Перейти к содержанию
Правила раздела

HEUR:Trojan.Win32.Generic

Mapuo__

Автор Mapuo__
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Mapuo__

Mapuo__

Опубликовано
Опубликовано

Добрый день, в последние дни наблюдается странная активность на машине, пытались и через KES (другим ПО, вручную) проводить удаление\лечение но каждый день находит подозрительные файлы. Так же иногда находил файлы в оперативной памяти (на скрине не видно, почему-то перестал там отображаться) + так же грузит ЦП в 100 при включенном KES. Смотрел похожие случаи на форме, там вы помогали скриптами людям, отчеты прикрепляю(собирал через AutoLogger), надеюсь правильно собрал., + скрин хранилища (первые два стабильно попадаются на удаление)

KES1.jpg

CollectionLog-2025.02.04-09.33.zip

Mapuo__

Mapuo__

Опубликовано
  • Автор
Опубликовано (изменено)

p.s Прикрепляю обновленный скрин, на котором видно что еще в System Memory находитсяimage.thumb.jpeg.8fe8be6dc21e94b0263424f2aada0a82.jpeg  

 

Поправка по ЦП, грузила местная задача из политик, ничего криминального 

Изменено пользователем Mapuo__
safety

safety

Опубликовано
Опубликовано (изменено)

Добавьте отчет по обнаружениям и сканированию из KES.

 

+

Добавьте, дополнительно, образ автозапуска в uVS

 

1. Скачать архив программы можно отсюда:

2. Распакуйте данный архив с программой в отдельный каталог и запустите файл Start.exe
(для Vista, W7, W8, W10, W11 запускаем с правами администратора)
3. В стартовом окне программы - нажмите "запустить под текущим пользователем"
(если текущий пользователь с правами администратора).

4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время.txt) автоматически добавится в архив 7z или rar.
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме. Ждем ответ.

 

Изменено пользователем safety
  • Спасибо (+1) 1
safety

safety

Опубликовано
Опубликовано

Отчет по обнаружениям и сканированию из KES добавьте в текстовом виде.

Mapuo__

Mapuo__

Опубликовано
  • Автор
Опубликовано (изменено)

размер не позволяет, ссылкой в лс вам кинуть на dropbox?

Изменено пользователем Mapuo__
safety

safety

Опубликовано
Опубликовано (изменено)

Можно в архив добавить без пароля. Текст должен хорошо сжаться.

+

вопрос:

Это что у вас на рабочем столе?

C:\USERS\P24_ADM_SELYUTINKA\DESKTOP\LF7XIHXQ.EXE

 

судя по скринам, возможно по сети пробивают. Но лучше по логам обнаружений посмотреть.

Изменено пользователем safety
safety

safety

Опубликовано
Опубликовано (изменено)

В последнем сообщении что вы скинули? Нужен отчет по обнаружениям и сканированию, который есть в установленном Касперском. (Образ автозапуска уже есть в предыдущих сообщениях)

 

Вот это что на рабочем столе? Cureit?

image.png

 

Да, похоже что то от Дрвеб

https://www.virustotal.com/gui/file/aebf3c963da10362b19e142fd082f931eee3750783690b4ab3c2af3cdf3866ce/details

дата создания только старая.

Creation Time
2024-03-02 15:01:12 UTC
Изменено пользователем safety
Mapuo__

Mapuo__

Опубликовано
  • Автор
Опубликовано

Немного не так прочитал ваш ответ выше. отчет по проверке прикрепляю  

проверка.rar

 

7 часов назад, safety сказал:

В последнем сообщении что вы скинули? Нужен отчет по обнаружениям и сканированию, который есть в установленном Касперском. (Образ автозапуска уже есть в предыдущих сообщениях)

 

Вот это что на рабочем столе? Cureit?

image.png

 

Да, похоже что то от Дрвеб

https://www.virustotal.com/gui/file/aebf3c963da10362b19e142fd082f931eee3750783690b4ab3c2af3cdf3866ce/details

дата создания только старая.

Creation Time

 

Проблемы начались до того, как я закинул данные файлы на раб. стол. Решения от Веба я пробовал в попытке поиска проблем, так что файлы с раб. стола тут роли не сильно играют 

safety

safety

Опубликовано
Опубликовано (изменено)

Да, вижу по логам обнаружений.

 

И они продолжаются. Если ваш ПК в локальной сети, то возможно надо искать с какого устройства вас атакуют.

 

С учетом того, что это серверная система, то возможно что и из внешней сети атакуют.

Windows Server 2008 R2 Enterprise x64 (NT v6.1 SP1) build 7601 Service Pack 1 [C:\WINDOWS]

Имеет смысл проверить, все ли критические патчи установлены в системе.

