http://forum.esetnod32.ru Новое в теме Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Fri, 01 May 2026 18:43:09 +0300 Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT в форуме Обнаружение вредоносного кода и ложные срабатывания.
RP55,
речь не идет о сравнении esetsysinspector и tdsskiller,
удобно или неудобно, хотя бы знать: видит или не видит.

====quote====
я бы проверил еще в ESETsysinspector как он реагирует на это.
это всегда полезно знать, какой инструмент видит руткит, тем более, что в ESETsysinspector есть антируткитный модель
=============

22.03.2020 17:14:32, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15809/message108642/ http://forum.esetnod32.ru/messages/forum6/topic15809/message108642/ Sun, 22 Mar 2020 17:14:32 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
когда ты видишь источник угрозы, далее уже сам решаешь как это удалить.
=============
Служба при перезагрузке PC может пометь имя, sha1  и тогда от данных sysinspector толку не будет.
Пере-усложнение процесса...
Найти угрозу в одной программе > временно запретить перезагрузку PC > удалить в другой > повторный лог для контроля в первой...
+ куча пояснений\объяснений.
Tdsskiller - сам найдёт и удалит и всё.

В sysinspector - так и не реализовали внятного механизма удаления.
Да и среди всего массива информации найти подозрительный объект не самая простая задача.
+
переключение оператора между интерфейсами абсолютно разных программ с разной логикой\подходом.

Это дело разработчиков - пусть в журнал обнаружения угроз добавляют подробную информацию из того же sysinspector.

sysinspector - можно для себя ( ради интереса ) но не при\для лечения.
22.03.2020 17:05:06, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic15809/message108640/ http://forum.esetnod32.ru/messages/forum6/topic15809/message108640/ Sun, 22 Mar 2020 17:05:06 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:

====quote====
 santy  написал:
в ESETsysinspector есть антируткитный модель
=============
Предположим, что видит и мы нашли угрозу.
Как её удалить...
Или искать одним инструментом, а удалять другим ?
=============
когда ты видишь источник угрозы, далее уже сам решаешь как это удалить.
22.03.2020 16:48:59, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15809/message108639/ http://forum.esetnod32.ru/messages/forum6/topic15809/message108639/ Sun, 22 Mar 2020 16:48:59 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
в ESETsysinspector есть антируткитный модель
=============

Предположим, что видит и мы нашли угрозу.
Как её удалить...
Или искать одним инструментом, а удалять другим ?
22.03.2020 16:44:52, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic15809/message108638/ http://forum.esetnod32.ru/messages/forum6/topic15809/message108638/ Sun, 22 Mar 2020 16:44:52 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:
Даже если и видит ?
=============
это всегда полезно знать, какой инструмент видит руткит, тем более, что в ESETsysinspector есть антируткитный модель
22.03.2020 16:41:45, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15809/message108637/ http://forum.esetnod32.ru/messages/forum6/topic15809/message108637/ Sun, 22 Mar 2020 16:41:45 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
santy написал:
в ESETsysinspector
=============

Даже если и видит ?
22.03.2020 16:37:25, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic15809/message108636/ http://forum.esetnod32.ru/messages/forum6/topic15809/message108636/ Sun, 22 Mar 2020 16:37:25 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:
1) Нужен лог  Tdsskiller
=============
я бы проверил еще в ESETsysinspector как он реагирует на это.
(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSWOW64\SVCHOST.EXE [1128], tid=1136
Видит ли действующий руткит или нет.
22.03.2020 16:30:06, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15809/message108635/ http://forum.esetnod32.ru/messages/forum6/topic15809/message108635/ Sun, 22 Mar 2020 16:30:06 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT в форуме Обнаружение вредоносного кода и ложные срабатывания.
так же обратите внимание на активную созданную политику IPSec
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{89adf3b8-c776-4a6c-bbb2-0819c0532e09}
если она не вами создана, проверьте ее назначение, и удалите, если она создана зловредной программой
22.03.2020 15:48:51, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15809/message108633/ http://forum.esetnod32.ru/messages/forum6/topic15809/message108633/ Sun, 22 Mar 2020 15:48:51 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Дмитрий Б написал:
21.03.2020 22:55:41;Защита в режиме реального времени;файл;C:\TDSSKiller_Quarantine\21.03.2020_22.54.52\uds0000\svc0000\tsk0000.dta;модифицированный Win32/Packed.VMProtect.ABD троянская программа
=============

