Форум esetnod32.ru [тема: Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA] http://forum.esetnod32.ru Новое в теме Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Fri, 01 May 2026 01:08:07 +0300 Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA в форуме Обнаружение вредоносного кода и ложные срабатывания.
Спасибо за помощь.
07.02.2019 15:25:49, Кирилл Т.]]> http://forum.esetnod32.ru/messages/forum6/topic15180/message105794/ http://forum.esetnod32.ru/messages/forum6/topic15180/message105794/ Thu, 07 Feb 2019 15:25:49 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA в форуме Обнаружение вредоносного кода и ложные срабатывания.
да, сейчас все чисто, в svchost.exe нет внедренных потоков.
проблема была, скорее всего, из-за скрытой службы, которая была обнаружена в tdsskiller
(Eset здесь перехватил уже запись удаленного файла в карантин)


====quote====
Время;Сканер;Тип объекта;Объект;Угроза;Действие;Пользователь;Информация;Хэш;Первое обнаружение
07.02.2019 13:23:17;Защита в режиме реального времени;файл;C:\TDSSKiller_Quarantine\07.02.2019_13.20.09\uds0000\svc0000\tsk0000.dta;модифицированный Win32/Injector.DYLK троянская программа;очищен удалением;KRIMS-PC\User;Событие произошло в новом файле, созданном следующим приложением: C:\Users\User\AppData\Local\Temp\{7DD995D8-3AA0-4A92-AA2F-0360CFCAB1CD}\{EB921D59-5A4B-4C30-AF1F-E62302D9167A}.exe (4C6725B734326196C81C058B6810DCC0EFA8C0C1).;F4B3C1E4D8AE2D99CE76070EA2C0BCA9C9FDFB97;07.02.2019 13:22:56

=============

рекомендуем установить обновления для вашей системы и приложений.


