[ Закрыто ] Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA

RSS
При каждой загрузке или перезагрузке нод находит и удаляет трояна  из оперативной памяти,При удалении говорит что внедрен Win32/TrojanDownloader.Delf.BTT в svhost.exe (2176) .Также находит потенциально нежелательную прогу Win64/TrojanDownloader.CoinMiner.GA также в svhost.exe (2188).Ранее обнаружил  Win32/CoinMiner.DV выдал ошибку при удалении но висит в карантине.
Операционная система Windows 7.  

Ответы

патч установлен.журнал после перезагрузки.образ автозапуска сделал после проверки Malwarebytes(поместил найденное в карантин) .
сделайте проверку этой утилитой
http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
ничего сразу не удаляйте, если будет что-то обнаружено,
добавьте лог проверки, он должен быть в корне диска C
+
лог этой утилиты добавьте:

Цитата
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
ничего не удалял  после tdsskiller,просто пропустил .
судя, по логу tdsskiller возможно есть скрытые сервисы:

Цитата
12:07:55.0296 0x11e8  Suspicious service (Hidden): Ms7DB53800App
12:07:55.0390 0x11e8  [ 21DE4ABBC865EE357D34FC2BD3237F4A, 52755A946430CA80189A63FA5C12AF6F631ADC5EA0ADE1DC6E7622E479ED7F2B ] Ms7DB53800App C:\Windows\System32\Ms7DB53800App.dll
12:07:55.0390 0x11e8  Suspicious file ( Hidden ): C:\Windows\System32\Ms7DB53800App.dll. md5: 21DE4ABBC865EE357D34FC2BD3237F4A, sha256: 52755A946430CA80189A63FA5C12AF6F631ADC5EA0ADE1DC6E7622E479ED­7F2B
12:07:55.0405 0x11e8  Ms7DB53800App - detected HiddenService.Multi.Generic ( 1 )
12:08:02.0534 0x11e8  Detect turned to UDS exact due to KSN untrusted
12:08:02.0612 0x11e8  Ms7DB53800App ( UDS:DangerousObject.Multi.Generic ) - infected
12:08:02.0612 0x11e8  Force sending object to P2P due to detect: Ms7DB53800App


12:08:42.0331 0x11e8  ============================================================­
12:08:42.0331 0x11e8  Scan finished
12:08:42.0331 0x11e8  ============================================================­
12:08:42.0357 0x1798  Detected object count: 1
12:08:42.0358 0x1798  Actual detected object count: 1
12:10:25.0914 0x1798  Ms7DB53800App ( UDS:DangerousObject.Multi.Generic ) - skipped by user
12:10:25.0914 0x1798  Ms7DB53800App ( UDS:DangerousObject.Multi.Generic ) - User select action: Skip
12:10:30.0095 0x1578  Deinitialize success

пробуйте сделать образ автозапуска из под Winpe&uVS,
https://forum.esetnod32.ru/forum27/topic2102/

должны быть видны скрытые сервисы, при создании образа автозапуска из под Winpe
попробовал , в uVS выбрал каталог c виндой *установленной*.при запуске  выдает чтот-о типа не могу получить доступ или не могу найти system.  кароче где то я накосячил.но!повторно проверил после перезапуска комп прогой tdsskiller и зараженный файл не пропустил а удалил.при этом eset начал ругаться как я понял на найденный tdsskiller файл находящийся в карантине и удалил его .если я ничего не путаю.и при повторной перезагруке eset не ругается.презагрузил пару раз все в порядке.возможно помогло удаление найденного Malwarebytes.автозапуск прилагаю.
да, сейчас все чисто, в svchost.exe нет внедренных потоков.
проблема была, скорее всего, из-за скрытой службы, которая была обнаружена в tdsskiller
(Eset здесь перехватил уже запись удаленного файла в карантин)

Цитата
Время;Сканер;Тип объекта;Объект;Угроза;Действие;Пользователь;Информация;Хэш;Первое обнаружение
07.02.2019 13:23:17;Защита в режиме реального времени;файл;C:\TDSSKiller_Quarantine\07.02.2019_13.20.09\uds0000\svc0000\tsk0000.dta;модифицированный Win32/Injector.DYLK троянская программа;очищен удалением;KRIMS-PC\User;Событие произошло в новом файле, созданном следующим приложением: C:\Users\User\AppData\Local\Temp\{7DD995D8-3AA0-4A92-AA2F-0360CFCAB1CD}\{EB921D59-5A4B-4C30-AF1F-E62302D9167A}.exe (4C6725B734326196C81C058B6810DCC0EFA8C0C1).;F4B3C1E4D8AE2D99CE76070EA2C0BCA9C9FDFB97;07.02.2019 13:22:56

рекомендуем установить обновления для вашей системы и приложений.

Цитата
Windows 7(6.1.7601) Service Pack 1 (x86) HomeBasic Lang: Russian(0419)
Дата установки ОС: 06.02.2019 01:58:12
Статус лицензии: Windows® 7, HomeBasic edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [74 Гб] Занято: [25.8 Гб] Свободно: [48.2 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18499 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено (-1)
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
HotFix KB4103712 Внимание! Скачать обновления
HotFix KB4343899 Внимание! Скачать обновления
HotFix KB4457145 Внимание! Скачать обновления
HotFix KB4462923 Внимание! Скачать обновления
HotFix KB4480970 Внимание! Скачать обновления
HotFix KB4487345 Внимание! Скачать обновления
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2016 x86 v.16.0.4266.1001
---------------------------- [ Antivirus_WMI ] ----------------------------
Malwarebytes (включен и обновлен)
ESET Security (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ AntiSpyware_WMI ] ---------------------------
ESET Security (включен и обновлен)
Malwarebytes (включен и обновлен)
Windows Defender (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes, версия 3.7.1.2839 v.3.7.1.2839
ESET Security v.11.2.63.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.61 (32-разрядная) v.5.61.0
Microsoft .NET Framework 4.6.2 v.4.6.01590
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.44994 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.72.0.3626.96 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files\ESET\ESET Security\egui.exe v.10.6.209.0
ESET Service (ekrn) - Служба работает
C:\Program Files\ESET\ESET Security\ekrn.exe v.10.6.209.0
ESET Firewall Helper (ekrnEpfw) - Служба работает
C:\Program Files\ESET\ESET Security\ekrn.exe v.10.6.209.0
C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe v.3.1.0.1731
Malwarebytes Service (MBAMService) - Служба работает
C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe v.3.2.0.765
Защитник Windows (WinDefend) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------
Спасибо за помощь.
Читают тему (гостей: 1)