Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Пользователи santy
Выбрать дату в календареВыбрать дату в календаре

Пред. 1 ... 67 68 69 70 71 72 73 74 75 76 77 ... 1784 След.
MSIL/Injector.VGR, Появляется уведомление каждую минуту что угроза удалена MSIL/Injector.VGR
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2021 15:31:51
файлы можно удалить, образ сейчас гляну
[ Как создать образ автозапуска? ]
Перейти
MSIL/Injector.VGR, Появляется уведомление каждую минуту что угроза удалена MSIL/Injector.VGR
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2021 15:19:41
такой скрипт выполните в uVS
Код
;uVS v4.11.6 [http://dsrt.dyndns.org:8888]
;Target OS: NTv10.0
v400c
OFFSGNSAVE
dirzoo %SystemDrive%\PROGRAM FILES (X86)\ORIGIN
dirzooex %SystemDrive%\PROGRAM FILES (X86)\ORIGIN
regt 39
regt 40
CZOO
restart


после перезагрузки системы сделайте новый образ автозапуска в uVS
[ Как создать образ автозапуска? ]
Перейти
MSIL/Injector.VGR, Появляется уведомление каждую минуту что угроза удалена MSIL/Injector.VGR
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2021 15:08:43
Цитата
Dark Fire написал:
 santy , вот образ, а скинуть архив не могу, антивирус тут же в карантин кидает файлы, даже с изменёнными расширениями.
надо в исключения (в настройках) добавить расширения vexe, vdll и восстанавливать эти файлы с карантина именно с такими расширениями,


образ сейчас гляну
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2021 15:07:17
так, ESET начал детектировать
C:\USERS\*\APPDATA\ROAMING\MICROSOFT\HASHCALC\MD5\HASHCALC.EXE

ESET-NOD32
MSIL/Agent.UNR
https://www.virustotal.com/gui/file/d1d09502f2352ce7ba252cfe146bbb4fa1d9e1354ee6076­94840ca8c7e4c6d50/detection
+

calc.dll
ESET-NOD32
MSIL/Agent.UNR
DrWeb
Trojan.LoaderNET.2
https://www.virustotal.com/gui/file/e148e5485feb62bc42152c0807c36834c054932bec0f54f­24c9f325705f7d492/detection

------------
судя по последней теме есть повторное заражение
+
во всех темах на форуме есть свежеустановленный  origin с неподписанными dll

[ Как создать образ автозапуска? ]
Перейти
MSIL/Injector.VGR, Появляется уведомление каждую минуту что угроза удалена MSIL/Injector.VGR
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2021 14:44:13
Цитата
Dark Fire написал:
 RP55 RP55 , к сожалению длилось это недолго, в каратине ESETa лежат два об
наруженных файла. Хотя бы сейчас не уведомлений каждую минуту, как упали в карантин и тишина, но файлы те же что и были до этого.
ок, вс повторяется
Цитата
Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
24.05.2021 17:55:08;Защита файловой системы в реальном времени;файл;C:\Users\DarkFire\AppData\Roaming\Microsoft\HashCalc\MD5\calc.dll;MSIL/Agent.UNR троянская программа;очищено удалением;PC\DarkFire;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (0524ADAB740ED73E0B17168F7F68A36B6D0CC5D6).;C39986E857622C9F1615E8389DE1FEFE99A82F18;22.05.2021 20:21:09
24.05.2021 17:55:08;Защита файловой системы в реальном времени;файл;C:\Users\DarkFire\AppData\Roaming\Microsoft\HashCalc\MD5\HashC­alc.exe;MSIL/Agent.UNR троянская программа;очищено удалением;PC\DarkFire;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\explorer.exe (0524ADAB740ED73E0B17168F7F68A36B6D0CC5D6).;91ED18FFA32D7576427A370D18F752960F93A877;22.05.2021 20:21:09

образ новый сейчас посмотрим
если можно, восстановите из карантина эти файлы, только используем функцию "восстановить как" и поменяйте им расширение с dll на vdll, exe на vexe, заархивировать с паролем, и выслать в ту же почту

только образ переделайте, у вас сейчас не актуальная версия
uVS v4.11 [http://dsrt.dyndns.org:8888]: Windows 10 Pro 1903 x64 (NT v10.0 SP0) build 18362  [C:\WINDOWS]

нужен образ актуальной версией 4.11.6, скачать отсюда
[ Как создать образ автозапуска? ]
Перейти
поговорить о uVS, Carberp, планете Земля
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 24.05.2021 14:21:03
Цитата
Дмитрий Б написал:
Цитата
 RP55 RP55  написал:
По форумам лечения пока глухо.
ну почему же
https://forum.eset.com/topic/28522-dotnet-msil-injectorvgr/page/2/
Все таки забекдурили утилиту...

отлично, нас также отметили на форуме eset.com  в этой теме :)

Цитата
Interesting posting for MSIL / Injector.VGR on Eset Russian language forum here: https://translate.google.com/translate?hl=en&sl=ru&u=http://forum.esetnod32.ru/forum6/topic16369/&prev=search&pto=aue .

It appears a bit of manual cleaning for removal of it is required. Also, do not use the script posted in this link since it was written specifically for the OP. However, I would check the below  locations for presence of the files listed;

%SystemDrive% \ USERS \ xxxxx \ APPDATA \ ROAMING \ MICROSOFT \ WINDOWS \ START MENU \ PROGRAMS \ STARTUP \ MICROSOFT NET_FRAMEWORK.BAT
%SystemDrive% \ USERS \ xxxxx \ APPDATA \ ROAMING \ MICROSOFT \ GOOGLE \ CHROMEEXTENSIONS \ ADS \ HONEYADS \ EXUPD.EXE
[ Как создать образ автозапуска? ]
Перейти
[ Закрыто] MSIL/Injector.VGR
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.05.2021 17:29:30
@Ярослав К,
если скрипт очистки еще не выполнен, просьба:
всю эту папку
%SystemDrive%\USERS\DOK44\APPDATA\ROAMING\MICROSOFT\HASHCALC­\MD5
(C:\USERS\DOK44\APPDATA\ROAMING\MICROSOFT\HASHCALC\MD5)
заархивировать с паролем infected
и выслать архив в почту [email protected]
[ Как создать образ автозапуска? ]
Перейти
MSIL/Injector.VGR, Появляется уведомление каждую минуту что угроза удалена MSIL/Injector.VGR
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.05.2021 16:59:18
Цитата
Dark Fire написал:
 santy , я конечно надеюсь, что оно не повторится, но если да, то обязательно напишу вам :)  

хорошо, ждем полный комплект файлов, если будет новый случай  - проверим в вирлабе
[ Как создать образ автозапуска? ]
Перейти
MSIL/Injector.VGR, Появляется уведомление каждую минуту что угроза удалена MSIL/Injector.VGR
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.05.2021 16:50:44
Цитата
Dark Fire написал:
 santy , архив скинул на почту, благодарю за помощь, если будут ещё какие-то вопросы ко мне, обращайтесь)

ок, спасибо, получил
если заражение повторится  - обращайтесь к нам на форум :)
calc.dll пока никто не детектирует
https://www.virustotal.com/gui/file/e148e5485feb62bc42152c0807c36834c054932bec0f54f­24c9f325705f7d492/detection
а в этом файле, возможно есть зашифрованный контент
AppCache.txt

[ Как создать образ автозапуска? ]
Перейти
MSIL/Injector.VGR, Появляется уведомление каждую минуту что угроза удалена MSIL/Injector.VGR
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 23.05.2021 16:40:06
Цитата
Dark Fire написал:
 santy , перешёл по адресу каталога, там есть 3 файла, могу их вам скинуть, если это что-то даст? По поводу Origin, вроде уже давно установлена. И ещё вопрос, файлы   ZOO нельзя как-то вручную создать через uvs?

да, заархивируйте с паролем infected и можно в указанную почту отправить - проверим что там
по origin пока только предположение, но установлено у всех примерно одинаково, близко к текущей дате
[ Как создать образ автозапуска? ]
Перейти
Пред. 1 ... 67 68 69 70 71 72 73 74 75 76 77 ... 1784 След.