Форум esetnod32.ru [тема: Появление после удаления TrojanDownloader снова] http://forum.esetnod32.ru Новое в теме Появление после удаления TrojanDownloader снова форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Wed, 15 Apr 2026 04:59:59 +0300 Появление после удаления TrojanDownloader снова Появление после удаления TrojanDownloader снова в форуме Обнаружение вредоносного кода и ложные срабатывания.
добавьте новый лог из журнала угроз. Возможно антивирус что-то прибил после обновления своих баз.
+
ждем образ автозапуска системы из под winpe&uVS
(это не сложно сделать)
15.04.2019 12:55:32, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15274/message106477/ http://forum.esetnod32.ru/messages/forum6/topic15274/message106477/ Mon, 15 Apr 2019 12:55:32 +0300 Обнаружение вредоносного кода и ложные срабатывания Появление после удаления TrojanDownloader снова Появление после удаления TrojanDownloader снова в форуме Обнаружение вредоносного кода и ложные срабатывания.
Теперь svchost.exe не обнаруживает как троян, то-ли после обновления для системы безопасности Windows, то-ли еще почему-то. И физ память вроде легче загружена  
15.04.2019 10:30:20, Фил Грек.]]> http://forum.esetnod32.ru/messages/forum6/topic15274/message106474/ http://forum.esetnod32.ru/messages/forum6/topic15274/message106474/ Mon, 15 Apr 2019 10:30:20 +0300 Обнаружение вредоносного кода и ложные срабатывания Появление после удаления TrojanDownloader снова Появление после удаления TrojanDownloader снова в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
20:50:01.0296 0x0720  TDSS rootkit removing tool 3.1.0.26 Jan 16 2019 18:20:35
20:50:08.0765 0x0720  ============================================================­
20:50:08.0765 0x0720  Current date / time: 2019/04/11 20:50:08.0765

20:51:04.0903 0x1344  ============================================================­
20:51:04.0903 0x1344  Scan finished
20:51:04.0903 0x1344  ============================================================­
20:51:04.0923 0x04d0  Detected object count: 0
20:51:04.0923 0x04d0  Actual detected object count: 0
20:51:16.0003 0x1354  Deinitialize success

=============
есть поновее версия. 3.1.0.28
+
ждем образ автозапуска системы из под winpe&uVS
12.04.2019 07:03:42, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15274/message106450/ http://forum.esetnod32.ru/messages/forum6/topic15274/message106450/ Fri, 12 Apr 2019 07:03:42 +0300 Обнаружение вредоносного кода и ложные срабатывания Появление после удаления TrojanDownloader снова Появление после удаления TrojanDownloader снова в форуме Обнаружение вредоносного кода и ложные срабатывания.
вроде ничего не нашел tdsskiller
TDSSKiller.3.1.0.26_11.04.2019_20.50.01_log.txt
11.04.2019 22:34:52, Фил Грек.]]> http://forum.esetnod32.ru/messages/forum6/topic15274/message106449/ http://forum.esetnod32.ru/messages/forum6/topic15274/message106449/ Thu, 11 Apr 2019 22:34:52 +0300 Обнаружение вредоносного кода и ложные срабатывания Появление после удаления TrojanDownloader снова Появление после удаления TrojanDownloader снова в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Фил Грек написал:
Лог чего?? утилита Касперского ничего не нашла. Как сделать ее отчет я не знаю)))))
=============
лог проверки в tdsskiller.
в интерфейсе программы есть опция отчет.  в нее надо зайти после выполнения проверки, откроется отчет в текстовом виде,
его сохраните как файл, и добавьте в ваше сообщение на форум.

так же можно просто взять свежий отчет после проверки в корне диска:

====quote====
2019-04-10 11:43 - 2019-04-10 11:44 - 000186304 _____ C:\TDSSKiller.3.1.0.26_10.04.2019_11.43.24_log.txt
2019-04-10 02:25 - 2019-04-10 02:32 - 000186306 _____ C:\TDSSKiller.3.1.0.26_10.04.2019_02.25.24_log.txt
2019-04-10 02:22 - 2019-04-10 02:24 - 000186304 _____ C:\TDSSKiller.3.1.0.26_10.04.2019_02.22.53_log.txt

=============

+
сделайте образ автозапускаиз под загрузочного диска winpe&uVS
скачать образ iso диска можно отсюда
https://chklst.ru/discussion/61/winpe-uvs