в активном состоянии руткит не был обнаружен, видны только внедренные потоки в процессе в svchost.exe
20.03.2020 8:39:59;Модуль сканирования файлов, исполняемых при запуске системы;файл;Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа;очищен (после следующего перезапуска) - содержит зараженные файлы;;;2897DB8036A2DFF98E45B4042AEADB8C2EE5DD2C;

(!) ПРЕДУПРЕЖДЕНИЕ: Обнаружен внедренный поток в процессе C:\WINDOWS\SYSWOW64\SVCHOST.EXE [1128], tid=1136
C:\WINDOWS\SYSWOW64\SVCHOST.EXE
[THREADS IN PROCESSES] (ПРЕДУПРЕЖДЕНИЕ ~ ОБНАРУЖЕН ВНЕДРЕННЫЙ ПОТОК В ПРОЦЕССЕ)(1) [auto (0)]

интересно, какая полезная нагрузка подгружалась в TrojanDownloader
22.03.2020 15:12:51, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic15809/message108630/ http://forum.esetnod32.ru/messages/forum6/topic15809/message108630/ Sun, 22 Mar 2020 15:12:51 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT в форуме Обнаружение вредоносного кода и ложные срабатывания.
Судя по хешу и на момент сканирования файл детектировался антивирусом,

https://www.virustotal.com/gui/file/4f89fbfb03df6afbebe243c20e0d359e76874e035199ce3­ab35bbf7c6f8ad808/detection

21.03.2020 22:55:41;Защита в режиме реального времени;файл;C:\TDSSKiller_Quarantine\21.03.2020_22.54.52\uds0000\svc0000\tsk0000.dta;модифицированный Win32/Packed.VMProtect.ABD троянская программа
22.03.2020 14:11:03, Дмитрий Б.]]> http://forum.esetnod32.ru/messages/forum6/topic15809/message108626/ http://forum.esetnod32.ru/messages/forum6/topic15809/message108626/ Sun, 22 Mar 2020 14:11:03 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT в форуме Обнаружение вредоносного кода и ложные срабатывания.
Хорошо.  :)
21.03.2020 23:24:21, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic15809/message108621/ http://forum.esetnod32.ru/messages/forum6/topic15809/message108621/ Sat, 21 Mar 2020 23:24:21 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT в форуме Обнаружение вредоносного кода и ложные срабатывания.
Спасибо большое - помогло!
21.03.2020 23:21:36, Вадим Никитин.]]> http://forum.esetnod32.ru/messages/forum6/topic15809/message108620/ http://forum.esetnod32.ru/messages/forum6/topic15809/message108620/ Sat, 21 Mar 2020 23:21:36 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT в форуме Обнаружение вредоносного кода и ложные срабатывания.
Да, руткит.

22:55:17.0420 0x00f0  Detected object count: 1
22:55:17.0420 0x00f0  Actual detected object count: 1
22:55:34.0729 0x00f0  C:\Windows\System32\Ms6827D834App.dll - copied to quarantine
22:55:34.0731 0x00f0  HKLM\SYSTEM\ControlSet001\services\Ms6827D834AppB - will be deleted on reboot
22:55:34.0732 0x00f0  HKLM\SYSTEM\ControlSet001\control\safeboot\Minimal\Ms6827D83­4AppB - will be deleted on reboot
22:55:34.0732 0x00f0  HKLM\SYSTEM\ControlSet001\control\safeboot\Network\Ms6827D83­4AppB - will be deleted on reboot
22:55:34.0733 0x00f0  HKLM\SYSTEM\ControlSet002\services\Ms6827D834AppB - will be deleted on reboot
22:55:34.0733 0x00f0  HKLM\SYSTEM\ControlSet002\control\safeboot\Minimal\Ms6827D83­4AppB - will be deleted on reboot
22:55:34.0734 0x00f0  HKLM\SYSTEM\ControlSet002\control\safeboot\Network\Ms6827D83­4AppB - will be deleted on reboot
22:55:34.0745 0x00f0  C:\Windows\System32\Ms6827D834App.dll - will be deleted on reboot
22:55:34.0745 0x00f0  Ms6827D834AppB ( UDS:DangerousObject.Multi.Generic ) - User select action: Delete
22:55:34.0917 0x00f0  KLMD registered as C:\Windows\system32\drivers\30171730.sys
---------
Выполните повторную проверку в : TDSSKiller ( после перезагрузки PC )
При повторной проверке всё должно быть чисто.
21.03.2020 23:08:45, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic15809/message108619/ http://forum.esetnod32.ru/messages/forum6/topic15809/message108619/ Sat, 21 Mar 2020 23:08:45 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT в форуме Обнаружение вредоносного кода и ложные срабатывания.
логи
threat.txt
TDSSKiller.3.1.0.28_21.03.2020_22.54.49_log.txt
21.03.2020 23:01:07, Вадим Никитин.]]> http://forum.esetnod32.ru/messages/forum6/topic15809/message108618/ http://forum.esetnod32.ru/messages/forum6/topic15809/message108618/ Sat, 21 Mar 2020 23:01:07 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT в форуме Обнаружение вредоносного кода и ложные срабатывания.
1) Нужен лог  Tdsskiller

