Перейти к содержимому


Фотография

Подскажите что за вирусTrojan.Win32.Silence.gen ? Не нашёл в Гугле.


  • Авторизуйтесь для ответа в теме
Сообщений в теме: 12

#1 OFF   sputnikk

sputnikk

    Корифей

  • Активисты
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 9272

Отправлено 17 March 2020 - 19:25

 КАВ нашёл трояна в памяти, при этом на дисках ничего нет. Отправил запрос INC000011374223. 

После лечения:

17.03.2020 22.00.37;Обнаруженный объект (системная память) больше не доступен;System Memory;System Memory;MEM:Trojan.Win32.Silence.gen;Троянская программа;03/17/2020 22:00:37

  • 0

Win 7 SP1 x64 MSDN & KAV 20. Кнопочный LG A230.  Samsung GALAXY Tab 2 (10.1") 3G & Android 4.2.2.m3690.gif
Адресовано любителям переставлять Windows: СИФИЛИС ампутацией не лечат. ИМХО.
Конфиг для игр Как переустановить Windows, сохранив настройки и установленные программы
Если хотите видеть в CrystalDiskInfo понятные цифры , то измените настройки: Сервис - Дополнительно - Raw-значения - 10[DEC] (или 10[DEC] - 2byte, если некоторые цифры окажутся несуразно большими). Окно можно растянуть по вертикали


#2 OFF   Mark D. Pearlstone

Mark D. Pearlstone

    Assistant

  • Супер-модераторы
  • Совет фан-клуба
  • PipPipPipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 21940

Награды

           

Отправлено 17 March 2020 - 19:31

Какая помощь требуется?


  • 0

#3 OFF   sputnikk

sputnikk

    Корифей

  • Активисты
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 9272

Отправлено 17 March 2020 - 20:07

Какая помощь требуется?

Объяснить что за вирус. Может с сайта загружается, может по сетке распространяется. Раньше не было такого, чтоб троян оказался в памяти, а не на диске.

 

КРД не нашёл ничего нового, только старые файлы, не использовавшиеся в момент возникновения трояна. Не нашёл как сохранить отчёт текстом, поэтому сделал скрин

Прикрепленные изображения

  • Снимок экрана_2020-03-17_23-07-13.png

Сообщение отредактировал sputnikk: 17 March 2020 - 20:07

  • 0

Win 7 SP1 x64 MSDN & KAV 20. Кнопочный LG A230.  Samsung GALAXY Tab 2 (10.1") 3G & Android 4.2.2.m3690.gif
Адресовано любителям переставлять Windows: СИФИЛИС ампутацией не лечат. ИМХО.
Конфиг для игр Как переустановить Windows, сохранив настройки и установленные программы
Если хотите видеть в CrystalDiskInfo понятные цифры , то измените настройки: Сервис - Дополнительно - Raw-значения - 10[DEC] (или 10[DEC] - 2byte, если некоторые цифры окажутся несуразно большими). Окно можно растянуть по вертикали


#4 OFF   Friend

Friend

    Friend

  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 5263

Отправлено 17 March 2020 - 22:03

sputnikk, по правилам стандартной поддержки на сайте Лаборатории Касперского,  техническая поддержка не предоставляет описание вирусов без специального контракта для корпоративных клиентов, думаю это: https://securelist.r...-silence/87891/


  • 1

#5 OFF   sputnikk

sputnikk

    Корифей

  • Активисты
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 9272

Отправлено 18 March 2020 - 17:15

тп написала:

Скорее всего на компьютере была использована утилита KMS. Она иногда может вызывать подобные срабатывания во время своей работы, делая инжекты в системные процессы.

