Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

HEUR:Trojan.Win32.Generic

Mapuo__

Автор Mapuo__
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по этим записям, вам явно кидали пак с эксплойтами

 

Цитата

30.01.2025 15:40:53    C:\Windows\NetworkDistribution\posh-0.dll    Обнаружено    Обнаружен вредоносный объект    HEUR:Trojan.Win32.EquationDrug.gen    Экспертный анализ    Файл    C:\Windows\NetworkDistribution    posh-0.dll    Обнаружено    Троянское приложение    Высокая    Эвристический анализ    ***\p24_adm_renzhinda    Активный пользователь
30.01.2025 15:40:54    C:\Windows\NetworkDistribution\posh-0.dll    Удалено    Объект удален    HEUR:Trojan.Win32.EquationDrug.gen        Файл    C:\Windows\NetworkDistribution    posh-0.dll    Удалено    Троянское приложение    Высокая    Эвристический анализ    ***\p24_adm_renzhinda    Активный пользователь

 

Эксплойты из известного утекшего пакета Shadowbrockers есть в обаружениях:

Цитата

30.01.2025 15:41:12    C:\Windows\NetworkDistribution\exma-1.dll    Обнаружено    Обнаружен вредоносный объект    Trojan.Win32.ShadowBrokers.x    Экспертный анализ    Файл    C:\Windows\NetworkDistribution    exma-1.dll    Обнаружено    Троянское приложение    Высокая    Точно    ***\p24_adm_renzhinda    Активный пользователь
30.01.2025 15:41:14    C:\Windows\NetworkDistribution\exma-1.dll    Удалено    Объект удален    Trojan.Win32.ShadowBrokers.x        Файл    C:\Windows\NetworkDistribution    exma-1.dll    Удалено    Троянское приложение    Высокая    Точно    ***\p24_adm_renzhinda    Активный пользователь
30.01.2025 15:41:13    C:\Windows\NetworkDistribution\exma-1.dll    Создана резервная копия    Создана резервная копия объекта    Trojan.Win32.ShadowBrokers.x        Файл    C:\Windows\NetworkDistribution    exma-1.dll    Создана резервная копия    Троянское приложение    Высокая    Точно    ***\p24_adm_renzhinda    Активный пользователь


 

 

Добавьте новый отчет по обнаружениям, чтобы были видны обнаружения  на текущую дату.

Судя по поиску в отчете "Обнаружен вредоносный объект" обнаружения продолжаются и 02, и 03, и 04 хотя уже не в таких количествах как 30 и 31.

----------------

Судя по ранним темам на нашем форуме обнаружение в папке "C:\Windows\NetworkDistribution" может быть связано с трояном dllhostex.exe

Файл dllhostex.exe, расположенный в папке C:\Windows\System32, принадлежит процессу COM Surrogate. 

Процесс слушает или шлёт данные на открытые порты в сети или по интернету, а также способен мониторить приложения. 

Большинство антивирусных программ распознаёт dllhostex.exe как вирус.

 

В логах обнаружений на вашей системе данного файла нет. Нет его и в образе автозапуска.

 

Т.е. основная версия - это то, что в вашей ЛС есть зараженное устройство/система с этим трояном, которое рассылает эксплойты по открытым портам, и способно проникнуть на другое устройство, где нет актуальной защиты.

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты
Mapuo__

Mapuo__

Опубликовано
  • Автор
Опубликовано

Частичным решением было установка дров, если быть точнее kb4012212, для win ser 2008, после пару дней наблюдений активных угроз на проблемных машинах не наблюдалось. Осталась главная проблема найти зараженную машину в ЛС. Если обычной проверкой ПК ничего не находит, то каким образом можно еще найти зараженное устройство ? 

Ссылка на комментарий
Поделиться на другие сайты
safety

safety

Опубликовано
Опубликовано (изменено)
10.02.2025 в 08:39, Mapuo__ сказал:

kb4012212

Это обновление закрывает самую громкую уязвимость: MS17-010 в протоколе SMB v1 и защищает от атак с помощью эксплойтов.

Цитата

Эксплоит EternalBlue использует уязвимость в реализации протокола Server Message Block v1 (SMB). Злоумышленник, сформировав и передав на удалённый узел особым образом подготовленный пакет, способен получить удалённый доступ к системе и запустить на ней произвольный код

Что вы понимаете под обычной проверкой? Если есть консоль управления для KES: запустите задачу глубокого сканирования на всех узлах, где установлен антивирус. Проинспектируйте в ЛС все узлы на которых не установлен антивирус. Мы не можем проверить на форуме  каждый ПК по нашей методике. Это штатная работа для администраторов по безопасности. (используйте KVRT или Cureit на незащищенных узлах).

