Появление после удаления TrojanDownloader снова - Форум технической поддержки ESET NOD32

Сообщений: 8

Баллов: 4

Регистрация: 07.04.2019

Размещено 07.04.2019 13:48:09

При запуске и перезапуске обнаруживает:Оперативная память = svchost.exe(2120)(2220)итд.. ;модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа;После следующего перезапуска - повторяется то же самое.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 07.04.2019 14:02:29

добавьте образ автозапуска системы

[ Как создать образ автозапуска? ]

Сообщений: 8

Баллов: 4

Регистрация: 07.04.2019

Размещено 08.04.2019 10:02:33

Образ автозапуска

Прикрепленные файлы

ФИЛ-ПК_2019-04-08_09-54-18_v4.1.4.7z (402.4 КБ)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2019 10:16:15

добавьте еще лог журнала обнаружения угроз.
надо будет экспортировать лог в формате txt
http://forum.esetnod32.ru/forum9/topic1408/
+

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"

Код
;uVS v4.1.4 [http://dsrt.dyndns.org] ;Target OS: NTv6.1 v400c OFFSGNSAVE ;------------------------autoscript--------------------------- icsuspend delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FUCKYOUMM3] apply deltmp delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\4F4AC5B6BDE9C606576AD04E625E95FD\PROOF-RU-RU.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\23DC05B1DD677EDC36AF3BACAE1C13AC\PROOF-UK-UA.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\49E810D6618C7A990BCC8FFB014514AB\PROOF-EN-US.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E7B8418379210AECD5EF2177E8C3DB73\PROOF-ES-ES.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\FB07251F3C86377E2CB38B5F5C2AB56C\PROOF-FR-FR.CAB delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\F29303B40AF7599ED856DBA02411EE59\PROOF-DE-DE.CAB delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID] delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID] delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID] delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID] delref D:\PROGRAM FILES\FOXIT READER\PLUGINS\NPFOXITREADERPLUGIN.DLL delref %Sys32%\BLANK.HTM delref D:\PROGRAM FILES\FOXIT READER\SHELL EXTENSIONS\FOXITPREVIEWHOST.EXE delref %Sys32%\PSXSS.EXE delref D:\PROGRAM FILES\FOXIT READER\FOXITREADER.EXE ;------------------------------------------------------------- restart

Код


;uVS v4.1.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
icsuspend
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FUCKYOUMM3]
apply

deltmp
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\4F4AC5B6BDE9C606576AD04E625E95FD\PROOF-RU-RU.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\23DC05B1DD677EDC36AF3BACAE1C13AC\PROOF-UK-UA.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\49E810D6618C7A990BCC8FFB014514AB\PROOF-EN-US.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E7B8418379210AECD5EF2177E8C3DB73\PROOF-ES-ES.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\FB07251F3C86377E2CB38B5F5C2AB56C\PROOF-FR-FR.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\F29303B40AF7599ED856DBA02411EE59\PROOF-DE-DE.CAB
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref D:\PROGRAM FILES\FOXIT READER\PLUGINS\NPFOXITREADERPLUGIN.DLL
delref %Sys32%\BLANK.HTM
delref D:\PROGRAM FILES\FOXIT READER\SHELL EXTENSIONS\FOXITPREVIEWHOST.EXE
delref %Sys32%\PSXSS.EXE
delref D:\PROGRAM FILES\FOXIT READER\FOXITREADER.EXE
;-------------------------------------------------------------

restart

перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 8

Баллов: 4

Регистрация: 07.04.2019

Размещено 08.04.2019 14:51:39

Файлы журнала обнаружениия, но с каждой загрузкой ОС разные номера

Прикрепленные файлы

threat.txt.txt (693 Б)
threat.txt2.txt (693 Б)

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 08.04.2019 16:23:10

лог журнала нужен не по одной записи, а весь, или по крайней мере за одну неделю
+
выполняем скрипт в uvs (из предвдущего сообщения)
+
пишем, что изменилось после скрипта

Цитата
перезагрузка, пишем о старых и новых проблемах.

------------
+
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/

[ Как создать образ автозапуска? ]

Сообщений: 8

Баллов: 4

Регистрация: 07.04.2019

Размещено 09.04.2019 10:08:46

После скрипта обнаруживает опять, в диспетчере задач процессы вроде те-же, но память поедать меньше стал. Лог журнала в txt (все 106 угроз)

Прикрепленные файлы

1.txt (48.39 КБ)

Изменено: Фил Грек - 09.04.2019 10:09:35

Сообщений: 12962

Баллов: 10371

Регистрация: 16.03.2010

Размещено 09.04.2019 10:45:09

Сделайте журналы
http://forum.esetnod32.ru/forum9/topic13861/

Спасибо.

Сообщений: 17977

Баллов: 28762

Регистрация: 16.03.2010

Размещено 09.04.2019 11:45:31

+
сделайте проверку в tdsskiller
http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
ничего сразу не удаляйте при обнаружении (если...)
только добавьте лог проверки

[ Как создать образ автозапуска? ]

Сообщений: 8

Баллов: 4

Регистрация: 07.04.2019

Размещено 10.04.2019 11:48:12

Лог чего?? утилита Касперского ничего не нашла. Как сделать ее отчет я не знаю)))))