====quote====
Windows 7(6.1.7601) Service Pack 1 (x86) HomeBasic Lang: Russian(0419)
Дата установки ОС: 06.02.2019 01:58:12
Статус лицензии: Windows® 7, HomeBasic edition Постоянная активация прошла успешно.
Режим загрузки: Normal
Браузер по умолчанию: C:\Program Files\Google\Chrome\Application\chrome.exe
Системный диск: C: ФС: [NTFS] Емкость: [74 Гб] Занято: [25.8 Гб] Свободно: [48.2 Гб]
------------------------------- [ Windows ] -------------------------------
Internet Explorer 11.0.9600.18499 Внимание! Скачать обновления
^Онлайн установка. Последняя версия доступна при включенном обновлении Windows через интернет.^
Контроль учётных записей пользователя отключен
^Рекомендуется включить уровень по умолчанию: Win+R ввести UserAccountControlSettings и Enter^
Автоматическое обновление отключено (-1)
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
Удаленный реестр (RemoteRegistry) - Служба остановлена
Обнаружение SSDP (SSDPSRV) - Служба работает
Службы удаленных рабочих столов (TermService) - Служба остановлена
Служба удаленного управления Windows (WS-Management) (WinRM) - Служба остановлена
------------------------------- [ HotFix ] --------------------------------
HotFix KB3115858 Внимание! Скачать обновления
HotFix KB3140735 Внимание! Скачать обновления
HotFix KB3138962 Внимание! Скачать обновления
HotFix KB3145739 Внимание! Скачать обновления
HotFix KB3156013 Внимание! Скачать обновления
HotFix KB3155178 Внимание! Скачать обновления
HotFix KB3153171 Внимание! Скачать обновления
HotFix KB3178034 Внимание! Скачать обновления
HotFix KB3192391 Внимание! Скачать обновления
HotFix KB3197867 Внимание! Скачать обновления
HotFix KB3205394 Внимание! Скачать обновления
HotFix KB4019263 Внимание! Скачать обновления
HotFix KB4022722 Внимание! Скачать обновления
HotFix KB4015546 Внимание! Скачать обновления
HotFix KB4025337 Внимание! Скачать обновления
HotFix KB4034679 Внимание! Скачать обновления
HotFix KB4041678 Внимание! Скачать обновления
HotFix KB4056894 Внимание! Скачать обновления
HotFix KB4056897 Внимание! Скачать обновления
HotFix KB4074587 Внимание! Скачать обновления
HotFix KB4103712 Внимание! Скачать обновления
HotFix KB4343899 Внимание! Скачать обновления
HotFix KB4457145 Внимание! Скачать обновления
HotFix KB4462923 Внимание! Скачать обновления
HotFix KB4480970 Внимание! Скачать обновления
HotFix KB4487345 Внимание! Скачать обновления
------------------------------ [ MS Office ] ------------------------------
Microsoft Office 2016 x86 v.16.0.4266.1001
---------------------------- [ Antivirus_WMI ] ----------------------------
Malwarebytes (включен и обновлен)
ESET Security (включен и обновлен)
--------------------------- [ FirewallWindows ] ---------------------------
Брандмауэр Windows (MpsSvc) - Служба работает
Отключен доменный профиль Брандмауэра Windows
Отключен общий профиль Брандмауэра Windows
Отключен частный профиль Брандмауэра Windows
--------------------------- [ AntiSpyware_WMI ] ---------------------------
ESET Security (включен и обновлен)
Malwarebytes (включен и обновлен)
Windows Defender (выключен и обновлен)
---------------------- [ AntiVirusFirewallInstall ] -----------------------
Malwarebytes, версия 3.7.1.2839 v.3.7.1.2839
ESET Security v.11.2.63.0 Внимание! Скачать обновления
--------------------------- [ OtherUtilities ] ----------------------------
WinRAR 5.61 (32-разрядная) v.5.61.0
Microsoft .NET Framework 4.6.2 v.4.6.01590
--------------------------------- [ P2P ] ---------------------------------
µTorrent v.3.5.5.44994 Внимание! Клиент сети P2P! Может содержать рекламные модули или использоваться для скачивания нежелательного контента.
------------------------------- [ Browser ] -------------------------------
Google Chrome v.72.0.3626.96 [+]
------------------ [ AntivirusFirewallProcessServices ] -------------------
C:\Program Files\ESET\ESET Security\egui.exe v.10.6.209.0
ESET Service (ekrn) - Служба работает
C:\Program Files\ESET\ESET Security\ekrn.exe v.10.6.209.0
ESET Firewall Helper (ekrnEpfw) - Служба работает
C:\Program Files\ESET\ESET Security\ekrn.exe v.10.6.209.0
C:\Program Files\Malwarebytes\Anti-Malware\mbamtray.exe v.3.1.0.1731
Malwarebytes Service (MBAMService) - Служба работает
C:\Program Files\Malwarebytes\Anti-Malware\MBAMService.exe v.3.2.0.765
Защитник Windows (WinDefend) - Служба остановлена
----------------------------- [ End of Log ] ------------------------------
=============

07.02.2019 14:50:15, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15180/message105793/ http://forum.esetnod32.ru/messages/forum6/topic15180/message105793/ Thu, 07 Feb 2019 14:50:15 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA в форуме Обнаружение вредоносного кода и ложные срабатывания.
попробовал , в uVS выбрал каталог c виндой *установленной*.при запуске  выдает чтот-о типа не могу получить доступ или не могу найти system.  кароче где то я накосячил.но!повторно проверил после перезапуска комп прогой tdsskiller и зараженный файл не пропустил а удалил.при этом eset начал ругаться как я понял на найденный tdsskiller файл находящийся в карантине и удалил его .если я ничего не путаю.и при повторной перезагруке eset не ругается.презагрузил пару раз все в порядке.возможно помогло удаление найденного Malwarebytes.автозапуск прилагаю.
журнал.txt
KRIMS-PC_2019-02-07_14-22-12_v4.1.2.7z
07.02.2019 14:27:46, Кирилл Т.]]> http://forum.esetnod32.ru/messages/forum6/topic15180/message105792/ http://forum.esetnod32.ru/messages/forum6/topic15180/message105792/ Thu, 07 Feb 2019 14:27:46 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA в форуме Обнаружение вредоносного кода и ложные срабатывания.
судя, по логу tdsskiller возможно есть скрытые сервисы:


