.44

Цитата
descr: Cablecom Networking UK infrastructure country: GB

[ Как создать образ автозапуска? ]

Перейти

Адрес заблокирован

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.06.2015 05:42:25

Код
;uVS v3.85.23 [http://dsrt.dyndns.org] ;Target OS: NTv6.3 v385c OFFSGNSAVE ;------------------------autoscript--------------------------- chklst delvir setdns Беспроводная сеть\4\{585F9EC3-0A51-47E2-B849-2A9106A1B0F5}\8.8.8.8,8.8.4.4 setdns Подключение по локальной сети\4\{5DBECECA-54AF-4FED-9B3A-8B8BDBF1A455}\8.8.8.8,8.8.4.4 deltmp delnfr ;------------------------------------------------------------- restart

Код


;uVS v3.85.23 [http://dsrt.dyndns.org]
;Target OS: NTv6.3
v385c
OFFSGNSAVE
;------------------------autoscript---------------------------

chklst
delvir

setdns Беспроводная сеть\4\{585F9EC3-0A51-47E2-B849-2A9106A1B0F5}\8.8.8.8,8.8.4.4
setdns Подключение по локальной сети\4\{5DBECECA-54AF-4FED-9B3A-8B8BDBF1A455}\8.8.8.8,8.8.4.4
deltmp
delnfr
;-------------------------------------------------------------

restart

[ Как создать образ автозапуска? ]

Перейти

файлы зашифрованы с расширением .xtbl; .breaking_bad, Filecoder.ED / Encoder.858 / Ransom.Shade; ransom_note: readme*.txt

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.06.2015 18:08:21

выполните наши рекомендации по безопасной работе
http://forum.esetnod32.ru/forum9/topic3998/

[ Как создать образ автозапуска? ]

Перейти