[ Закрыто ] Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT

RSS
доброго времени суток! установил есет на сервер и он начал меня бесконечно перезагрузками мучать. пишт об одной и тойже угорозе и бесконечно без результата перегружает сервер. помогите пожалуйста чтонибудь с этим сделать
Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
21.03.2020 19:59:41;Модуль сканирования по требованию;файл;Оперативная память = svchost.exe(1144);модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа;очищен (после следующего перезапуска) - содержит зараженные файлы;;;6AACB6DE992796D61AD34F5647B5B4F7256606BB;

Ответы

так же обратите внимание на активную созданную политику IPSec
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{89adf3b8-c776-4a6c-bbb2-0819c0532e09}
если она не вами создана, проверьте ее назначение, и удалите, если она создана зловредной программой
Цитата
RP55 RP55 написал:
1) Нужен лог  Tdsskiller
я бы проверил еще в ESETsysinspector как он реагирует на это.
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSWOW64\SVCHOST.EXE [1128], tid=1136
Видит ли действующий руткит или нет.
Цитата
santy написал:
в ESETsysinspector

Даже если и видит ?
Цитата
RP55 RP55 написал:
Даже если и видит ?
это всегда полезно знать, какой инструмент видит руткит, тем более, что в ESETsysinspector есть антируткитный модель
Цитата
santy написал:
в ESETsysinspector есть антируткитный модель

Предположим, что видит и мы нашли угрозу.
Как её удалить...
Или искать одним инструментом, а удалять другим ?
Цитата
RP55 RP55 написал:
Цитата
 santy  написал:
в ESETsysinspector есть антируткитный модель
Предположим, что видит и мы нашли угрозу.
Как её удалить...
Или искать одним инструментом, а удалять другим ?
когда ты видишь источник угрозы, далее уже сам решаешь как это удалить.
Цитата
santy написал:
когда ты видишь источник угрозы, далее уже сам решаешь как это удалить.
Служба при перезагрузке PC может пометь имя, sha1  и тогда от данных sysinspector толку не будет.
Пере-усложнение процесса...
Найти угрозу в одной программе > временно запретить перезагрузку PC > удалить в другой > повторный лог для контроля в первой...
+ куча пояснений\объяснений.
Tdsskiller - сам найдёт и удалит и всё.

В sysinspector - так и не реализовали внятного механизма удаления.
Да и среди всего массива информации найти подозрительный объект не самая простая задача.
+
переключение оператора между интерфейсами абсолютно разных программ с разной логикой\подходом.

Это дело разработчиков - пусть в журнал обнаружения угроз добавляют подробную информацию из того же sysinspector.

sysinspector - можно для себя ( ради интереса ) но не при\для лечения.
RP55,
речь не идет о сравнении esetsysinspector и tdsskiller,
удобно или неудобно, хотя бы знать: видит или не видит.
Цитата
я бы проверил еще в ESETsysinspector как он реагирует на это.
это всегда полезно знать, какой инструмент видит руткит, тем более, что в ESETsysinspector есть антируткитный модель
Читают тему (гостей: 2)