HEUR:Trojan.Win32.Generic

[Mapuo__]

Добрый день, в последние дни наблюдается странная активность на машине, пытались и через KES (другим ПО, вручную) проводить удаление\лечение но каждый день находит подозрительные файлы. Так же иногда находил файлы в оперативной памяти (на скрине не видно, почему-то перестал там отображаться) + так же грузит ЦП в 100 при включенном KES. Смотрел похожие случаи на форме, там вы помогали скриптами людям, отчеты прикрепляю(собирал через AutoLogger), надеюсь правильно собрал., + скрин хранилища (первые два стабильно попадаются на удаление)

CollectionLog-2025.02.04-09.33.zip

[Mapuo__]

p.s Прикрепляю обновленный скрин, на котором видно что еще в System Memory находится  

 

Поправка по ЦП, грузила местная задача из политик, ничего криминального 

Изменено вчера в 02:45 пользователем Mapuo__

[safety]

Добавьте отчет по обнаружениям и сканированию из KES.

 

+

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Изменено вчера в 04:46 пользователем safety

[Mapuo__]

Прикрепляю отчет 

SRV_2025-02-04_13-51-15_v4.99.8v x64.7z

[safety]

Отчет по обнаружениям и сканированию из KES добавьте в текстовом виде.

[Mapuo__]

размер не позволяет, ссылкой в лс вам кинуть на dropbox?

Изменено вчера в 07:08 пользователем Mapuo__

[safety]

Можно в архив добавить без пароля. Текст должен хорошо сжаться.

+

вопрос:

Это что у вас на рабочем столе?

C:\USERS\P24_ADM_SELYUTINKA\DESKTOP\LF7XIHXQ.EXE

 

судя по скринам, возможно по сети пробивают. Но лучше по логам обнаружений посмотреть.

Изменено вчера в 07:11 пользователем safety

[Mapuo__]

На рабочем столе пару ПО скачал после, именно которую вы спросили это от dr.Web для сканирования системы (ради интереса запускал)

SRV_2025-02-04_13-51-15_v4.99.8v x64.rar

[safety]

В последнем сообщении что вы скинули? Нужен отчет по обнаружениям и сканированию, который есть в установленном Касперском. (Образ автозапуска уже есть в предыдущих сообщениях)

 

Вот это что на рабочем столе? Cureit?

 

Да, похоже что то от Дрвеб

https://www.virustotal.com/gui/file/aebf3c963da10362b19e142fd082f931eee3750783690b4ab3c2af3cdf3866ce/details

дата создания только старая.

Creation Time

2024-03-02 15:01:12 UTC

Изменено вчера в 07:21 пользователем safety

[Mapuo__]

Немного не так прочитал ваш ответ выше. отчет по проверке прикрепляю  

проверка.rar

 

7 часов назад, safety сказал:

В последнем сообщении что вы скинули? Нужен отчет по обнаружениям и сканированию, который есть в установленном Касперском. (Образ автозапуска уже есть в предыдущих сообщениях)

 

Вот это что на рабочем столе? Cureit?

↓

 

Да, похоже что то от Дрвеб

https://www.virustotal.com/gui/file/aebf3c963da10362b19e142fd082f931eee3750783690b4ab3c2af3cdf3866ce/details

дата создания только старая.

Creation Time

2024-03-02 15:01:12 UTC

 

Проблемы начались до того, как я закинул данные файлы на раб. стол. Решения от Веба я пробовал в попытке поиска проблем, так что файлы с раб. стола тут роли не сильно играют 

[safety]

Да, вижу по логам обнаружений.

 

И они продолжаются. Если ваш ПК в локальной сети, то возможно надо искать с какого устройства вас атакуют.

 

С учетом того, что это серверная система, то возможно что и из внешней сети атакуют.

Windows Server 2008 R2 Enterprise x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

Имеет смысл проверить, все ли критические патчи установлены в системе.

 

Цитата

Сегодня, 04.02.2025 9:36:00    pmem:\C:\Windows\System32\lsass.exe    Не обработано    Лечение невозможно    MEM:Trojan.Win64.EquationDrug.gen    Лечение невозможно    Файл    pmem:\C:\Windows\System32    lsass.exe    Не обработано    Троянское приложение    Высокая    Точно    ***\p24_adm_Selyutinka    Активный пользователь
Сегодня, 04.02.2025 9:36:00    pmem:\C:\Windows\System32\lsass.exe    Не обработано    Лечение невозможно    MEM:Trojan.Win64.EquationDrug.gen    Записано в отчет    Файл    pmem:\C:\Windows\System32    lsass.exe    Не обработано    Троянское приложение    Высокая    Точно    ***\p24_adm_Selyutinka    Активный пользователь
Сегодня, 04.02.2025 9:36:01    pmem:\C:\Windows\System32\lsass.exe    Не обработано    Лечение невозможно    MEM:Trojan.Win64.EquationDrug.gen    Лечение невозможно    Файл    pmem:\C:\Windows\System32    lsass.exe    Не обработано    Троянское приложение    Высокая    Точно    ****\p24_adm_Selyutinka    Активный пользователь

Сегодня, 04.02.2025 9:36:03    System Memory    Обнаружено    Обнаружен вредоносный объект    MEM:Rootkit.Win64.EquationDrug.a    Экспертный анализ    Файл        System Memory    Обнаружено    Троянское приложение    Высокая    Точно    ***\p24_adm_Selyutinka    Активный пользователь
Сегодня, 04.02.2025 9:36:04    System Memory    Вылечено    Объект вылечен    MEM:Rootkit.Win64.EquationDrug.a        Файл        System Memory    Вылечено    Троянское приложение    Высокая    Точно    ***\p24_adm_Selyutinka    Активный пользователь

 

 

Изменено вчера в 08:01 пользователем safety

[Mapuo__]

Если поделитесь советом как лучше все сделать, то буду благодарен 

[safety]

Проверьте ЛС.

[safety]

Добавьте так же в архиве отчет обнаружений из фаервола Касперского.

[safety]

Цитата

проблема вновь повторилась, сетевой экран проблемного ничего не нашел в этот момент 

Можно логи сетевого экрана посмотреть? Он ничего и не найдет, так как он может либо блокировать запуск, если это в правилам прописано, либо разрешать.

Есть ли какая то закономерность в обнаружениях?

Например, срабатывание происходит в одно и тоже время, или через одинаковые интервалы времени?

Надо выяснить: прилетает ли это по сети и если по сети, то с какого адреса или с каких адресов. Если есть администраторы в ЛС, запросите у них помощь в данном определении. Совпадают ли по времени события с детектами с тем, что к вам прилетают защищенные паролем архивы?

Wireshark 1.8.6 (64-bit) у вас установлен, но для захвата трафика надо знать в какие интервалы времени все происходит если есть регулярность в событиях с детектами.

Изменено 8 часов назад пользователем safety