====quote====
12:07:55.0296 0x11e8  Suspicious service (Hidden): Ms7DB53800App
12:07:55.0390 0x11e8  [ 21DE4ABBC865EE357D34FC2BD3237F4A, 52755A946430CA80189A63FA5C12AF6F631ADC5EA0ADE1DC6E7622E479ED7F2B ] Ms7DB53800App C:\Windows\System32\Ms7DB53800App.dll
12:07:55.0390 0x11e8  Suspicious file ( Hidden ): C:\Windows\System32\Ms7DB53800App.dll. md5: 21DE4ABBC865EE357D34FC2BD3237F4A, sha256: 52755A946430CA80189A63FA5C12AF6F631ADC5EA0ADE1DC6E7622E479ED­7F2B
12:07:55.0405 0x11e8  Ms7DB53800App - detected HiddenService.Multi.Generic ( 1 )
12:08:02.0534 0x11e8  Detect turned to UDS exact due to KSN untrusted
12:08:02.0612 0x11e8  Ms7DB53800App ( UDS:DangerousObject.Multi.Generic ) - infected
12:08:02.0612 0x11e8  Force sending object to P2P due to detect: Ms7DB53800App


12:08:42.0331 0x11e8  ============================================================­
12:08:42.0331 0x11e8  Scan finished
12:08:42.0331 0x11e8  ============================================================­
12:08:42.0357 0x1798  Detected object count: 1
12:08:42.0358 0x1798  Actual detected object count: 1
12:10:25.0914 0x1798  Ms7DB53800App ( UDS:DangerousObject.Multi.Generic ) - skipped by user
12:10:25.0914 0x1798  Ms7DB53800App ( UDS:DangerousObject.Multi.Generic ) - User select action: Skip
12:10:30.0095 0x1578  Deinitialize success


=============

пробуйте сделать образ автозапуска из под Winpe&uVS,
https://forum.esetnod32.ru/forum27/topic2102/

должны быть видны скрытые сервисы, при создании образа автозапуска из под Winpe
07.02.2019 12:35:33, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15180/message105784/ http://forum.esetnod32.ru/messages/forum6/topic15180/message105784/ Thu, 07 Feb 2019 12:35:33 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA в форуме Обнаружение вредоносного кода и ложные срабатывания.
ничего не удалял  после tdsskiller,просто пропустил .
SecurityCheck.txt
TDSSKiller.3.1.0.26_07.02.2019_12.06.24_log.txt
07.02.2019 12:16:06, Кирилл Т.]]> http://forum.esetnod32.ru/messages/forum6/topic15180/message105783/ http://forum.esetnod32.ru/messages/forum6/topic15180/message105783/ Thu, 07 Feb 2019 12:16:06 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
лог этой утилиты добавьте:


====quote====
Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.
=============

07.02.2019 12:01:58, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15180/message105782/ http://forum.esetnod32.ru/messages/forum6/topic15180/message105782/ Thu, 07 Feb 2019 12:01:58 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA в форуме Обнаружение вредоносного кода и ложные срабатывания.
сделайте проверку этой утилитой
http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
ничего сразу не удаляйте, если будет что-то обнаружено,
добавьте лог проверки, он должен быть в корне диска C
07.02.2019 11:57:07, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15180/message105781/ http://forum.esetnod32.ru/messages/forum6/topic15180/message105781/ Thu, 07 Feb 2019 11:57:07 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA в форуме Обнаружение вредоносного кода и ложные срабатывания.
патч установлен.журнал после перезагрузки.образ автозапуска сделал после проверки Malwarebytes(поместил найденное в карантин) .
журнал.txt
Malwarebytes.txt
KRIMS-PC_2019-02-07_11-34-23_v4.1.2.7z
07.02.2019 11:43:24, Кирилл Т.]]> http://forum.esetnod32.ru/messages/forum6/topic15180/message105779/ http://forum.esetnod32.ru/messages/forum6/topic15180/message105779/ Thu, 07 Feb 2019 11:43:24 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA в форуме Обнаружение вредоносного кода и ложные срабатывания.
судя по наличию этих записей в реестре,