 

Цитата

Сегодня, 04.02.2025 9:36:00    pmem:\C:\Windows\System32\lsass.exe    Не обработано    Лечение невозможно    MEM:Trojan.Win64.EquationDrug.gen    Лечение невозможно    Файл    pmem:\C:\Windows\System32    lsass.exe    Не обработано    Троянское приложение    Высокая    Точно    ***\p24_adm_Selyutinka    Активный пользователь
Сегодня, 04.02.2025 9:36:00    pmem:\C:\Windows\System32\lsass.exe    Не обработано    Лечение невозможно    MEM:Trojan.Win64.EquationDrug.gen    Записано в отчет    Файл    pmem:\C:\Windows\System32    lsass.exe    Не обработано    Троянское приложение    Высокая    Точно    ***\p24_adm_Selyutinka    Активный пользователь
Сегодня, 04.02.2025 9:36:01    pmem:\C:\Windows\System32\lsass.exe    Не обработано    Лечение невозможно    MEM:Trojan.Win64.EquationDrug.gen    Лечение невозможно    Файл    pmem:\C:\Windows\System32    lsass.exe    Не обработано    Троянское приложение    Высокая    Точно    ****\p24_adm_Selyutinka    Активный пользователь

Сегодня, 04.02.2025 9:36:03    System Memory    Обнаружено    Обнаружен вредоносный объект    MEM:Rootkit.Win64.EquationDrug.a    Экспертный анализ    Файл        System Memory    Обнаружено    Троянское приложение    Высокая    Точно    ***\p24_adm_Selyutinka    Активный пользователь
Сегодня, 04.02.2025 9:36:04    System Memory    Вылечено    Объект вылечен    MEM:Rootkit.Win64.EquationDrug.a        Файл        System Memory    Вылечено    Троянское приложение    Высокая    Точно    ***\p24_adm_Selyutinka    Активный пользователь

 

 

Изменено пользователем safety
Mapuo__

Mapuo__

Опубликовано
  • Автор
Опубликовано

Если поделитесь советом как лучше все сделать, то буду благодарен 

safety

safety

Опубликовано
Опубликовано

Добавьте так же в архиве отчет обнаружений из фаервола Касперского.

safety

safety

Опубликовано
Опубликовано (изменено)
Цитата

проблема вновь повторилась, сетевой экран проблемного ничего не нашел в этот момент 

Можно логи сетевого экрана посмотреть? Он ничего и не найдет, так как он может либо блокировать запуск, если это в правилам прописано, либо разрешать.

Есть ли какая то закономерность в обнаружениях?

Например, срабатывание происходит в одно и тоже время, или через одинаковые интервалы времени?

Надо выяснить: прилетает ли это по сети и если по сети, то с какого адреса или с каких адресов. Если есть администраторы в ЛС, запросите у них помощь в данном определении. Совпадают ли по времени события с детектами с тем, что к вам прилетают защищенные паролем архивы?

Wireshark 1.8.6 (64-bit) у вас установлен, но для захвата трафика надо знать в какие интервалы времени все происходит если есть регулярность в событиях с детектами.

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Prosnylia
      Не получается удалить HEUR:Trojan.Win32.Generic
      Автор Prosnylia
      Здравствуйте! Сегодня появилась такая проблема. Компьютер начал самостоятельно открывать и закрывать вкладки, папки, настройки, в общем все, что можно. Проверка антивирусами Malwarebytes и  Kasperskу показала что есть вирусы и она обезврежены. Но после этого компьютер периодически снова сам открывает и закрывает все что можно, пишет какие буквы/цифры в настройках компьютера и в поисковых строках браузеров Гугхром и Майкрософт эксплорер. Периодически Касперский выдает уведомление о том, что приостановлена загрузка HEUR:Trojan.Win32.Generic. Но новое сканирование Malwarebytes и  Kasperskу и доктор веб говорит, что вирусов не обнаружено. Так же удалились все ярлыки с рабочего стола.
       
      CollectionLog-2022.10.16-23.32.zip
    • norvele
      [РЕШЕНО] tiworker запускается и закрывает диспетчер задач
      Автор norvele
      Заметил процесс tiworker, который запускается и ест 30% CPU. При открытом диспетчере его на мгновение видно, после чего он закрывает диспетчер задач. А если tiworker уже запущен (можно отследить загрузкой cpu) и при этом открыть диспетчер - tiworker исчезает.
      CollectionLog-2020.09.21-21.34.zip
    • Студент2017
      Отмена действий вредоносной программы - уничтожила мою курсовую...
      Автор Студент2017
      Крик души просто...   Сижу пишу программу на Делфи для института. Меняю код, сохраняю, компилирую, запускаю - и так по кругу несколько дней. И внезапно оно перестало компилироваться, зависло, и вылезает Касперский, мол вредоносная программа. Подумал-подумал, добавил свою программу в исключения Касперского. А через десять минут... "Выполнена отмена действий вредоносной программы" и "Восстановлен файл". И такое на несколько десятков юнитов и форм!! Он откатил всё то что я писал несколько ночей!! Как вот блин вернуть обратно?! Всё перекопал, нету! Почему он не спрашивал откатывать или нет? Да даже не об этом - файлы были открыты и менялись даже не в той программе что была под подозрением! И почему вообще произошёл откат через десять минут после того как я добавил программу в исключения?!
      Программа считает формулу и рисует на окошке графики, какие ещё нафик трояны, какие "HEUR:Trojan.Win32.Generic", а?!  
      Капец, мне кранты теперь...

      Ну почему в карантине нету тех якобы вредоносно изменённых файлов, м..? 

      А, не... Формы он как раз не откатывал, в результате чего проект теперь даже в той очень старой версии не компилируется... :'-(
×
×
  • Создать...