как записать образ на флэшку и создать образ автозапуска из под winpe&uVS
https://forum.esetnod32.ru/forum27/topic2102/
10.04.2019 12:50:47, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15274/message106441/ http://forum.esetnod32.ru/messages/forum6/topic15274/message106441/ Wed, 10 Apr 2019 12:50:47 +0300 Обнаружение вредоносного кода и ложные срабатывания Появление после удаления TrojanDownloader снова Появление после удаления TrojanDownloader снова в форуме Обнаружение вредоносного кода и ложные срабатывания.
файлы FRST
FRST.txt
Addition.txt
10.04.2019 12:00:55, Фил Грек.]]> http://forum.esetnod32.ru/messages/forum6/topic15274/message106440/ http://forum.esetnod32.ru/messages/forum6/topic15274/message106440/ Wed, 10 Apr 2019 12:00:55 +0300 Обнаружение вредоносного кода и ложные срабатывания Появление после удаления TrojanDownloader снова Появление после удаления TrojanDownloader снова в форуме Обнаружение вредоносного кода и ложные срабатывания.
Лог чего?? утилита Касперского ничего не нашла. Как сделать ее отчет я не знаю)))))
10.04.2019 11:48:12, Фил Грек.]]> http://forum.esetnod32.ru/messages/forum6/topic15274/message106439/ http://forum.esetnod32.ru/messages/forum6/topic15274/message106439/ Wed, 10 Apr 2019 11:48:12 +0300 Обнаружение вредоносного кода и ложные срабатывания Появление после удаления TrojanDownloader снова Появление после удаления TrojanDownloader снова в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
сделайте проверку в tdsskiller
http://media.kaspersky.com/utilities/VirusUtilities/RU/tdsskiller.exe
ничего сразу не удаляйте при обнаружении (если...)
только добавьте лог проверки
09.04.2019 11:45:31, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15274/message106424/ http://forum.esetnod32.ru/messages/forum6/topic15274/message106424/ Tue, 09 Apr 2019 11:45:31 +0300 Обнаружение вредоносного кода и ложные срабатывания Появление после удаления TrojanDownloader снова Появление после удаления TrojanDownloader снова в форуме Обнаружение вредоносного кода и ложные срабатывания.
Сделайте журналы
http://forum.esetnod32.ru/forum9/topic13861/

Спасибо.
09.04.2019 10:45:09, Дмитрий.]]> http://forum.esetnod32.ru/messages/forum6/topic15274/message106423/ http://forum.esetnod32.ru/messages/forum6/topic15274/message106423/ Tue, 09 Apr 2019 10:45:09 +0300 Обнаружение вредоносного кода и ложные срабатывания Появление после удаления TrojanDownloader снова Появление после удаления TrojanDownloader снова в форуме Обнаружение вредоносного кода и ложные срабатывания.
После скрипта обнаруживает опять,  в диспетчере задач процессы вроде те-же, но память поедать меньше стал.    Лог журнала в txt (все 106 угроз)
1.txt
09.04.2019 10:08:46, Фил Грек.]]> http://forum.esetnod32.ru/messages/forum6/topic15274/message106422/ http://forum.esetnod32.ru/messages/forum6/topic15274/message106422/ Tue, 09 Apr 2019 10:08:46 +0300 Обнаружение вредоносного кода и ложные срабатывания Появление после удаления TrojanDownloader снова Появление после удаления TrojanDownloader снова в форуме Обнаружение вредоносного кода и ложные срабатывания.
лог журнала нужен не по одной записи, а весь, или по крайней мере за одну неделю
+
выполняем скрипт в uvs (из предвдущего сообщения)
+
пишем, что изменилось после скрипта

====quote====
перезагрузка, пишем о старых и новых проблемах.
=============
------------
+
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
08.04.2019 16:23:10, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15274/message106416/ http://forum.esetnod32.ru/messages/forum6/topic15274/message106416/ Mon, 08 Apr 2019 16:23:10 +0300 Обнаружение вредоносного кода и ложные срабатывания Появление после удаления TrojanDownloader снова Появление после удаления TrojanDownloader снова в форуме Обнаружение вредоносного кода и ложные срабатывания.
Файлы журнала обнаружениия, но с каждой загрузкой ОС разные номера
threat.txt.txt
threat.txt2.txt
08.04.2019 14:51:39, Фил Грек.]]> http://forum.esetnod32.ru/messages/forum6/topic15274/message106414/ http://forum.esetnod32.ru/messages/forum6/topic15274/message106414/ Mon, 08 Apr 2019 14:51:39 +0300 Обнаружение вредоносного кода и ложные срабатывания Появление после удаления TrojanDownloader снова Появление после удаления TrojanDownloader снова в форуме Обнаружение вредоносного кода и ложные срабатывания.
добавьте еще лог журнала обнаружения угроз.
надо будет экспортировать лог в формате txt
http://forum.esetnod32.ru/forum9/topic1408/
+

