[QUOTE]Ivan Mintsev написал:
Выкладываю все это на гугл-диск[/QUOTE]
доступ можете добавить?
+
залейте сюда же,
дешифратор, зашифрованный файл, ключ в оригинальном формате+ утилиту поиска ключа, лучше все это поместить в один файл, в архив.

[QUOTE]Андрей Сергеев написал:
(Подозрительный файл отправил через спец.форму на Вашем сайте).[/QUOTE]
пришлите данный файл в почту [email protected] для проверки, лучше в архиве с паролем infected
+
добавьте лог журнала обнаружения угроз

[QUOTE]Олександра Цюп'як написал:
можно ли что-то с этим сделать самостоятельно[/QUOTE]
добавьте образ автозапуска из uVS

да, возможно это одна история,
веб-антивирус не показывает каким способом была инициирована загрузка:
или скриптом при просмотре зараженной страницы,
или это "нерегламентированная" функция, внедренная в код легального расширения браузера.
-----------
историю не так то просто отмотать на момент "Большого взрыва",
слишком много неизвестных, да и объекты распределены по ролям: какой-нибудь эксплойт приводит на зараженную страницу, отрабатывает загрузчик, загрузчик скачивает полезную нагрузку, прячет ее в системе, и прописывает автозапуск - на этом теряется связь. полезная нагрузка может некоторое время маскироваться в системе и спать, и только спустя время пытается загрузиться с систему, чтобы выполнить программу своих отцов-создателей.

+
похоже, что это одна история:
https://forum.kasperskyclub.ru/topic/78972-vredonosnyj-sajt-ot-chrome-gatpsstatcom/

rundll32.exe загружает его в память через запуск здачи:

[QUOTE]Полное имя C:\USERS\***\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL
Имя файла                   ADNEKMOD8B4.DLL
Тек. статус                 ВИРУС в автозапуске
                           
Обнаруженные сигнатуры      
Сигнатура                   MSIL/Agent.UFA [ESET-NOD32] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2020-12-25
                           
Сохраненная информация      на момент создания образа
Статус                      в автозапуске
File_Id                     5FDC35A8C000
Linker                      11.0
Размер                      12800 байт
Создан                      23.12.2020 в 16:02:50
Изменен                     23.12.2020 в 16:02:50
                           
TimeStamp                   18.12.2020 в 04:52:56
EntryPoint                  +
OS Version                  0.0
Subsystem                   Windows character-mode user interface (CUI) subsystem
IMAGE_FILE_DLL              +
IMAGE_FILE_EXECUTABLE_IMAGE +
Тип файла                   64-х битный ИСПОЛНЯЕМЫЙ
Цифр. подпись               Отсутствует либо ее не удалось проверить
                           
Оригинальное имя            AdNetwork.dll
Версия файла                1.0.0.0
Описание                    AdNetwork
Производитель              
Комментарий                
                           
Доп. информация             на момент обновления списка
Файл                        C:\WINDOWS\SYSTEM32\RUNDLL32.EXE
[B]CmdLine C:\USERS\***\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8B4.DLL,AMIGOUPDATER[/B]
SHA1                        0CBA96ADD40FC610017EF4A2BA8F4220694A1018
MD5                         B5BF285378916D5119D87C08917FE872
                           
Ссылки на объект            
[B]Ссылка C:\WINDOWS\SYSTEM32\TASKS\ZAMIGOBROWSERUPDATE[/B]
Prefetcher                  C:\WINDOWS\Prefetch\Layout.ini
                           
[/QUOTE]

со вчерашнего дня, ESET его детектирует как
MSIL/Agent.UFA [ESET-NOD32] (delall) [глубина совпадения 64(64), необх. минимум 64, максимум 64] 2020-12-25
благодаря вашему переданному файлу,
атаки могут повториться, важно локализовать источник возникновения атаки, это может быть в том числе и расширения браузера

[QUOTE]Олег Летуновский написал:
Вот свежий файл журнала из ESET:  https://www.sendspace.com/file/zmt2j7 И на этом пока всё - антивирус молчит. Спасибо, что помогаете. Может ещё dr web cureit помог, которым вчера проверял - он там тоже что-то удалял...[/QUOTE]
интересно,
возможно, загрузка файла вновь произошла после очистки за предыдущий день в uVS

[QUOTE]25.12.2020 14:29:54;Модуль сканирования файлов, исполняемых при запуске системы;файл;c:\users\Олег\appdata\roaming\microsoft\admodnetw4b8\adnekmod8b4.dll;MSIL/Agent.UFA троянская программа;очищено удалением;;;0CBA96ADD40FC610017EF4A2BA8F4220694A1018;23.12.2020 16:02:50
[/QUOTE]

вчера мы добавили сигнатуру adnekmod8b4.dll в базу ESET и теперь ESET прибивает этот файл еще до момента его запуска.

