-
Похожий контент
-
Автор noname543
Всем привет! Вчера на просторах githab искал готовый обфускатор и случайно скачал вирус. После запуска скачанного .sln для visual studio полностью пропал доступ ко всем файлам системы и управления пк, панель пуск не работала, Windows defender выключился. Kaspersky Total Security определил активное заражение только спустя минут 5, после этого он попытался вылечить пк перезапуском. После перезапуска всё заработало, вот только система ведёт себя странно. При перезагрузке системы пк ещё минут 5 продолжает работать, а также вылазят ошибки которые сразу же закрываются. Далее я нашёл проблему и файлы с вирусом, при выборочной проверки Kaspersky не видит вирусов, но через некоторое время определяет их и пытается удалить перезапуском, но это не помогает. Так было уже раз 8 он удаляет .vbs файлы + .bat файлы, но вскоре они опять появляются. Прикрепляю скриншоты со всем тем что смог сам найти. Только вот как от этого всего избавиться я не понимаю. Также внутри b.bat файла был скрипт.
-
Автор vltr
Доброго времени суток. Несколько дней назад после установки игры Симс начала вылезать плашка об обнаружении "PDM:Trojan.Win32.Generic" в определённой папке. Был просканирован компьютер. Нежелательные файлы удалены. В том числе и тот, в котором видел троян. Его касперский сам сразу удалял. Но проблема в том, что после лечения трояна и перезапуска пк плашка снова появляется. Троян сам восстанавливается или программа почему - то до сих пор удалённый файл видит и ругается? Никак не могу понять. Прошу помочь с данной ситуацией
-
-
Автор Mapuo__
Добрый день, в последние дни наблюдается странная активность на машине, пытались и через KES (другим ПО, вручную) проводить удаление\лечение но каждый день находит подозрительные файлы. Так же иногда находил файлы в оперативной памяти (на скрине не видно, почему-то перестал там отображаться) + так же грузит ЦП в 100 при включенном KES. Смотрел похожие случаи на форме, там вы помогали скриптами людям, отчеты прикрепляю(собирал через AutoLogger), надеюсь правильно собрал., + скрин хранилища (первые два стабильно попадаются на удаление)
CollectionLog-2025.02.04-09.33.zip
-
Автор ГГеоргий
pdm:exploit.win32.generic
Здравствуйте
начиная с 1 го августа ловим сработки на нескольких наших группах.
первая группа - физические ПК с KES
вторая группа - виртуальные машины с KSLA
проблема появилась одновременно на всех устройствах
закономерность в сработках отследить трудно
ругается всегда на файл svchost
Описание из события на KES:
Описание результата: Обнаружено
Тип: Троянское приложение
Название: PDM:Exploit.Win32.Generic
Пользователь: NT AUTHORITY\LOCAL SERVICE (Системный пользователь)
Объект: C:\Windows\System32\svchost.exe
Причина: Поведенческий анализ
Дата выпуска баз: 02.08.2024 20:19:00
SHA256: 6FC3BF1FDFD76860BE782554F8D25BD32F108DB934D70F4253F1E5F23522E503
MD5: 7469CC568AD6821FD9D925542730A7D8
описание с KSLA (сначала "обнаружено" затем "запрещено")
Объект: C:\Windows\System32\svchost.exe
Результат: Запрещено: PDM:Exploit.Win32.Generic
Причина: Опасное действие
Пользователь: NT AUTHORITY\СИСТЕМА
откуда снимать трассировки и отчеты не ясно
все что нашли по зависимостям это именно одновременные сработки
на Virus total проверяли, ничего не нашли
KATA тоже показывает что все ок но угрозу это видит
ваш сайт проверки false positive тоже показывает что всё ок с подписью от microsoft
через ката видим
параметры запуска:
C:\\Windows\system32\svchost.exe -k localservice -p -s remoteregistry
файл C:\\Windows\System32\svchost.exe
по флагам похоже на удаленный доступ к реестру
подскажите куда копать?
false positive или нет?
На пк и виртуалках стоит Windows 10
KES 12.5 на физических
KSLA 5.2 на виртуалках
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти