http://forum.esetnod32.ru Новое в теме модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа в оперативной памяти форума на сайте Форум esetnod32.ru [forum.esetnod32.ru] ru http://backend.userland.com/rss2 Sat, 02 May 2026 08:07:33 +0300 модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
RP55 RP55 написал:
Судя по тому, что я нашёл Win64/Kryptik.BJI  применяется  Эксплойт  EternalBlue
=============
если не установлен патч MS17-010
https://www.catalog.update.microsoft.com/search.aspx?q=kb4012212
04.02.2022 16:08:15, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16710/message113820/ http://forum.esetnod32.ru/messages/forum6/topic16710/message113820/ Fri, 04 Feb 2022 16:08:15 +0300 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
Судя по тому, что я нашёл Win64/Kryptik.BJI  применяется  Эксплойт  EternalBlue
04.02.2022 15:55:15, RP55 RP55.]]> http://forum.esetnod32.ru/messages/forum6/topic16710/message113819/ http://forum.esetnod32.ru/messages/forum6/topic16710/message113819/ Fri, 04 Feb 2022 15:55:15 +0300 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
Возможно, через эту политику устанавливаются ограничения.
Active IPSec Policy [Local]: SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{0da1766d-4626-46ef-aa63-c020d7fcef18}
04.02.2022 13:09:35, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16710/message113818/ http://forum.esetnod32.ru/messages/forum6/topic16710/message113818/ Fri, 04 Feb 2022 13:09:35 +0300 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Макс Карюгин написал:
запустил без антивируса, после безопасного режима и запуска msconfig  
=============
майнер работает:
[FILE ID=121385]

Нужен образ из под Winpe для поиска стартера вредоносных программ. Скорее всего с руткитом.
Сможете сделать?
здесь есть пошаговая инструкция, и ссылка на образ iso: winpe&uVS.iso,
https://forum.esetnod32.ru/forum27/topic2102/
запишите образ на флэшку на чистой системе, потом надо будет стартануть систему с флэшки на зараженном ПК
uVS запустится автоматически - выбрать каталог системы Windows с ПК,  и далее уже можно будет создать образ автозапуска из интерфейса uVS

04.02.2022 13:01:28, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16710/message113817/ http://forum.esetnod32.ru/messages/forum6/topic16710/message113817/ Fri, 04 Feb 2022 13:01:28 +0300 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
запустил без антивируса, после безопасного режима и запуска msconfig  
M-ПК_2022-02-04_14-06-08_v4.12.7z
04.02.2022 12:12:19, Макс Карюгин.]]> http://forum.esetnod32.ru/messages/forum6/topic16710/message113816/ http://forum.esetnod32.ru/messages/forum6/topic16710/message113816/ Fri, 04 Feb 2022 12:12:19 +0300 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
+
проверьте расширение bat,
start.exe переименовать в start.bat
04.02.2022 10:29:30, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16710/message113815/ http://forum.esetnod32.ru/messages/forum6/topic16710/message113815/ Fri, 04 Feb 2022 10:29:30 +0300 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
браузеры запускаются? если запустится, пробуйте запустить start.exe через функцию открыть файл.
если не поможет, остается только вариант пролечить из под winpe
04.02.2022 10:22:58, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16710/message113814/ http://forum.esetnod32.ru/messages/forum6/topic16710/message113814/ Fri, 04 Feb 2022 10:22:58 +0300 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
то же самое
04.02.2022 10:06:54, Макс Карюгин.]]> http://forum.esetnod32.ru/messages/forum6/topic16710/message113813/ http://forum.esetnod32.ru/messages/forum6/topic16710/message113813/ Fri, 04 Feb 2022 10:06:54 +0300 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Макс Карюгин написал:
exe, com файлы не запускаются вообще. Ошибка файловой системы 65535
=============
переименуй файл start.exe  в start.pif и пробуй его запустить
04.02.2022 10:02:01, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16710/message113812/ http://forum.esetnod32.ru/messages/forum6/topic16710/message113812/ Fri, 04 Feb 2022 10:02:01 +0300 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
exe, com файлы не запускаются вообще. Ошибка файловой системы 65535
04.02.2022 09:51:21, Макс Карюгин.]]> http://forum.esetnod32.ru/messages/forum6/topic16710/message113811/ http://forum.esetnod32.ru/messages/forum6/topic16710/message113811/ Fri, 04 Feb 2022 09:51:21 +0300 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.