====quote====
%Sys32%\MSSECSVC2.0.EXE
%SystemRoot%\MSSECSVR.EXE
=============

возможно была и пресекается попытка установить шифратор WannaCry
+
вопрос: патч установлен сейчас?
07.02.2019 11:11:32, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15180/message105774/ http://forum.esetnod32.ru/messages/forum6/topic15180/message105774/ Thu, 07 Feb 2019 11:11:32 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA в форуме Обнаружение вредоносного кода и ложные срабатывания.
выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.1.2 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
icsuspend
regt 26
regt 25
;------------------------autoscript---------------------------

apply

deltmp
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\CHROME_BITS_1528_8047\4.10.1146.0_OIMOMPECAGNAJDEJGNNJIJOBEBAEIGEK.CRX
delref A9A33436-678B-4C9C-A211-7CC38785E79D\[CLSID]
delref D:\PROGRAM FILES\WINDOWS DEFENDER\MPCMDRUN.EXE
delref {474C98EE-CF3D-41F5-80E3-4AAB0AB04301}\[CLSID]
delref {7EFA68C6-086B-43E1-A2D2-55A113531240}\[CLSID]
delref {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}\[CLSID]
delref {166B1BCA-3F9C-11CF-8075-444553540000}\[CLSID]
delref {233C1507-6A77-46A4-9443-F871F945D258}\[CLSID]
delref {4063BE15-3B08-470D-A0D5-B37161CFFD69}\[CLSID]
delref {88D969C0-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C1-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C2-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C3-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C4-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {88D969C5-F192-11D4-A65F-0040963251E5}\[CLSID]
delref {8AD9C840-044E-11D1-B3E9-00805F499D93}\[CLSID]
delref {CA8A9780-280D-11CF-A24D-444553540000}\[CLSID]
delref {CFCDAA03-8BE4-11CF-B84B-0020AFBBCCFA}\[CLSID]
delref {D27CDB6E-AE6D-11CF-96B8-444553540000}\[CLSID]
delref %Sys32%\MSSPELLCHECKINGFACILITY.DLL
delref {1FBA04EE-3024-11D2-8F1F-0000F87ABD16}\[CLSID]
delref %Sys32%\BLANK.HTM
delref {E6FB5E20-DE35-11CF-9C87-00AA005127ED}\[CLSID]
delref APPMGMT\[SERVICE]
delref HELPSVC\[SERVICE]
delref SACSVR\[SERVICE]
delref TBS\[SERVICE]
delref VMMS\[SERVICE]
delref MESSENGER\[SERVICE]
delref RDSESSMGR\[SERVICE]
delref %Sys32%\MSSECSVC2.0.EXE
delref %SystemRoot%\MSSECSVR.EXE
delref %Sys32%\PSXSS.EXE
delref %SystemDrive%\BVTBIN\TESTS\INSTALLPACKAGE\CBSTEST\X86\CSITEST.DLL
delref %Sys32%\SHAREMEDIACPL.CPL
delref %SystemDrive%\PROGRAM FILES\AMD\ATI.ACE\CORE-IMPLEMENTATION\32\WBOCX.OCX
;-------------------------------------------------------------

restart
=============
перезагрузка, пишем о старых и новых проблемах.
+
добавить новый образ автозапуска
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
07.02.2019 11:06:03, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15180/message105773/ http://forum.esetnod32.ru/messages/forum6/topic15180/message105773/ Thu, 07 Feb 2019 11:06:03 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA в форуме Обнаружение вредоносного кода и ложные срабатывания.
Не известна.я намудрил что-то с настройками иннета? лог загрузки и журнал
111.txt
KRIMS-PC_2019-02-07_10-52-17_v4.1.2.7z
07.02.2019 10:56:50, Кирилл Т.]]> http://forum.esetnod32.ru/messages/forum6/topic15180/message105772/ http://forum.esetnod32.ru/messages/forum6/topic15180/message105772/ Thu, 07 Feb 2019 10:56:50 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA в форуме Обнаружение вредоносного кода и ложные срабатывания.
+ вопрос:
эта политика безопасности вам известна?


