Вход
Уважаемые пользователи!

Поставщик ИТ-решений PRO32 сообщает вам, что после 17 лет сотрудничества мы более не являемся эксклюзивным дистрибьютором программных продуктов словацкого разработчика ESET в России, Республике Беларусь, Казахстане, Азербайджане, Узбекистане, Кыргызстане, Таджикистане, Туркменистане, Молдове, Грузии и Армении.

Купить и продлить лицензии ESET на нашем сайте больше нельзя.

Предлагаем вам попробовать новый антивирус от компании PRO32.

Продукты PRO32 — это технологичные решения, надежная защита от киберугроз и максимальная производительность устройств на Windows / Android.

Для действующих клиентов ESET мы предлагаем промокод на скидку в размере 15% — ESET15. Скопируйте его и после добавления товара в корзину, не забудьте его применить в корзине.

Перейти на PRO32
Поиск  Пользователи  Правила  Войти
Центр вирусных исследований и аналитики Обнаружение вредоносного кода и ложные срабатывания

модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа в оперативной памяти

RSS
 
Макс Карюгин
Макс Карюгин
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 03.02.2022
Размещено 03.02.2022 17:40:18
При первоначальной проверке находит вирусы и просит перегрузить. После перезагрузки снова находит
Оперативная память » svchost.exe(512) - модифицированный Win64/Kryptik.BJI троянская программа - содержит зараженные файлы (после следующего перезапуска) [2]
Оперативная память » svchost.exe(1436) - модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа - содержит зараженные файлы (после следующего перезапуска) [2]
Оперативная память » svchost.exe(1436) - модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа - содержит зараженные файлы (после следующего перезапуска) [2]
Оперативная память » svchost.exe(1436) - модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа - содержит зараженные файлы (после следующего перезапуска) [2]
Оперативная память » svchost.exe(1436) - модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа - содержит зараженные файлы (после следующего перезапуска) [2]
Оперативная память » svchost.exe(1436) - модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа - содержит зараженные файлы (после следующего перезапуска) [2]

Ответы

Пред. 1 2
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.02.2022 10:29:30
+
проверьте расширение bat,
start.exe переименовать в start.bat
[ Как создать образ автозапуска? ]
 
Макс Карюгин
Макс Карюгин
Пользователь
Сообщений: 6
Баллов: 3
Регистрация: 03.02.2022
Размещено 04.02.2022 12:12:19
запустил без антивируса, после безопасного режима и запуска msconfig  
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.02.2022 13:01:28
Цитата
Макс Карюгин написал:
запустил без антивируса, после безопасного режима и запуска msconfig  
майнер работает:


Нужен образ из под Winpe для поиска стартера вредоносных программ. Скорее всего с руткитом.
Сможете сделать?
здесь есть пошаговая инструкция, и ссылка на образ iso: winpe&uVS.iso,
https://forum.esetnod32.ru/forum27/topic2102/
запишите образ на флэшку на чистой системе, потом надо будет стартануть систему с флэшки на зараженном ПК
uVS запустится автоматически - выбрать каталог системы Windows с ПК,  и далее уже можно будет создать образ автозапуска из интерфейса uVS
[ Как создать образ автозапуска? ]
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.02.2022 13:09:35
Возможно, через эту политику устанавливаются ограничения.
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{0da1766d-4626-46ef-aa63-c020d7fcef18}
[ Как создать образ автозапуска? ]
 
RP55 RP55
RP55 RP55
Пользователь
Сообщений: 6234
Баллов: 4987
Регистрация: 25.05.2010
Размещено 04.02.2022 15:55:15
Судя по тому, что я нашёл Win64/Kryptik.BJI  применяется  Эксплойт  EternalBlue
 
santy
santy
Администратор
Сообщений: 17962
Баллов: 14369
Регистрация: 16.03.2010
Размещено 04.02.2022 16:08:15
Цитата
RP55 RP55 написал:
Судя по тому, что я нашёл Win64/Kryptik.BJI  применяется  Эксплойт  EternalBlue
если не установлен патч MS17-010
https://www.catalog.update.microsoft.com/search.aspx?q=kb4012212
[ Как создать образ автозапуска? ]
 
Пред. 1 2
Читают тему