Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA

1 2 След.
RSS
 
Кирилл Т
Кирилл Т
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 07.02.2019
Размещено 07.02.2019 09:32:33
При каждой загрузке или перезагрузке нод находит и удаляет трояна  из оперативной памяти,При удалении говорит что внедрен Win32/TrojanDownloader.Delf.BTT в svhost.exe (2176) .Также находит потенциально нежелательную прогу Win64/TrojanDownloader.CoinMiner.GA также в svhost.exe (2188).Ранее обнаружил  Win32/CoinMiner.DV выдал ошибку при удалении но висит в карантине.
Операционная система Windows 7.  
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2019 09:41:39
добавьте так же лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
[ Как создать образ автозапуска? ]
 
Кирилл Т
Кирилл Т
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 07.02.2019
Размещено 07.02.2019 09:45:29
Журнал
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2019 09:59:49
если есть такая информация в журнале, добавьте еще часть лога за 06.02.2019
Цитата
06.02.2019 23:30:33;Защита в режиме реального времени;файл;C:\Windows\System32\Tasks\9e8b42dd-d090-5aef-05988218f949eab4;PowerShell/Agent.AS троянская программа;очищен удалением;NT AUTHORITY\система;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\svchost.exe (4AF001B3C3816B860660CF2DE2C0FD3C1DFB4878).;EAE11DFB3A4663D1EB26B8348DF904EC70154B2F;

возможно, пробивает по сети.
если система не обновляется, установите для начала патч MS-2017-010 (здесь накопительное обновление)
http://www.catalog.update.microsoft.com/search.aspx?q=kb4012215

или отдельно установить патч для вашей системы
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

------------
после установки патча, перегрузить систему,
наблюдаем за системой, и пишем результат
[ Как создать образ автозапуска? ]
 
Кирилл Т
Кирилл Т
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 07.02.2019
Размещено 07.02.2019 10:07:05
лога за 06 нет . винду поставил позавчера , нод поставил вчера.вроде и не успел ничего накачать да и не лазил нигде.ставлю патч.
Изменено: Кирилл Т - 07.02.2019 10:07:51
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2019 10:10:22
хорошо, ждем результат (можно добавить новый лог журнала обнаружения угроз) после установки патча.
+
добавьте новый образ автозапуска.
по нему видно, что добавляются внедренные потоки в в svchost.exe
(и скорее всего после сетевой атаки).
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [2188], tid=2196
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [3884], tid=1104
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2019 10:16:06
+ вопрос:
эта политика безопасности вам известна?

Цитата
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{6527e655-cf51-4e27-8424-0f473d0762f5}
[ Как создать образ автозапуска? ]
 
Кирилл Т
Кирилл Т
Пользователь
Сообщений: 8
Баллов: 4
Регистрация: 07.02.2019
Размещено 07.02.2019 10:56:50
Не известна.я намудрил что-то с настройками иннета? лог загрузки и журнал
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2019 11:06:03
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
Код

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
icsuspend
regt 26
regt 25
;------------------------autoscript---------------------------

apply

deltmp
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHROME_BITS_1528_8047\4.10.1146.0_OIMOMPECAGNAJDEJGNNJIJOBEBAEIGEK.CRX
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref D:\PROGRAM FILES\WINDOWS DEFENDER\MPCMDRUN.EXE
delref {474C98EE-CF3D-41F5-80E3-4AAB0AB04301}\[CLSID]
delref {7EFA68C6-086B-43E1-A2D2-55A113531240}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref APPMGMT\[SERVICE]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\MSSECSVC2.0.EXE
delref %SystemRoot%\MSSECSVR.EXE
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\BVTBIN\TESTS\INSTALLPACKAGE\CBSTEST\X86\CSITEST.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES\AMD\ATI.ACE\CORE-IMPLEMENTATION\32\WBOCX.OCX
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
+
добавить новый образ автозапуска
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 07.02.2019 11:11:32
судя по наличию этих записей в реестре,

Цитата
%Sys32%\MSSECSVC2.0.EXE
%SystemRoot%\MSSECSVR.EXE

возможно была и пресекается попытка установить шифратор WannaCry
+
вопрос: патч установлен сейчас?
[ Как создать образ автозапуска? ]
 
1 2 След.
Читают тему