Дорогие участники форума!

Наш форум переведен в режим работы "только для чтения", публикация новых тем и сообщений недоступна. Мы искренне благодарны вам за то, что были с нами, но пришло время двигаться дальше.

На данный момент приобретение лицензий ESET через наш сайт недоступно.
В качестве альтернативы предлагаем антивирусные решения PRO32 — надёжную защиту от киберугроз и высокую производительность для устройств на Windows и Android.

Приглашаем вас присоединиться к новому форуму PRO32.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Добавьте лицензию в корзину и примените промокод при оформлении заказа.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа в оперативной памяти

RSS
 
Макс Карюгин
Макс Карюгин
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 03.02.2022
Размещено 03.02.2022 17:40:18
При первоначальной проверке находит вирусы и просит перегрузить. После перезагрузки снова находит
Оперативная память » svchost.exe(512) - модифицированный Win64/Kryptik.BJI троянская программа - содержит зараженные файлы (после следующего перезапуска) [2]
Оперативная память » svchost.exe(1436) - модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа - содержит зараженные файлы (после следующего перезапуска) [2]
Оперативная память » svchost.exe(1436) - модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа - содержит зараженные файлы (после следующего перезапуска) [2]
Оперативная память » svchost.exe(1436) - модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа - содержит зараженные файлы (после следующего перезапуска) [2]
Оперативная память » svchost.exe(1436) - модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа - содержит зараженные файлы (после следующего перезапуска) [2]
Оперативная память » svchost.exe(1436) - модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа - содержит зараженные файлы (после следующего перезапуска) [2]

Ответы

Пред. 1 2
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.02.2022 10:29:30
+
проверьте расширение bat,
start.exe переименовать в start.bat
[ Как создать образ автозапуска? ]
 
Макс Карюгин
Макс Карюгин
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 03.02.2022
Размещено 04.02.2022 12:12:19
запустил без антивируса, после безопасного режима и запуска msconfig  
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.02.2022 13:01:28
Цитата
Макс Карюгин написал:
запустил без антивируса, после безопасного режима и запуска msconfig  
майнер работает:


Нужен образ из под Winpe для поиска стартера вредоносных программ. Скорее всего с руткитом.
Сможете сделать?
здесь есть пошаговая инструкция, и ссылка на образ iso: winpe&uVS.iso,
https://forum.esetnod32.ru/forum27/topic2102/
запишите образ на флэшку на чистой системе, потом надо будет стартануть систему с флэшки на зараженном ПК
uVS запустится автоматически - выбрать каталог системы Windows с ПК,  и далее уже можно будет создать образ автозапуска из интерфейса uVS
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.02.2022 13:09:35
Возможно, через эту политику устанавливаются ограничения.
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{0da1766d-4626-46ef-aa63-c020d7fcef18}
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6241
Баллов: 4992
Регистрация: 25.05.2010
Размещено 04.02.2022 15:55:15
Судя по тому, что я нашёл Win64/Kryptik.BJI  применяется  Эксплойт  EternalBlue
 
santy
santy
Администратор
Сообщений: 17977
Баллов: 28762
Регистрация: 16.03.2010
Размещено 04.02.2022 16:08:15
Цитата
RP55 RP55 написал:
Судя по тому, что я нашёл Win64/Kryptik.BJI  применяется  Эксплойт  EternalBlue
если не установлен патч MS17-010
https://www.catalog.update.microsoft.com/search.aspx?q=kb4012212
[ Как создать образ автозапуска? ]
 
Пред. 1 2
Читают тему