====quote====
Макс Карюгин написал:
Вот в безопасном режиме, не могу запустить даже regedit
=============
а start.exe из uVS тоже не запускается? пробуйте переименовать его в другое имя и запустить
(лог коллектора сейчас проверю)

да, есть в журналах детект:

====quote====
04.02.2022 5:13:10 Advanced memory scanner file Operating memory » svchost.exe(520) a variant of Win64/Kryptik.BJI trojan cleaned (after the next restart) - contained infected files D816D1965017A63D3A41B8E72871727FC9000F63
04.02.2022 5:13:05 Advanced memory scanner file Operating memory » svchost.exe(520) a variant of Win64/Kryptik.BJI trojan cleaned (after the next restart) - contained infected files D816D1965017A63D3A41B8E72871727FC9000F63
04.02.2022 5:12:02 Advanced memory scanner file Operating memory » svchost.exe(520) a variant of Win64/Kryptik.BJI trojan cleaned (after the next restart) - contained infected files D816D1965017A63D3A41B8E72871727FC9000F63

=============

04.02.2022 09:45:23, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16710/message113810/ http://forum.esetnod32.ru/messages/forum6/topic16710/message113810/ Fri, 04 Feb 2022 09:45:23 +0300 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
Вот в безопасном режиме, не могу запустить даже regedit
eav_logs.zip
04.02.2022 08:48:07, Макс Карюгин.]]> http://forum.esetnod32.ru/messages/forum6/topic16710/message113809/ http://forum.esetnod32.ru/messages/forum6/topic16710/message113809/ Fri, 04 Feb 2022 08:48:07 +0300 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
пробуйте выполнить все логи по инструкции из безопасного режима системы
04.02.2022 07:35:26, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16710/message113808/ http://forum.esetnod32.ru/messages/forum6/topic16710/message113808/ Fri, 04 Feb 2022 07:35:26 +0300 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
Проблема) не могу запустить exe файлы
04.02.2022 07:26:15, Макс Карюгин.]]> http://forum.esetnod32.ru/messages/forum6/topic16710/message113807/ http://forum.esetnod32.ru/messages/forum6/topic16710/message113807/ Fri, 04 Feb 2022 07:26:15 +0300 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
добавьте, пожалуйста, образ автозапуска системы в uVS
+
лог ESETLogCollector
https://forum.esetnod32.ru/forum9/topic10671/
03.02.2022 18:27:49, santy.]]> http://forum.esetnod32.ru/messages/forum6/topic16710/message113806/ http://forum.esetnod32.ru/messages/forum6/topic16710/message113806/ Thu, 03 Feb 2022 18:27:49 +0300 Обнаружение вредоносного кода и ложные срабатывания модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа в оперативной памяти в форуме Обнаружение вредоносного кода и ложные срабатывания.
При первоначальной проверке находит вирусы и просит перегрузить. После перезагрузки снова находит
Оперативная память » svchost.exe(512) - модифицированный Win64/Kryptik.BJI троянская программа - содержит зараженные файлы (после следующего перезапуска) [2]
Оперативная память » svchost.exe(1436) - модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа - содержит зараженные файлы (после следующего перезапуска) [2]
Оперативная память » svchost.exe(1436) - модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа - содержит зараженные файлы (после следующего перезапуска) [2]
Оперативная память » svchost.exe(1436) - модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа - содержит зараженные файлы (после следующего перезапуска) [2]
Оперативная память » svchost.exe(1436) - модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа - содержит зараженные файлы (после следующего перезапуска) [2]
Оперативная память » svchost.exe(1436) - модифицированный Win32/TrojanDownloader.Delf.BTT троянская программа - содержит зараженные файлы (после следующего перезапуска) [2]
03.02.2022 17:40:18, Макс Карюгин.]]> http://forum.esetnod32.ru/messages/forum6/topic16710/message113805/ http://forum.esetnod32.ru/messages/forum6/topic16710/message113805/ Thu, 03 Feb 2022 17:40:18 +0300 Обнаружение вредоносного кода и ложные срабатывания