Перейти к содержанию
Правила раздела

HEUR:Trojan.Win32.Generic

Mapuo__

Автор Mapuo__
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по этим записям, вам явно кидали пак с эксплойтами

 

Цитата

30.01.2025 15:40:53    C:\Windows\NetworkDistribution\posh-0.dll    Обнаружено    Обнаружен вредоносный объект    HEUR:Trojan.Win32.EquationDrug.gen    Экспертный анализ    Файл    C:\Windows\NetworkDistribution    posh-0.dll    Обнаружено    Троянское приложение    Высокая    Эвристический анализ    ***\p24_adm_renzhinda    Активный пользователь
30.01.2025 15:40:54    C:\Windows\NetworkDistribution\posh-0.dll    Удалено    Объект удален    HEUR:Trojan.Win32.EquationDrug.gen        Файл    C:\Windows\NetworkDistribution    posh-0.dll    Удалено    Троянское приложение    Высокая    Эвристический анализ    ***\p24_adm_renzhinda    Активный пользователь

 

Эксплойты из известного утекшего пакета Shadowbrockers есть в обаружениях:

Цитата

30.01.2025 15:41:12    C:\Windows\NetworkDistribution\exma-1.dll    Обнаружено    Обнаружен вредоносный объект    Trojan.Win32.ShadowBrokers.x    Экспертный анализ    Файл    C:\Windows\NetworkDistribution    exma-1.dll    Обнаружено    Троянское приложение    Высокая    Точно    ***\p24_adm_renzhinda    Активный пользователь
30.01.2025 15:41:14    C:\Windows\NetworkDistribution\exma-1.dll    Удалено    Объект удален    Trojan.Win32.ShadowBrokers.x        Файл    C:\Windows\NetworkDistribution    exma-1.dll    Удалено    Троянское приложение    Высокая    Точно    ***\p24_adm_renzhinda    Активный пользователь
30.01.2025 15:41:13    C:\Windows\NetworkDistribution\exma-1.dll    Создана резервная копия    Создана резервная копия объекта    Trojan.Win32.ShadowBrokers.x        Файл    C:\Windows\NetworkDistribution    exma-1.dll    Создана резервная копия    Троянское приложение    Высокая    Точно    ***\p24_adm_renzhinda    Активный пользователь


 

 

Добавьте новый отчет по обнаружениям, чтобы были видны обнаружения  на текущую дату.

Судя по поиску в отчете "Обнаружен вредоносный объект" обнаружения продолжаются и 02, и 03, и 04 хотя уже не в таких количествах как 30 и 31.

----------------

Судя по ранним темам на нашем форуме обнаружение в папке "C:\Windows\NetworkDistribution" может быть связано с трояном dllhostex.exe

Файл dllhostex.exe, расположенный в папке C:\Windows\System32, принадлежит процессу COM Surrogate. 

Процесс слушает или шлёт данные на открытые порты в сети или по интернету, а также способен мониторить приложения. 

Большинство антивирусных программ распознаёт dllhostex.exe как вирус.

 

В логах обнаружений на вашей системе данного файла нет. Нет его и в образе автозапуска.

 

Т.е. основная версия - это то, что в вашей ЛС есть зараженное устройство/система с этим трояном, которое рассылает эксплойты по открытым портам, и способно проникнуть на другое устройство, где нет актуальной защиты.

Изменено пользователем safety
Mapuo__

Mapuo__

Опубликовано
  • Автор
Опубликовано

Частичным решением было установка дров, если быть точнее kb4012212, для win ser 2008, после пару дней наблюдений активных угроз на проблемных машинах не наблюдалось. Осталась главная проблема найти зараженную машину в ЛС. Если обычной проверкой ПК ничего не находит, то каким образом можно еще найти зараженное устройство ? 

safety

safety

Опубликовано
Опубликовано (изменено)
10.02.2025 в 08:39, Mapuo__ сказал:

kb4012212

Это обновление закрывает самую громкую уязвимость: MS17-010 в протоколе SMB v1 и защищает от атак с помощью эксплойтов.

Цитата

Эксплоит EternalBlue использует уязвимость в реализации протокола Server Message Block v1 (SMB). Злоумышленник, сформировав и передав на удалённый узел особым образом подготовленный пакет, способен получить удалённый доступ к системе и запустить на ней произвольный код

Что вы понимаете под обычной проверкой? Если есть консоль управления для KES: запустите задачу глубокого сканирования на всех узлах, где установлен антивирус. Проинспектируйте в ЛС все узлы на которых не установлен антивирус. Мы не можем проверить на форуме  каждый ПК по нашей методике. Это штатная работа для администраторов по безопасности. (используйте KVRT или Cureit на незащищенных узлах).

 

Пример детектирования dllhostex.exe на VT

VirusTotal - File - 1230e751a02849837372b79f18bc427a7c27df830f7b6f5a23e1d8fbb35d2145

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Prosnylia
      Не получается удалить HEUR:Trojan.Win32.Generic
      Автор Prosnylia
      Здравствуйте! Сегодня появилась такая проблема. Компьютер начал самостоятельно открывать и закрывать вкладки, папки, настройки, в общем все, что можно. Проверка антивирусами Malwarebytes и  Kasperskу показала что есть вирусы и она обезврежены. Но после этого компьютер периодически снова сам открывает и закрывает все что можно, пишет какие буквы/цифры в настройках компьютера и в поисковых строках браузеров Гугхром и Майкрософт эксплорер. Периодически Касперский выдает уведомление о том, что приостановлена загрузка HEUR:Trojan.Win32.Generic. Но новое сканирование Malwarebytes и  Kasperskу и доктор веб говорит, что вирусов не обнаружено. Так же удалились все ярлыки с рабочего стола.
       
      CollectionLog-2022.10.16-23.32.zip
    • norvele
      [РЕШЕНО] tiworker запускается и закрывает диспетчер задач
      Автор norvele
      Заметил процесс tiworker, который запускается и ест 30% CPU. При открытом диспетчере его на мгновение видно, после чего он закрывает диспетчер задач. А если tiworker уже запущен (можно отследить загрузкой cpu) и при этом открыть диспетчер - tiworker исчезает.
      CollectionLog-2020.09.21-21.34.zip
    • Студент2017
      Отмена действий вредоносной программы - уничтожила мою курсовую...
      Автор Студент2017
      Крик души просто...   Сижу пишу программу на Делфи для института. Меняю код, сохраняю, компилирую, запускаю - и так по кругу несколько дней. И внезапно оно перестало компилироваться, зависло, и вылезает Касперский, мол вредоносная программа. Подумал-подумал, добавил свою программу в исключения Касперского. А через десять минут... "Выполнена отмена действий вредоносной программы" и "Восстановлен файл". И такое на несколько десятков юнитов и форм!! Он откатил всё то что я писал несколько ночей!! Как вот блин вернуть обратно?! Всё перекопал, нету! Почему он не спрашивал откатывать или нет? Да даже не об этом - файлы были открыты и менялись даже не в той программе что была под подозрением! И почему вообще произошёл откат через десять минут после того как я добавил программу в исключения?!
      Программа считает формулу и рисует на окошке графики, какие ещё нафик трояны, какие "HEUR:Trojan.Win32.Generic", а?!  
      Капец, мне кранты теперь...

      Ну почему в карантине нету тех якобы вредоносно изменённых файлов, м..? 

      А, не... Формы он как раз не откатывал, в результате чего проект теперь даже в той очень старой версии не компилируется... :'-(
×
×
  • Создать...