HEUR:Trojan.Win32.Generic

4 февраля

Добрый день, в последние дни наблюдается странная активность на машине, пытались и через KES (другим ПО, вручную) проводить удаление\лечение но каждый день находит подозрительные файлы. Так же иногда находил файлы в оперативной памяти (на скрине не видно, почему-то перестал там отображаться) + так же грузит ЦП в 100 при включенном KES. Смотрел похожие случаи на форме, там вы помогали скриптами людям, отчеты прикрепляю(собирал через AutoLogger), надеюсь правильно собрал., + скрин хранилища (первые два стабильно попадаются на удаление)

CollectionLog-2025.02.04-09.33.zip

4 февраля

p.s Прикрепляю обновленный скрин, на котором видно что еще в System Memory находится

Поправка по ЦП, грузила местная задача из политик, ничего криминального

Изменено 4 февраля пользователем Mapuo__

4 февраля

Добавьте отчет по обнаружениям и сканированию из KES.

+

Добавьте, дополнительно, образ автозапуска в uVS

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

Изменено 4 февраля пользователем safety

4 февраля

Прикрепляю отчет

SRV_2025-02-04_13-51-15_v4.99.8v x64.7z

4 февраля

Отчет по обнаружениям и сканированию из KES добавьте в текстовом виде.

4 февраля

размер не позволяет, ссылкой в лс вам кинуть на dropbox?

Изменено 4 февраля пользователем Mapuo__

4 февраля

Можно в архив добавить без пароля. Текст должен хорошо сжаться.

+

вопрос:

Это что у вас на рабочем столе?

C:\USERS\P24_ADM_SELYUTINKA\DESKTOP\LF7XIHXQ.EXE

судя по скринам, возможно по сети пробивают. Но лучше по логам обнаружений посмотреть.

Изменено 4 февраля пользователем safety

4 февраля

На рабочем столе пару ПО скачал после, именно которую вы спросили это от dr.Web для сканирования системы (ради интереса запускал)

SRV_2025-02-04_13-51-15_v4.99.8v x64.rar

4 февраля

В последнем сообщении что вы скинули? Нужен отчет по обнаружениям и сканированию, который есть в установленном Касперском. (Образ автозапуска уже есть в предыдущих сообщениях)

Вот это что на рабочем столе? Cureit?

Да, похоже что то от Дрвеб

https://www.virustotal.com/gui/file/aebf3c963da10362b19e142fd082f931eee3750783690b4ab3c2af3cdf3866ce/details

дата создания только старая.

Creation Time

2024-03-02 15:01:12 UTC

Изменено 4 февраля пользователем safety

4 февраля

Немного не так прочитал ваш ответ выше. отчет по проверке прикрепляю

проверка.rar

7 часов назад, safety сказал:

В последнем сообщении что вы скинули? Нужен отчет по обнаружениям и сканированию, который есть в установленном Касперском. (Образ автозапуска уже есть в предыдущих сообщениях)

Вот это что на рабочем столе? Cureit?

↓

Да, похоже что то от Дрвеб

https://www.virustotal.com/gui/file/aebf3c963da10362b19e142fd082f931eee3750783690b4ab3c2af3cdf3866ce/details

дата создания только старая.

Creation Time

2024-03-02 15:01:12 UTC

Проблемы начались до того, как я закинул данные файлы на раб. стол. Решения от Веба я пробовал в попытке поиска проблем, так что файлы с раб. стола тут роли не сильно играют

4 февраля

Да, вижу по логам обнаружений.

И они продолжаются. Если ваш ПК в локальной сети, то возможно надо искать с какого устройства вас атакуют.

С учетом того, что это серверная система, то возможно что и из внешней сети атакуют.

Windows Server 2008 R2 Enterprise x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

Имеет смысл проверить, все ли критические патчи установлены в системе.

Цитата

Сегодня, 04.02.2025 9:36:00   pmem:\C:\Windows\System32\lsass.exe   Не обработано   Лечение невозможно   MEM:Trojan.Win64.EquationDrug.gen   Лечение невозможно   Файл   pmem:\C:\Windows\System32   lsass.exe   Не обработано   Троянское приложение   Высокая   Точно    ***\p24_adm_Selyutinka   Активный пользователь
Сегодня, 04.02.2025 9:36:00   pmem:\C:\Windows\System32\lsass.exe   Не обработано   Лечение невозможно   MEM:Trojan.Win64.EquationDrug.gen   Записано в отчет   Файл   pmem:\C:\Windows\System32   lsass.exe   Не обработано   Троянское приложение   Высокая   Точно    ***\p24_adm_Selyutinka   Активный пользователь
Сегодня, 04.02.2025 9:36:01   pmem:\C:\Windows\System32\lsass.exe   Не обработано   Лечение невозможно   MEM:Trojan.Win64.EquationDrug.gen   Лечение невозможно   Файл   pmem:\C:\Windows\System32   lsass.exe   Не обработано   Троянское приложение   Высокая   Точно    ****\p24_adm_Selyutinka   Активный пользователь

Сегодня, 04.02.2025 9:36:03   System Memory   Обнаружено   Обнаружен вредоносный объект   MEM:Rootkit.Win64.EquationDrug.a   Экспертный анализ   Файл       System Memory   Обнаружено   Троянское приложение   Высокая   Точно    ***\p24_adm_Selyutinka   Активный пользователь
Сегодня, 04.02.2025 9:36:04   System Memory   Вылечено   Объект вылечен   MEM:Rootkit.Win64.EquationDrug.a       Файл       System Memory   Вылечено   Троянское приложение   Высокая   Точно    ***\p24_adm_Selyutinka   Активный пользователь

Изменено 4 февраля пользователем safety

4 февраля

Если поделитесь советом как лучше все сделать, то буду благодарен

4 февраля

Проверьте ЛС.

4 февраля

Добавьте так же в архиве отчет обнаружений из фаервола Касперского.

5 февраля

Цитата

проблема вновь повторилась, сетевой экран проблемного ничего не нашел в этот момент

Можно логи сетевого экрана посмотреть? Он ничего и не найдет, так как он может либо блокировать запуск, если это в правилам прописано, либо разрешать.

Есть ли какая то закономерность в обнаружениях?

Например, срабатывание происходит в одно и тоже время, или через одинаковые интервалы времени?

Надо выяснить: прилетает ли это по сети и если по сети, то с какого адреса или с каких адресов. Если есть администраторы в ЛС, запросите у них помощь в данном определении. Совпадают ли по времени события с детектами с тем, что к вам прилетают защищенные паролем архивы?

Wireshark 1.8.6 (64-bit) у вас установлен, но для захвата трафика надо знать в какие интервалы времени все происходит если есть регулярность в событиях с детектами.

Изменено 5 февраля пользователем safety

HEUR:Trojan.Win32.Generic

Рекомендуемые сообщения

Mapuo__

Mapuo__

safety

Mapuo__

safety

Mapuo__

safety

Mapuo__

safety

Mapuo__

safety

Mapuo__

safety

safety

safety

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Обзор

Активность

Магазин

Поддержка

Kaspersky Support Forum