Перейти к содержимому


Фотография
- - - - -

HEUR:Trojan.Win32.Generic

Друзья!

 В данном разделе форума действуют дополнительные правила — тема «Общие правила раздела "Уничтожение вирусов"». Пожалуйста, ознакомьтесь с ними перед размещением любого сообщения в данном разделе.

Для оформления запроса о помощи, внимательно прочитайте и аккуратно выполните указания в теме «Порядок оформления запроса о помощи».


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 3

#1 OFF   mcluch

mcluch

    Новичок

  • Новички
  • Cообщений: 18

Отправлено 26 Ноябрь 2019 - 18:42

Доброго дня! Сегодня ночью несколько компьютеров с kaspersky endpoint security 10 10.3.3.275 , были подвержены атаке. Касперский обнаружил Обнаружено: HEUR:Trojan.Win32.Generic
в файле C:\Windows\winupdate64.log
При этом удалилась библиотека sens.dll в каталоге C:\Windows\System32.

 

Обнаружили отсутствие sens.dll изза того что все подключения впн писали ошибку

Ошибка 711 не удается загрузить службу диспетчера подключений удаленного доступа.

А далее при запуске этой службы вылетала ошибка Ошибка 126 не найден указанный модуль

 

 

С подключениями сейчас нормально, но вот попасть ни на один фтп невозможно, что локальный что внешний. Что с проводника, что с браузера. Ошибка что просто не может получить доступ, но доступ точно есть

Что это за вирус такой, где он сидит зараза?

Прикрепленные файлы


Сообщение отредактировал mcluch: 26 Ноябрь 2019 - 18:48

  • 0

#2 OFF   regist

regist

    Айболит-2010

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 238

Отправлено 26 Ноябрь 2019 - 23:05

IPSec - политики сами настраивали?

O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 21 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block

Эти задания ваши?

O22 - Task: Centr - C:\Windows\system32\rasdial.exe Centr gelengik rfv19qaz
O22 - Task: centr2 - C:\Windows\system32\rasdial.exe Centr2 gelengik rfv19qaz
O22 - Task: kill - D:\1c.bat
O22 - Task: obmen - D:\lombard82\ScriptForFilial.bat

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 
 
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.


Сообщение отредактировал regist: 26 Ноябрь 2019 - 23:05

  • 0

#3 OFF   mcluch

mcluch

    Новичок

  • Новички
  • Cообщений: 18

Отправлено 27 Ноябрь 2019 - 07:54

IPSec - политики сами настраивали?

O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 21 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block

Эти задания ваши?

O22 - Task: Centr - C:\Windows\system32\rasdial.exe Centr gelengik rfv19qaz
O22 - Task: centr2 - C:\Windows\system32\rasdial.exe Centr2 gelengik rfv19qaz
O22 - Task: kill - D:\1c.bat
O22 - Task: obmen - D:\lombard82\ScriptForFilial.bat

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 
 
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Политики не нашы! Сняли, и заработало пока, вроде, все

 

Задания наши

 

Файл загрузили

https://virusinfo.in...ad.php?t=224034

 

https://virusinfo.in...0D28A97DFF1F757


Но все равно откуда то появляется гадость. Снова обнаружен HEUR:Trojan.Win32.Generic

в файле C:\Windows\winupdate64.log
Полная проверка ни
чего не находит более

Прикрепленные файлы


Сообщение отредактировал mcluch: 27 Ноябрь 2019 - 06:55

  • 0

#4 OFF   regist

regist

    Айболит-2010

  • Консультанты
  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 6 238

Отправлено 27 Ноябрь 2019 - 13:06


Но все равно откуда то появляется гадость. Снова обнаружен HEUR:Trojan.Win32.Generic в файле C:\Windows\winupdate64.log
зЗаархивируйте в zip архив с паролем virus, загрузите на любой файлообменник без капчи и пришлите ссылку на скачивание мне в ЛС,

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

  • Скачайте Universal Virus Sniffer (uVS)
  • Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  • Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  • Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".


Подробнее читайте в руководстве Как подготовить лог UVS.
 

 

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.
 


  • 0




Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных