файлы можно удалить, образ сейчас гляну

такой скрипт выполните в uVS
[code]
;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
dirzoo %SystemDrive%\PROGRAM FILES (X86)\ORIGIN
dirzooex %SystemDrive%\PROGRAM FILES (X86)\ORIGIN
regt 39
regt 40
CZOO
restart
[/code]

после перезагрузки системы сделайте новый образ автозапуска в uVS

[QUOTE]Dark Fire написал:
 santy , вот образ, а скинуть архив не могу, антивирус тут же в карантин кидает файлы, даже с изменёнными расширениями.[/QUOTE]
надо в исключения (в настройках) добавить расширения vexe, vdll и восстанавливать эти файлы с карантина именно с такими расширениями,


образ сейчас гляну

так, ESET начал детектировать
C:\USERS\*\APPDATA\ROAMING\MICROSOFT\HASHCALC\MD5\HASHCALC.EXE

ESET-NOD32
MSIL/Agent.UNR
https://www.virustotal.com/gui/file/d1d09502f2352ce7ba252cfe146bbb4fa1d9e1354ee6076­94840ca8c7e4c6d50/detection
+

calc.dll
ESET-NOD32
MSIL/Agent.UNR
DrWeb
Trojan.LoaderNET.2
https://www.virustotal.com/gui/file/e148e5485feb62bc42152c0807c36834c054932bec0f54f­24c9f325705f7d492/detection

------------
судя по последней теме есть повторное заражение
+
во всех темах на форуме есть свежеустановленный  origin с неподписанными dll

[QUOTE]Dark Fire написал:
 RP55 RP55 , к сожалению длилось это недолго, в каратине ESETa лежат два об
наруженных файла. Хотя бы сейчас не уведомлений каждую минуту, как упали в карантин и тишина, но файлы те же что и были до этого.[/QUOTE]
ок, вс повторяется
[QUOTE]Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
24.05.2021 17:55:08;Защита файловой системы в реальном времени;файл;C:\Users\DarkFire\AppData\Roaming\Microsoft\HashCalc\MD5\calc.dll;MSIL/Agent.UNR троянская программа;очищено удалением;PC\DarkFire;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (0524ADAB740ED73E0B17168F7F68A36B6D0CC5D6).;C39986E857622C9F1615E8389DE1FEFE99A82F18;22.05.2021 20:21:09
24.05.2021 17:55:08;Защита файловой системы в реальном времени;файл;C:\Users\DarkFire\AppData\Roaming\Microsoft\HashCalc\MD5\HashC­alc.exe;MSIL/Agent.UNR троянская программа;очищено удалением;PC\DarkFire;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (0524ADAB740ED73E0B17168F7F68A36B6D0CC5D6).;91ED18FFA32D7576427A370D18F752960F93A877;22.05.2021 20:21:09[/QUOTE]

образ новый сейчас посмотрим
если можно, восстановите из карантина эти файлы, только используем функцию "восстановить как" и поменяйте им расширение с dll на vdll, exe на vexe, заархивировать с паролем, и выслать в ту же почту

только образ переделайте, у вас сейчас не актуальная версия
uVS v4.11 [http://dsrt.dyndns.org:8888]: Windows 10 Pro 1903 x64 (NT v10.0 SP0) build 18362 [C:\WINDOWS]

нужен образ актуальной версией 4.11.6, [URL=https://www.dropbox.com/s/w3pagxu3ys4jewr/uvs_latest.zip?dl=0][B]скачать отсюда[/B][/URL]

[QUOTE]Дмитрий Б написал:
[QUOTE] RP55 RP55 написал:
По форумам лечения пока глухо.[/QUOTE]ну почему же
[URL=https://forum.eset.com/topic/28522-dotnet-msil-injectorvgr/page/2/]https://forum.eset.com/topic/28522-dotnet-msil-injectorvgr/page/2/[/URL]
Все таки забекдурили утилиту...[/QUOTE]

отлично, нас также отметили на форуме eset.com  в этой теме :)

[QUOTE] Interesting posting for MSIL / Injector.VGR on Eset Russian language forum here: https://translate.google.com/translate?hl=en&sl=ru&u=http://forum.esetnod32.ru/forum6/topic16369/&prev=search&pto=aue .

It appears a bit of manual cleaning for removal of it is required. Also, do not use the script posted in this link since it was written specifically for the OP. However, I would check the below  locations for presence of the files listed;

%SystemDrive% \ USERS \ xxxxx \ APPDATA \ ROAMING \ MICROSOFT \ WINDOWS \ START MENU \ PROGRAMS \ STARTUP \ MICROSOFT NET_FRAMEWORK.BAT
%SystemDrive% \ USERS \ xxxxx \ APPDATA \ ROAMING \ MICROSOFT \ GOOGLE \ CHROMEEXTENSIONS \ ADS \ HONEYADS \ EXUPD.EXE [/QUOTE]

@Ярослав К,
если скрипт очистки еще не выполнен, просьба:
всю эту папку
%SystemDrive%\USERS\DOK44\APPDATA\ROAMING\MICROSOFT\HASHCALC­\MD5
(C:\USERS\DOK44\APPDATA\ROAMING\MICROSOFT\HASHCALC\MD5)
заархивировать с паролем infected
и выслать архив в почту [email protected]

[QUOTE]Dark Fire написал:
 santy , я конечно надеюсь, что оно не повторится, но если да, то обязательно напишу вам :)  [/QUOTE]

хорошо, ждем полный комплект файлов, если будет новый случай  - проверим в вирлабе

[QUOTE]Dark Fire написал:
 santy , архив скинул на почту, благодарю за помощь, если будут ещё какие-то вопросы ко мне, обращайтесь)[/QUOTE]

ок, спасибо, получил
если заражение повторится  - обращайтесь к нам на форум :)
calc.dll пока никто не детектирует
https://www.virustotal.com/gui/file/e148e5485feb62bc42152c0807c36834c054932bec0f54f­24c9f325705f7d492/detection
а в этом файле, возможно есть зашифрованный контент
AppCache.txt

[QUOTE]Dark Fire написал:
 santy , перешёл по адресу каталога, там есть 3 файла, могу их вам скинуть, если это что-то даст? По поводу Origin, вроде уже давно установлена. И ещё вопрос, файлы   ZOO нельзя как-то вручную создать через uvs?[/QUOTE]

да, заархивируйте с паролем infected и можно в указанную почту отправить - проверим что там
по origin пока только предположение, но установлено у всех примерно одинаково, близко к текущей дате