 

Пример детектирования dllhostex.exe на VT

VirusTotal - File - 1230e751a02849837372b79f18bc427a7c27df830f7b6f5a23e1d8fbb35d2145

 

Изменено пользователем safety
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • vltr
      PDM:Trojan.Win32.Generic
      Автор vltr
      Доброго времени суток. Несколько дней назад после установки игры Симс начала вылезать плашка об обнаружении "PDM:Trojan.Win32.Generic" в определённой папке. Был просканирован компьютер. Нежелательные файлы удалены. В том числе и тот, в котором видел троян. Его касперский сам сразу удалял. Но проблема в том, что после лечения трояна и перезапуска пк плашка снова появляется. Троян сам восстанавливается или программа почему - то до сих пор удалённый файл видит и ругается? Никак не могу понять. Прошу помочь с данной ситуацией 

    • GlibZabiv
      Восстанавливающийся PDM:Trojan.Win32.Generic
      Автор GlibZabiv
      При фоновой проверке Kaspersky Internet Security нашел PDM:Trojan.Win32.Generic, после лечения и следующего включения компьютера он восстанавливается. Помогите, пожалуйста, его удалить.
      CollectionLog-2025.07.23-12.02.zip
    • AleksandrNeiman
      [РЕШЕНО] PDM:Trojan.WiPDM:Trojan.Win32.Generic востанавливается после лечения и перезагрузкиn32.Generic востанавливается после лечения и перезагрузки
      Автор AleksandrNeiman
      Windows 11 PRO 64
    • Skorpionio
      [РЕШЕНО] PDM:Trojan.Win32.Generic востанавливается после лечения и перезагрузки
      Автор Skorpionio
      CollectionLog-2025.07.28-14.18.zipХотел скачать fallout 4, вместе с ним скачал вирус. Начал лечение с перезагрузкой, после включения касперский начал жаловаться на файл, который расположен по этому пути в c:\users\иван\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn. После повторной перезагрузки проблема повторяется, такой же путь и файл. Запускал в безопасном режиме и проводил полную проверку, касперский ничего не нашел, также этот файл в папке temp я тоже не находил. В мониторинге активности подобные логи:

      Событие: Обнаружен вредоносный объект
      Программа: setup
      Пользователь: DESKTOP-SFFOTKN\Иван
      Тип пользователя: Активный пользователь
      Компонент: Мониторинг активности
      Описание результата: Обнаружено
      Тип: Троянская программа
      Название: PDM:Trojan.Win32.Generic
      Степень угрозы: Высокая
      Тип объекта: Процесс
      Путь к объекту: c:\users\иван\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn
      Имя объекта: setup.exe
      Причина: Базы
      Дата выпуска баз: Сегодня, 28.07.2025 4:49:00

      Событие: Процесс завершен
      Программа: setup
      Пользователь: DESKTOP-SFFOTKN\Иван
      Тип пользователя: Активный пользователь
      Компонент: Мониторинг активности
      Описание результата: Завершен
      Тип: Троянская программа
      Название: PDM:Trojan.Win32.Generic
      Степень угрозы: Высокая
      Тип объекта: Процесс
      Путь к объекту: C:\Users\Иван\AppData\Local\Temp\2zvUszGBODCz5KZzRQ7mSDo5Orn
      Имя объекта: setup.exe

      Событие: Объект удален
      Программа: setup
      Пользователь: DESKTOP-SFFOTKN\Иван
      Тип пользователя: Активный пользователь
      Компонент: Мониторинг активности
      Описание результата: Удалено
      Тип: Троянская программа
      Название: PDM:Trojan.Win32.Generic
      Степень угрозы: Высокая
      Тип объекта: Процесс
      Путь к объекту: c:\users\иван\appdata\local\temp\2zvuszgbodcz5kzzrq7msdo5orn
      Имя объекта: setup.exe
    • Ян Том
      [РЕШЕНО] HEUR:Trojan.Multi.Runner.t HEUR:Trojan.Win32.Miner.gen
      Автор Ян Том
      Добрый день!
      Компьютер словил HEUR:Trojan.Win32.Miner.gen HEUR:Trojan.Multi.Runner.t. 
      Прогнал CureIt, и KVR, а также AutoLogger.
       
      Спасибо!
      CollectionLog-2025.04.09-21.33.zip
×
×
  • Создать...