 

Но у меня нет активных кмс и не использовал на хосте


  • 0

Win 7 SP1 x64 MSDN & KAV 20. Кнопочный LG A230.  Samsung GALAXY Tab 2 (10.1") 3G & Android 4.2.2.m3690.gif
Адресовано любителям переставлять Windows: СИФИЛИС ампутацией не лечат. ИМХО.
Конфиг для игр Как переустановить Windows, сохранив настройки и установленные программы
Если хотите видеть в CrystalDiskInfo понятные цифры , то измените настройки: Сервис - Дополнительно - Raw-значения - 10[DEC] (или 10[DEC] - 2byte, если некоторые цифры окажутся несуразно большими). Окно можно растянуть по вертикали


#6 ON   Noo

Noo

    Продвинутый

  • Участники
  • PipPip
  • Cообщений: 127

Отправлено 18 March 2020 - 17:20

тп написала:

Скорее всего на компьютере была использована утилита KMS. Она иногда может вызывать подобные срабатывания во время своей работы, делая инжекты в системные процессы.

 

Но у меня нет активных кмс и не использовал на хосте

Лог КРД свидетельствует об обратном.

 

По поводу памяти: способов малвари (и легальному ПО) внедрить свой код в другой процесс - вагон и тележка. Скорее всего, произошло так, что какой-то процесс записал код в другой процесс, и он стал выполняться в контексте уже нового процесса. Затем первый процесс завершил работу.


Сообщение отредактировал Noo: 18 March 2020 - 17:23

  • 1

m6012.gif


#7 OFF   sputnikk

sputnikk

    Корифей

  • Активисты
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 9272

Отправлено 18 March 2020 - 17:50


Лог КРД свидетельствует об обратном.
Где? Все активаторы, в том числе содержащие кмс, находятся в архивах. Нет ни одного с расширением .ехе
  • 0

Win 7 SP1 x64 MSDN & KAV 20. Кнопочный LG A230.  Samsung GALAXY Tab 2 (10.1") 3G & Android 4.2.2.m3690.gif
Адресовано любителям переставлять Windows: СИФИЛИС ампутацией не лечат. ИМХО.
Конфиг для игр Как переустановить Windows, сохранив настройки и установленные программы
Если хотите видеть в CrystalDiskInfo понятные цифры , то измените настройки: Сервис - Дополнительно - Raw-значения - 10[DEC] (или 10[DEC] - 2byte, если некоторые цифры окажутся несуразно большими). Окно можно растянуть по вертикали


#8 ON   Noo

Noo

    Продвинутый

  • Участники
  • PipPip
  • Cообщений: 127

Отправлено 18 March 2020 - 18:08

Где? Все активаторы, в том числе содержащие кмс, находятся в архивах. Нет ни одного с расширением .ехе

 

А не обязательно может быть exe-файл. Активатор может внести изменения в загрузчик ОС, и этого ему будет достаточно для работы. Скорее всего, KRD его не детектирует, потому что его поведение не схоже с поведением вредоносных руткитов.

После перезагрузки вредоносное ПО обнаруживается? Может быть, если даже оно было, оно не сохраняется в системе?


Сообщение отредактировал Noo: 18 March 2020 - 18:14

  • 0

m6012.gif


#9 OFF   sputnikk

sputnikk

    Корифей

  • Активисты
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 9272

Отправлено 18 March 2020 - 18:14


После перезагрузки вредоносное ПО обнаруживается?
нет. Вылечилось за раз

17.03.2020 22.00.37;Обнаруженный объект (системная память) больше не доступен;System Memory;System Memory;MEM:Trojan.Win32.Silence.gen;Троянская программа;03/17/2020 22:00:37


  • 0

Win 7 SP1 x64 MSDN & KAV 20. Кнопочный LG A230.  Samsung GALAXY Tab 2 (10.1") 3G & Android 4.2.2.m3690.gif
Адресовано любителям переставлять Windows: СИФИЛИС ампутацией не лечат. ИМХО.
Конфиг для игр Как переустановить Windows, сохранив настройки и установленные программы
Если хотите видеть в CrystalDiskInfo понятные цифры , то измените настройки: Сервис - Дополнительно - Raw-значения - 10[DEC] (или 10[DEC] - 2byte, если некоторые цифры окажутся несуразно большими). Окно можно растянуть по вертикали


#10 ON   Noo

Noo

    Продвинутый

  • Участники
  • PipPip
  • Cообщений: 127

Отправлено 18 March 2020 - 18:15

 


После перезагрузки вредоносное ПО обнаруживается?
нет. Вылечилось за раз.