[QUOTE]Олег Летуновский написал:
Скрин уведомления с eset nod32: https://yadi.sk/i/B986Il8SSvcplg [/QUOTE]
по скиншоту:
[B]если есть возможность зайдите по ссылке "файл" и проверьте на какой файл указывает ESET[/B]

Скопируйте приведенный ниже текст в Блокнот и сохраните файл как fixlist.txt в ту же папку откуда была запущена утилита Farbar Recovery Scan Tool:
Запустите FRST и нажмите один раз на кнопку Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Пожалуйста, прикрепите его в следующем сообщении!

[CODE]GroupPolicy: Restriction ? <==== ATTENTION
GroupPolicy\User: Restriction ? <==== ATTENTION
Policies: C:\ProgramData\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Администратор\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Все пользователи\NTUSER.pol: Restriction <==== ATTENTION
Policies: C:\Users\Олег\NTUSER.pol: Restriction <==== ATTENTION
HKLM\SOFTWARE\Policies\Google: Restriction <==== ATTENTION
Task: C:\Windows\Tasks\3zgPNx83xcOWuSSk12ffUGHlPp.job => C:\Users\\AppData\Roaming\3zgPNx83xcOWuSSk12ffUGHlPp.exe <==== ATTENTION
Task: C:\Windows\Tasks\rUVHYmPai.job => C:\Users\\AppData\Roaming\rUVHYmPai.exe <==== ATTENTION
S1 iSafeNetFilter; system32\DRIVERS\iSafeNetFilter.sys [X] <==== ATTENTION
S1 {36ed28a4-ac0a-4653-91ff-10beb4246550}Gw64; system32\drivers\{36ed28a4-ac0a-4653-91ff-10beb4246550}Gw64.sys [X]
S1 {eb01aed1-bba3-4e72-8323-a77bb027b1d4}Gw64; system32\drivers\{eb01aed1-bba3-4e72-8323-a77bb027b1d4}Gw64.sys [X]
2020-12-24 15:52 - 2020-12-24 16:07 - 000000000 ____D C:\Users\Все пользователи\Doctor Web
2020-12-24 15:52 - 2020-12-24 16:07 - 000000000 ____D C:\ProgramData\Doctor Web
2015-04-19 22:20 - 2020-12-23 22:04 - 000000641 _____ () C:\Users\Олег\AppData\Roaming\3zgPNx83xcOWuSSk12ffUGHlPp
2018-09-08 18:49 - 2018-09-08 18:49 - 000000230 _____ () C:\Users\Олег\AppData\Roaming\del.bat
2015-04-19 22:20 - 2020-12-23 22:04 - 000000641 _____ () C:\Users\Олег\AppData\Roaming\rUVHYmPai
2015-04-03 19:06 - 2015-05-12 07:14 - 000000000 _____ () C:\Users\Олег\AppData\Roaming\smw_inst
EmptyTemp:
Reboot:[/CODE]

+
C:\USERS\HOME\APPDATA\ROAMING\MICROSOFT\ADMODNETW4B8\ADNEKMOD8­B4.DLL

ESET-NOD32
MSIL/Agent.UFA

https://www.virustotal.com/gui/file/f7391ddc770ac9e702c5aa89a736f550582067492dcd512­5475f6fc22491234c/detection

возможно, проблема в этом:

[QUOTE]Сегодня мы приняли решение отключить расширения [B]SaveFrom.net, Frigate Light, Frigate CDN[/B] и некоторые другие, установленные у пользователей Яндекс.Браузера. Совокупная аудитория этих инструментов превышает 8 млн человек. [/QUOTE]

https://habr.com/ru/company/yandex/blog/534586/

судя по нашим случаям у трех их 4 пострадавших пользователей (здесь на форуме) установлено одно из данных расширений:
FRIGATE CDN - СТРАНИЦА УСТАНОВКИ
SAVEFROM.NET ПОМОЩНИК
SAVEFROM.NET ПОМОЩНИК

[QUOTE]RP55 RP55 написал:
[QUOTE] santy написал:
могут предоставить больше информации по актуальной угрозе.[/QUOTE]
Судя по снимку директории сам файл может быть "чистым" просто запускает майнер из директории и дальше он сам...[/QUOTE]
вполне возможно, что обычный загрузчик, может даже из реестра что-то восстанавливает, как это было в пред. случаях