Выбрать дату в календареВыбрать дату в календаре

[ Закрыто] Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT
[QUOTE]RP55 RP55 написал:
Даже если и видит ?[/QUOTE]
это всегда полезно знать, какой инструмент видит руткит, тем более, что в ESETsysinspector есть антируткитный модель
[ Закрыто] Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT
[QUOTE]RP55 RP55 написал:
1) Нужен лог  Tdsskiller [/QUOTE]
я бы проверил еще в ESETsysinspector как он реагирует на это.
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSWOW64\SVCHOST.EXE [1128], tid=1136
Видит ли действующий руткит или нет.
[ Закрыто] Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT
так же обратите внимание на активную созданную политику IPSec
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{89adf3b8-c776-4a6c-bbb2-0819c0532e09}
если она не вами создана, проверьте ее назначение, и удалите, если она создана зловредной программой
[ Закрыто] Почему вы удалили мою тему?
Цитата
Тимур Увалиев написал:
В чём дело?
Тимур, уходя, уходи, зачем эти лишние вопросы.
Защита сети: Недавно заблокированное соединение (Мастер устранения неполадок), Проблемы с интернетом.
3.сделайте проверку в АдвКлинере
http://forum.esetnod32.ru/forum9/topic7084/

*****
4.в АдвКлинере, после завершения проверки,
в секции Папки снимите галки с записей mail.ru, yandex (если есть такие)
остальное удалите по кнопке Очистить
далее,

5.сделайте проверку в FRST
http://forum.esetnod32.ru/forum9/topic2798/
[ Закрыто] Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT
[QUOTE]Дмитрий Б написал:
21.03.2020 22:55:41;Защита в режиме реального времени;файл;C:\TDSSKiller_Quarantine\21.03.2020_22.54.52\uds0000\svc0000\tsk0000.dta;модифицированный Win32/Packed.VMProtect.ABD троянская программа[/QUOTE]

в активном состоянии руткит не был обнаружен, видны только внедренные потоки в процессе в svchost.exe
20.03.2020 8:39:59;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа;очищен (после следующего перезапуска) - содержит зараженные файлы;;;2897DB8036A2DFF98E45B4042AEADB8C2EE5DD2C;

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSWOW64\SVCHOST.EXE [1128], tid=1136
C:\WINDOWS\SYSWOW64\SVCHOST.EXE
[THREADS IN PROCESSES] (ПРЕДУПРЕЖДЕНИЕ ~ ОБНАРУЖЕН ВНЕДРЕННЫЙ ПОТОК В ПРОЦЕССЕ)(1) [auto (0)]

интересно, какая полезная нагрузка подгружалась в TrojanDownloader
поговорить о uVS, Carberp, планете Земля
ну, Хром здесь разрешен
FirewallRules: [{F2A91207-D804-4065-B40A-84218D6E29D4}] => (Allow) C:\Program Files (x86)\Google\Chrome\Application\chrome.exe (Google LLC -> Google LLC)
и FF разрешен из своего родного каталога
FirewallRules: [UDP Query User{337FEB3A-2191-4644-B86A-DC653388C5CE}C:\program files (x86)\mozilla firefox\firefox.exe] => (Allow) C:\program files (x86)\mozilla firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
FirewallRules: [TCP Query User{B2DA1FEE-F316-4D59-A6EC-B626BADDA317}C:\program files (x86)\mozilla firefox\firefox.exe] => (Allow) C:\program files (x86)\mozilla firefox\firefox.exe (Mozilla Corporation -> Mozilla Corporation)
поговорить о uVS, Carberp, планете Земля
[QUOTE]RP55 RP55 написал:
[QUOTE] santy написал:
это не блокировка запуска FF как приложения, но блокировка FF  по выходу в сеть.[/QUOTE]
А цель...  Не дать скачать антивирус, обратиться за помощью ?
И как эта блокировка была  выполнена ?
И как бы это видеть\устранять в uVS...[/QUOTE]
сложно судить о цели в контексте 3-4 строчек лога
правила можно автоматически добавить скриптами через wmic или netsh
правила брэндмауэра -  нет такой секции в uVS.
а если юзер использует продукт класса Internet Security то и незачем.
поговорить о uVS, Carberp, планете Земля
это другое,
это не блокировка запуска FF как приложения, но блокировка FF  по выходу в сеть.
т.е. юзер должен открыть брэндмауэр, и посмотреть что там за правила добавлены, которые мешают выходу в сеть FF
поговорить о uVS, Carberp, планете Земля
[QUOTE]RP55 RP55 написал:
В продолжение темы по блокировке антивирусов:  [/QUOTE]
кстати, еще один известный способ блокировки запуска приложений. (в том числе и антивирусных)

[QUOTE]HKU\S-1-5-18\...\Policies\Explorer: [DisallowRun] 1
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [1] eav_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [2] avast_free_antivirus_setup_online.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [3] eis_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [4] essf_trial_rus.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [5] hitmanpro_x64.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [6] ESETOnlineScanner_UKR.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [7] ESETOnlineScanner_RUS.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [8] HitmanPro.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [9] 360TS_Setup_Mini.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [10] Cezurity_Scanner_Pro_Free.exe
HKU\S-1-5-18\...\Policies\Explorer\DisallowRun: [11] Cube.exe[/QUOTE]
https://virusinfo.info/showthread.php?t=224678
+
еще один:
[QUOTE]O7 - Policy: [Untrusted Certificate] HKLM - 0A0CF21F2AD2796FCC1309F2993659FC9F4BBFB9 - Curio Systems GmbH
O7 - Policy: [Untrusted Certificate] HKLM - 1518752920E9221E1FE1728AACAC536728B37BA7 - Trend Micro, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 1B581436B0ED7536755B8B1C81112509A5AAF6ED - Panda Security S.L.
O7 - Policy: [Untrusted Certificate] HKLM - 2026D13756EB0DB753DF26CB3B7EEBE3E70BB2CF - G DATA Software AG
O7 - Policy: [Untrusted Certificate] HKLM - 31AC96A6C17C425222C46D55C3CCA6BA12E54DAF - Symantec Corporation
O7 - Policy: [Untrusted Certificate] HKLM - 328E73F58737F1AB8DB0DA98FECFA17EB7BFAA40 - Bitdefender SRL
O7 - Policy: [Untrusted Certificate] HKLM - 3C92C9274AB6D3DD520B13029A2490C4A1D98BC0 - Kaspersky Lab
O7 - Policy: [Untrusted Certificate] HKLM - 4E393AA1586C93E0BC9E7FEBCF7BFB62066DC22A - Doctor Web Ltd.
O7 - Policy: [Untrusted Certificate] HKLM - 4E564B9FBCE8F496FFF51278CCD14EE17F09A1CE - Lavasoft Software Canada
O7 - Policy: [Untrusted Certificate] HKLM - 58939B78BC28EF464220127BB754E3D130306988 - AVG Technologies USA, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 5AACB6A43D9D806E6963937BE702B7A43C1978AE - F-Secure Corporation
O7 - Policy: [Untrusted Certificate] HKLM - 5DE56B2BAAA995F447949B869356528F91230A49 - VIPRE Security (ThreatTrack Security, Inc.)
O7 - Policy: [Untrusted Certificate] HKLM - 7450C07722C75E711EF24209A22F0C5C6A5BEC4E - Trend Micro, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 775B373B33B9D15B58BC02B184704332B97C3CAF - McAfee, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 78C55D604474B534EB2B565CAD312FC7D71FE9DE - Webroot Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 816BE9397F66D1A26EFA04035BCA3BB9E3779740 - Malwarebytes Inc
O7 - Policy: [Untrusted Certificate] HKLM - 8887AF2636E0D3B763AC4D56729218AF89653CA4 - Avira Operations GmbH & Co. KG
O7 - Policy: [Untrusted Certificate] HKLM - 88AD5DFE24126872B33175D1778687B642323ACF - McAfee, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - 8B6DD299C6E4092040E98EB773F3818DF50B038D - Bitdefender SRL
O7 - Policy: [Untrusted Certificate] HKLM - 8DC9FE53D5F1D7D558EBE131E922730780D88865 - ESET, spol. s r.o.
O7 - Policy: [Untrusted Certificate] HKLM - 9A32249E9A6B9CF5C36B0749C81613524D37C594 - Safer-Networking Ltd.
O7 - Policy: [Untrusted Certificate] HKLM - A5341949ABE1407DD7BF7DFE75460D9608FBC309 - BullGuard Ltd.
O7 - Policy: [Untrusted Certificate] HKLM - AA8399A239AE1785200917D32C21F6B662477BE4 - K7 Computing Pvt Ltd
O7 - Policy: [Untrusted Certificate] HKLM - AEEA60E86C66327BFBB8492C33122687AB2B5D91 - Support.com, Inc.
O7 - Policy: [Untrusted Certificate] HKLM - B7E607E1FB8943C634580F621788C01C962E8280 - K7 Computing Pvt Ltd
O7 - Policy: [Untrusted Certificate] HKLM - BDEEFEC5F002E281B2292A8C72EACA468CBF9952 - Emsisoft Ltd
O7 - Policy: [Untrusted Certificate] HKLM - BE894F99B870DA5FCA623F7F4A85D3970A46CDE1 - Symantec Corporation
O7 - Policy: [Untrusted Certificate] HKLM - BF9254919794C1075EA027889C5D304F1121C653 - Kaspersky Lab
O7 - Policy: [Untrusted Certificate] HKLM - D70D7D00CA12E1B3E20F3BF7534DEB2C2E7C2404 - Comodo Security Solutions
O7 - Policy: [Untrusted Certificate] HKLM - DBFAD9D59A6A07DCEB004DBE2DC246B547249E86 - Malwarebytes Inc
O7 - Policy: [Untrusted Certificate] HKLM - E27AA5FFDCA62A60E435292A243D0C6D43DCC513 - Doctor Web Ltd.
O7 - Policy: [Untrusted Certificate] HKLM - E4A0C1054F8025DD88EE5053094A9A61661AE123 - Webroot Inc.
O7 - Policy: [Untrusted Certificate] HKLM - F75019695C0504E3ABEFEDCD8FBE500DA08EC8FA - AVAST Software s.r.o.
O7 - Policy: [Untrusted Certificate] HKLM - F83099622B4A9F72CB5081F742164AD1B8D048C9 - ESET, spol. s r.o.[/QUOTE]

https://virusinfo.info/showthread.php?t=224672