 


 

Тогда беспокоиться не о чем.


Сообщение отредактировал Noo: 18 March 2020 - 18:15

  • 1

m6012.gif


#11 OFF   sputnikk

sputnikk

    Корифей

  • Активисты
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 9272

Отправлено 18 March 2020 - 18:55

Ещё написали:

 

1) Включите запись трассировок. Нажмите на иконку агента техподдержки (кнопка «Поддержки») в левом нижнем углу главного окна программы -> «Мониторинг проблем» -> «Рекомендуемые» -> «Включить запись».
2) Воспроизведите проблемную ситуацию/ошибку с детектированием MEM:Trojan.Win32.Silence.gen;
 
Если бы знал как повторить, то не стал бы спрашивать о причинах возникновения угрозы. Боюсь у аналитиков в тп каша в голове из разных запросов

Не использую KMS на хосте. Разве что вылезло с виртуальной 8.1.1 pro vl установленной в VirtualBox 6.0, но тогда это глюк VirtualBox


  • 0

Win 7 SP1 x64 MSDN & KAV 20. Кнопочный LG A230.  Samsung GALAXY Tab 2 (10.1") 3G & Android 4.2.2.m3690.gif
Адресовано любителям переставлять Windows: СИФИЛИС ампутацией не лечат. ИМХО.
Конфиг для игр Как переустановить Windows, сохранив настройки и установленные программы
Если хотите видеть в CrystalDiskInfo понятные цифры , то измените настройки: Сервис - Дополнительно - Raw-значения - 10[DEC] (или 10[DEC] - 2byte, если некоторые цифры окажутся несуразно большими). Окно можно растянуть по вертикали


#12 OFF   Friend

Friend

    Friend

  • Старожилы
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 5263

Отправлено 18 March 2020 - 22:11

sputnikk, они, наверно, не просто так запросили у вас трассировки, а для диагностики? :coffee:
Если не можете воспроизвести, так и пишите: к сожалению, не могу воспроизвести, запрос закрываю и закройте запрос, либо ждите когда проблема возникнет и пришлите им трассировки.
По ответу видно, что они предполагают, а не говорят, что из-за KMS точно идет детект.


  • 0

#13 OFF   sputnikk

sputnikk

    Корифей

  • Активисты
  • PipPipPipPipPipPipPipPipPipPipPip
  • Cообщений: 9272

Отправлено 19 March 2020 - 04:37


так и пишите:
писал. Ответили: Чуть ранее в запросе мы сообщили, почему может возникнуть данная ситуация. Вы можете понаблюдать за ситуацией в течение недели, вдруг она воспроизведется и предоставить нам трассировки для анализа.
  • 0

Win 7 SP1 x64 MSDN & KAV 20. Кнопочный LG A230.  Samsung GALAXY Tab 2 (10.1") 3G & Android 4.2.2.m3690.gif
Адресовано любителям переставлять Windows: СИФИЛИС ампутацией не лечат. ИМХО.
Конфиг для игр Как переустановить Windows, сохранив настройки и установленные программы
Если хотите видеть в CrystalDiskInfo понятные цифры , то измените настройки: Сервис - Дополнительно - Raw-значения - 10[DEC] (или 10[DEC] - 2byte, если некоторые цифры окажутся несуразно большими). Окно можно растянуть по вертикали





Количество пользователей, читающих эту тему: 0

0 пользователей, 0 гостей, 0 анонимных