Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

[ Закрыто ] Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT

RSS
 
Ирина Назарова
Ирина Назарова
Пользователь
Сообщений: 4
Баллов: 2
Регистрация: 21.03.2020
Размещено 21.03.2020 20:20:25
доброго времени суток! установил есет на сервер и он начал меня бесконечно перезагрузками мучать. пишт об одной и тойже угорозе и бесконечно без результата перегружает сервер. помогите пожалуйста чтонибудь с этим сделать
Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
21.03.2020 19:59:41;Модуль сканирования по требованию;файл;Оперативная память = svchost.exe(1144);модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа;очищен (после следующего перезапуска) - содержит зараженные файлы;;;6AACB6DE992796D61AD34F5647B5B4F7256606BB;

Ответы

Пред. 1 2
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.03.2020 15:48:51
так же обратите внимание на активную созданную политику IPSec
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{89adf3b8-c776-4a6c-bbb2-0819c0532e09}
если она не вами создана, проверьте ее назначение, и удалите, если она создана зловредной программой
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.03.2020 16:30:06
Цитата
RP55 RP55 написал:
1) Нужен лог  Tdsskiller
я бы проверил еще в ESETsysinspector как он реагирует на это.
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSWOW64\SVCHOST.EXE [1128], tid=1136
Видит ли действующий руткит или нет.
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6239
Баллов: 4991
Регистрация: 25.05.2010
Размещено 22.03.2020 16:37:25
Цитата
santy написал:
в ESETsysinspector

Даже если и видит ?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.03.2020 16:41:45
Цитата
RP55 RP55 написал:
Даже если и видит ?
это всегда полезно знать, какой инструмент видит руткит, тем более, что в ESETsysinspector есть антируткитный модель
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6239
Баллов: 4991
Регистрация: 25.05.2010
Размещено 22.03.2020 16:44:52
Цитата
santy написал:
в ESETsysinspector есть антируткитный модель

Предположим, что видит и мы нашли угрозу.
Как её удалить...
Или искать одним инструментом, а удалять другим ?
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.03.2020 16:48:59
Цитата
RP55 RP55 написал:
Цитата
 santy  написал:
в ESETsysinspector есть антируткитный модель
Предположим, что видит и мы нашли угрозу.
Как её удалить...
Или искать одним инструментом, а удалять другим ?
когда ты видишь источник угрозы, далее уже сам решаешь как это удалить.
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6239
Баллов: 4991
Регистрация: 25.05.2010
Размещено 22.03.2020 17:05:06
Цитата
santy написал:
когда ты видишь источник угрозы, далее уже сам решаешь как это удалить.
Служба при перезагрузке PC может пометь имя, sha1  и тогда от данных sysinspector толку не будет.
Пере-усложнение процесса...
Найти угрозу в одной программе > временно запретить перезагрузку PC > удалить в другой > повторный лог для контроля в первой...
+ куча пояснений\объяснений.
Tdsskiller - сам найдёт и удалит и всё.

В sysinspector - так и не реализовали внятного механизма удаления.
Да и среди всего массива информации найти подозрительный объект не самая простая задача.
+
переключение оператора между интерфейсами абсолютно разных программ с разной логикой\подходом.

Это дело разработчиков - пусть в журнал обнаружения угроз добавляют подробную информацию из того же sysinspector.

sysinspector - можно для себя ( ради интереса ) но не при\для лечения.
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 22.03.2020 17:14:32
RP55,
речь не идет о сравнении esetsysinspector и tdsskiller,
удобно или неудобно, хотя бы знать: видит или не видит.
Цитата
я бы проверил еще в ESETsysinspector как он реагирует на это.
это всегда полезно знать, какой инструмент видит руткит, тем более, что в ESETsysinspector есть антируткитный модель
[ Как создать образ автозапуска? ]
 
Пред. 1 2
Читают тему