[ Закрыто ] Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT

доброго времени суток! установил есет на сервер и он начал меня бесконечно перезагрузками мучать. пишт об одной и тойже угорозе и бесконечно без результата перегружает сервер. помогите пожалуйста чтонибудь с этим сделать
Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
21.03.2020 19:59:41;Модуль сканирования по требованию;файл;Оперативная память = svchost.exe(1144);модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа;очищен (после следующего перезапуска) - содержит зараженные файлы;;;6AACB6DE992796D61AD34F5647B5B4F7256606BB;
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Проблема только на сервере, или аналогичная ситуация на других машинах в сети ?
Это проблема только на сервере, он терминальный, несколько пользователей.
Так классно, что Вы так оперативно! спасибо! вот образ
1) Нужен лог  Tdsskiller

Скачайте tdsskiller отсюда:
http://support.kaspersky.ru/viruses/disinfection/5350

*Лог в будет в корне диска.
Мой компьютер диск С:\
Например: " TDSSKiller.3.6.4.0_28.11.2019_01.39.05_log.txt "
** Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Лог в тему !

2) если система не обновляется, установите для начала патч MS-2017-010 (здесь накопительное обновление)
http://www.catalog.update.microsoft.com/search.aspx?q=kb4012215

3) добавьте так же лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
логи
Да, руткит.

22:55:17.0420 0x00f0  Detected object count: 1
22:55:17.0420 0x00f0  Actual detected object count: 1
22:55:34.0729 0x00f0  C:\Windows\System32\Ms6827D834App.dll - copied to quarantine
22:55:34.0731 0x00f0  HKLM\SYSTEM\ControlSet001\services\Ms6827D834AppB - will be deleted on reboot
22:55:34.0732 0x00f0  HKLM\SYSTEM\ControlSet001\control\safeboot\Minimal\Ms6827D83­4AppB - will be deleted on reboot
22:55:34.0732 0x00f0  HKLM\SYSTEM\ControlSet001\control\safeboot\Network\Ms6827D83­4AppB - will be deleted on reboot
22:55:34.0733 0x00f0  HKLM\SYSTEM\ControlSet002\services\Ms6827D834AppB - will be deleted on reboot
22:55:34.0733 0x00f0  HKLM\SYSTEM\ControlSet002\control\safeboot\Minimal\Ms6827D83­4AppB - will be deleted on reboot
22:55:34.0734 0x00f0  HKLM\SYSTEM\ControlSet002\control\safeboot\Network\Ms6827D83­4AppB - will be deleted on reboot
22:55:34.0745 0x00f0  C:\Windows\System32\Ms6827D834App.dll - will be deleted on reboot
22:55:34.0745 0x00f0  Ms6827D834AppB ( UDS:DangerousObject.Multi.Generic ) - User select action: Delete
22:55:34.0917 0x00f0  KLMD registered as C:\Windows\system32\drivers\30171730.sys
---------
Выполните повторную проверку в : TDSSKiller ( после перезагрузки PC )
При повторной проверке всё должно быть чисто.
Изменено: RP55 RP55 - 21.03.2020 23:10:07
Спасибо большое - помогло!
Хорошо.  :)
Судя по хешу и на момент сканирования файл детектировался антивирусом,

https://www.virustotal.com/gui/file/4f89fbfb03df6afbebe243c20e0d359e76874e035199ce3­ab35bbf7c6f8ad808/detection

21.03.2020 22:55:41;Защита в режиме реального времени;файл;C:\TDSSKiller_Quarantine\21.03.2020_22.54.52\uds0000\svc0000\tsk0000.dta;модифицированный Win32/Packed.VMProtect.ABD троянская программа

sendvirus2019@gmail.com
Цитата
Дмитрий Б написал:
21.03.2020 22:55:41;Защита в режиме реального времени;файл;C:\TDSSKiller_Quarantine\21.03.2020_22.54.52\uds0000\svc0000\tsk0000.dta;модифицированный Win32/Packed.VMProtect.ABD троянская программа

в активном состоянии руткит не был обнаружен, видны только внедренные потоки в процессе в svchost.exe
20.03.2020 8:39:59;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа;очищен (после следующего перезапуска) - содержит зараженные файлы;;;2897DB8036A2DFF98E45B4042AEADB8C2EE5DD2C;

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSWOW64\SVCHOST.EXE [1128], tid=1136
C:\WINDOWS\SYSWOW64\SVCHOST.EXE
[THREADS IN PROCESSES] (ПРЕДУПРЕЖДЕНИЕ ~ ОБНАРУЖЕН ВНЕДРЕННЫЙ ПОТОК В ПРОЦЕССЕ)(1) [auto (0)]

интересно, какая полезная нагрузка подгружалась в TrojanDownloader
Читают тему (гостей: 3)