Скачайте tdsskiller отсюда:
http://support.kaspersky.ru/viruses/disinfection/5350

*Лог в будет в корне диска.
Мой компьютер диск С:\
Например: " TDSSKiller.3.6.4.0_28.11.2019_01.39.05_log.txt "
** Если программа найдет файл WINDOWS\system32\Drivers\sptd.sys, то не удаляйте его.
Лог в тему !

2) если система не обновляется, установите для начала патч MS-2017-010 (здесь накопительное обновление)
http://www.catalog.update.microsoft.com/search.aspx?q=kb4012215

3) добавьте так же лог журнала обнаружения угроз
http://forum.esetnod32.ru/forum9/topic1408/
21.03.2020 22:33:37, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic15809/message108617/ http://forum.esetnod32.ru/messages/forum6/topic15809/message108617/ Sat, 21 Mar 2020 22:33:37 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT в форуме Обнаружение вредоносного кода и ложные срабатывания.
Это проблема только на сервере, он терминальный, несколько пользователей.
Так классно, что Вы так оперативно! спасибо! вот образ
MIMINO_2020-03-21_21-57-20_v4.1.8.7z
21.03.2020 22:01:28, Вадим Никитин.]]> http://forum.esetnod32.ru/messages/forum6/topic15809/message108616/ http://forum.esetnod32.ru/messages/forum6/topic15809/message108616/ Sat, 21 Mar 2020 22:01:28 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT в форуме Обнаружение вредоносного кода и ложные срабатывания.
Создайте образ автозапуска в uVS
http://forum.esetnod32.ru/forum9/topic2687/

Проблема только на сервере, или аналогичная ситуация на других машинах в сети ?
21.03.2020 21:07:42, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic15809/message108615/ http://forum.esetnod32.ru/messages/forum6/topic15809/message108615/ Sat, 21 Mar 2020 21:07:42 +0300 Обнаружение вредоносного кода и ложные срабатывания Оперативная память = svchost.exe(7488);модифицированный Win32/TrojanDownloader.Delf.BTT в форуме Обнаружение вредоносного кода и ложные срабатывания.
доброго времени суток! установил есет на сервер и он начал меня бесконечно перезагрузками мучать. пишт об одной и тойже угорозе и бесконечно без результата перегружает сервер. помогите пожалуйста чтонибудь с этим сделать
Время;Модуль сканирования;Тип объекта;Объект;Обнаружение;Действие;Пользователь;Информация;Хэш;Первое обнаружение здесь
21.03.2020 19:59:41;Модуль сканирования по требованию;файл;Оперативная память = svchost.exe(1144);модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа;очищен (после следующего перезапуска) - содержит зараженные файлы;;;6AACB6DE992796D61AD34F5647B5B4F7256606BB;

21.03.2020 20:20:25, Ирина Назарова.]]> http://forum.esetnod32.ru/messages/forum6/topic15809/message108614/ http://forum.esetnod32.ru/messages/forum6/topic15809/message108614/ Sat, 21 Mar 2020 20:20:25 +0300 Обнаружение вредоносного кода и ложные срабатывания