выполняем скрипт в uVS:
- скопировать содержимое кода в буфер обмена;
- стартуем uVS(start.exe), далее выбираем: текущий пользователь, меню - скрипты - выполнить скрипт из буфера обмена;
- закрываем все браузеры перед выполнением скрипта;
при деинсталляции программ - соглашаемся на деинсталляцию_удаление подтверждаем "да"
====code==== 

;uVS v4.1.4 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
v400c
OFFSGNSAVE
;------------------------autoscript---------------------------
icsuspend
delwmi WMI:\\.\ROOT\SUBSCRIPTION\.[FUCKYOUMM3]
apply

deltmp
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\4F4AC5B6BDE9C606576AD04E625E95FD\PROOF-RU-RU.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\23DC05B1DD677EDC36AF3BACAE1C13AC\PROOF-UK-UA.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\49E810D6618C7A990BCC8FFB014514AB\PROOF-EN-US.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\E7B8418379210AECD5EF2177E8C3DB73\PROOF-ES-ES.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\FB07251F3C86377E2CB38B5F5C2AB56C\PROOF-FR-FR.CAB
delref %SystemRoot%\SOFTWAREDISTRIBUTION\DOWNLOAD\F29303B40AF7599ED856DBA02411EE59\PROOF-DE-DE.CAB
delref {23E5D772-327A-42F5-BDEE-C65C6796BB2A}\[CLSID]
delref {177AFECE-9599-46CF-90D7-68EC9EEB27B4}\[CLSID]
delref {CEF51277-5358-477B-858C-4E14F0C80BF7}\[CLSID]
delref {59116E30-02BD-4B84-BA1E-5D77E809B1A2}\[CLSID]
delref D:\PROGRAM FILES\FOXIT READER\PLUGINS\NPFOXITREADERPLUGIN.DLL
delref %Sys32%\BLANK.HTM
delref D:\PROGRAM FILES\FOXIT READER\SHELL EXTENSIONS\FOXITPREVIEWHOST.EXE
delref %Sys32%\PSXSS.EXE
delref D:\PROGRAM FILES\FOXIT READER\FOXITREADER.EXE
;-------------------------------------------------------------

restart
=============
перезагрузка, пишем о старых и новых проблемах.
------------
далее,
сделайте дополнительно быструю проверку системы в малваребайт
http://forum.esetnod32.ru/forum9/topic10688/
08.04.2019 10:16:15, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15274/message106413/ http://forum.esetnod32.ru/messages/forum6/topic15274/message106413/ Mon, 08 Apr 2019 10:16:15 +0300 Обнаружение вредоносного кода и ложные срабатывания Появление после удаления TrojanDownloader снова Появление после удаления TrojanDownloader снова в форуме Обнаружение вредоносного кода и ложные срабатывания.
Образ автозапуска
ФИЛ-ПК_2019-04-08_09-54-18_v4.1.4.7z
08.04.2019 10:02:33, Фил Грек.]]> http://forum.esetnod32.ru/messages/forum6/topic15274/message106412/ http://forum.esetnod32.ru/messages/forum6/topic15274/message106412/ Mon, 08 Apr 2019 10:02:33 +0300 Обнаружение вредоносного кода и ложные срабатывания Появление после удаления TrojanDownloader снова Появление после удаления TrojanDownloader снова в форуме Обнаружение вредоносного кода и ложные срабатывания.
добавьте образ автозапуска системы
07.04.2019 14:02:29, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15274/message106402/ http://forum.esetnod32.ru/messages/forum6/topic15274/message106402/ Sun, 07 Apr 2019 14:02:29 +0300 Обнаружение вредоносного кода и ложные срабатывания Появление после удаления TrojanDownloader снова Появление после удаления TrojanDownloader снова в форуме Обнаружение вредоносного кода и ложные срабатывания.

При запуске и перезапуске обнаруживает:Оперативная память = svchost.exe(2120)(2220)итд.. ;модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа;После следующего перезапуска - повторяется то же самое.


07.04.2019 13:48:09, Фил Грек.]]> http://forum.esetnod32.ru/messages/forum6/topic15274/message106401/ http://forum.esetnod32.ru/messages/forum6/topic15274/message106401/ Sun, 07 Apr 2019 13:48:09 +0300 Обнаружение вредоносного кода и ложные срабатывания