====quote====
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{6527e655-cf51-4e27-8424-0f473d0762f5}

=============

07.02.2019 10:16:06, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15180/message105771/ http://forum.esetnod32.ru/messages/forum6/topic15180/message105771/ Thu, 07 Feb 2019 10:16:06 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA в форуме Обнаружение вредоносного кода и ложные срабатывания.
хорошо, ждем результат (можно добавить новый лог журнала обнаружения угроз) после установки патча.
+
добавьте новый образ автозапуска.
по нему видно, что добавляются внедренные потоки в в svchost.exe
(и скорее всего после сетевой атаки).
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [2188], tid=2196
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSTEM32\SVCHOST.EXE [3884], tid=1104
07.02.2019 10:10:22, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15180/message105770/ http://forum.esetnod32.ru/messages/forum6/topic15180/message105770/ Thu, 07 Feb 2019 10:10:22 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA в форуме Обнаружение вредоносного кода и ложные срабатывания.
лога за 06 нет . винду поставил позавчера , нод поставил вчера.вроде и не успел ничего накачать да и не лазил нигде.ставлю патч.
07.02.2019 10:07:05, Кирилл Т.]]> http://forum.esetnod32.ru/messages/forum6/topic15180/message105769/ http://forum.esetnod32.ru/messages/forum6/topic15180/message105769/ Thu, 07 Feb 2019 10:07:05 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA в форуме Обнаружение вредоносного кода и ложные срабатывания.
если есть такая информация в журнале, добавьте еще часть лога за 06.02.2019

====quote====
06.02.2019 23:30:33;Защита в режиме реального времени;файл;C:\Windows\System32\Tasks\9e8b42dd-d090-5aef-05988218f949eab4;PowerShell/Agent.AS троянская программа;очищен удалением;NT AUTHORITY\система;Событие произошло в новом файле, созданном следующим приложением: C:\Windows\System32\svchost.exe (4AF001B3C3816B860660CF2DE2C0FD3C1DFB4878).;EAE11DFB3A4663D1EB26B8348DF904EC70154B2F;
=============

возможно, пробивает по сети.
если система не обновляется, установите для начала патч MS-2017-010 (здесь накопительное обновление)
http://www.catalog.update.microsoft.com/search.aspx?q=kb4012215

или отдельно установить патч для вашей системы
http://download.windowsupdate.com/d/msdownload/update/software/secu/2017/02/windows6.1-kb4012212-x86_6bb04d3971bb58ae4bac44219e7169812914df3f.msu

------------
после установки патча, перегрузить систему,
наблюдаем за системой, и пишем результат
07.02.2019 09:59:49, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15180/message105768/ http://forum.esetnod32.ru/messages/forum6/topic15180/message105768/ Thu, 07 Feb 2019 09:59:49 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA в форуме Обнаружение вредоносного кода и ложные срабатывания.
Журнал
журнал.txt
07.02.2019 09:45:29, Кирилл Т.]]> http://forum.esetnod32.ru/messages/forum6/topic15180/message105767/ http://forum.esetnod32.ru/messages/forum6/topic15180/message105767/ Thu, 07 Feb 2019 09:45:29 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA в форуме Обнаружение вредоносного кода и ложные срабатывания.
добавьте так же лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
07.02.2019 09:41:39, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15180/message105765/ http://forum.esetnod32.ru/messages/forum6/topic15180/message105765/ Thu, 07 Feb 2019 09:41:39 +0300 Обнаружение вредоносного кода и ложные срабатывания Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA Win32/TrojanDownloader.Delf.BTT и CoinMiner.GA в форуме Обнаружение вредоносного кода и ложные срабатывания.
При каждой загрузке или перезагрузке нод находит и удаляет трояна  из оперативной памяти,При удалении говорит что внедрен Win32/TrojanDownloader.Delf.BTT в svhost.exe (2176) .Также находит потенциально нежелательную прогу Win64/TrojanDownloader.CoinMiner.GA также в svhost.exe (2188).Ранее обнаружил  Win32/CoinMiner.DV выдал ошибку при удалении но висит в карантине.
Операционная система Windows 7.  
KRIMS-PC_2019-02-07_09-28-04_v4.1.2.7z
07.02.2019 09:32:33, Кирилл Т.]]> http://forum.esetnod32.ru/messages/forum6/topic15180/message105764/ http://forum.esetnod32.ru/messages/forum6/topic15180/message105764/ Thu, 07 Feb 2019 09:32:33 +0300 Обнаружение вредоносного кода и ложные срабатывания