Перейти к содержанию
Правила раздела

HEUR:Trojan.Win32.Generic

Mapuo__

Автор Mapuo__
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

safety

safety

Опубликовано
Опубликовано (изменено)

Судя по этим записям, вам явно кидали пак с эксплойтами

 

Цитата

30.01.2025 15:40:53    C:\Windows\NetworkDistribution\posh-0.dll    Обнаружено    Обнаружен вредоносный объект    HEUR:Trojan.Win32.EquationDrug.gen    Экспертный анализ    Файл    C:\Windows\NetworkDistribution    posh-0.dll    Обнаружено    Троянское приложение    Высокая    Эвристический анализ    ***\p24_adm_renzhinda    Активный пользователь
30.01.2025 15:40:54    C:\Windows\NetworkDistribution\posh-0.dll    Удалено    Объект удален    HEUR:Trojan.Win32.EquationDrug.gen        Файл    C:\Windows\NetworkDistribution    posh-0.dll    Удалено    Троянское приложение    Высокая    Эвристический анализ    ***\p24_adm_renzhinda    Активный пользователь

 

Эксплойты из известного утекшего пакета Shadowbrockers есть в обаружениях:

Цитата

30.01.2025 15:41:12    C:\Windows\NetworkDistribution\exma-1.dll    Обнаружено    Обнаружен вредоносный объект    Trojan.Win32.ShadowBrokers.x    Экспертный анализ    Файл    C:\Windows\NetworkDistribution    exma-1.dll    Обнаружено    Троянское приложение    Высокая    Точно    ***\p24_adm_renzhinda    Активный пользователь
30.01.2025 15:41:14    C:\Windows\NetworkDistribution\exma-1.dll    Удалено    Объект удален    Trojan.Win32.ShadowBrokers.x        Файл    C:\Windows\NetworkDistribution    exma-1.dll    Удалено    Троянское приложение    Высокая    Точно    ***\p24_adm_renzhinda    Активный пользователь
30.01.2025 15:41:13    C:\Windows\NetworkDistribution\exma-1.dll    Создана резервная копия    Создана резервная копия объекта    Trojan.Win32.ShadowBrokers.x        Файл    C:\Windows\NetworkDistribution    exma-1.dll    Создана резервная копия    Троянское приложение    Высокая    Точно    ***\p24_adm_renzhinda    Активный пользователь


 

 

Добавьте новый отчет по обнаружениям, чтобы были видны обнаружения  на текущую дату.

Судя по поиску в отчете "Обнаружен вредоносный объект" обнаружения продолжаются и 02, и 03, и 04 хотя уже не в таких количествах как 30 и 31.

----------------

Судя по ранним темам на нашем форуме обнаружение в папке "C:\Windows\NetworkDistribution" может быть связано с трояном dllhostex.exe

Файл dllhostex.exe, расположенный в папке C:\Windows\System32, принадлежит процессу COM Surrogate. 

Процесс слушает или шлёт данные на открытые порты в сети или по интернету, а также способен мониторить приложения. 

Большинство антивирусных программ распознаёт dllhostex.exe как вирус.

 

В логах обнаружений на вашей системе данного файла нет. Нет его и в образе автозапуска.

 

Т.е. основная версия - это то, что в вашей ЛС есть зараженное устройство/система с этим трояном, которое рассылает эксплойты по открытым портам, и способно проникнуть на другое устройство, где нет актуальной защиты.

Изменено пользователем safety
Mapuo__

Mapuo__

Опубликовано
  • Автор
Опубликовано

Частичным решением было установка дров, если быть точнее kb4012212, для win ser 2008, после пару дней наблюдений активных угроз на проблемных машинах не наблюдалось. Осталась главная проблема найти зараженную машину в ЛС. Если обычной проверкой ПК ничего не находит, то каким образом можно еще найти зараженное устройство ? 

safety

safety

Опубликовано
Опубликовано (изменено)
10.02.2025 в 08:39, Mapuo__ сказал:

kb4012212

Это обновление закрывает самую громкую уязвимость: MS17-010 в протоколе SMB v1 и защищает от атак с помощью эксплойтов.

Цитата

Эксплоит EternalBlue использует уязвимость в реализации протокола Server Message Block v1 (SMB). Злоумышленник, сформировав и передав на удалённый узел особым образом подготовленный пакет, способен получить удалённый доступ к системе и запустить на ней произвольный код

Что вы понимаете под обычной проверкой? Если есть консоль управления для KES: запустите задачу глубокого сканирования на всех узлах, где установлен антивирус. Проинспектируйте в ЛС все узлы на которых не установлен антивирус. Мы не можем проверить на форуме  каждый ПК по нашей методике. Это штатная работа для администраторов по безопасности. (используйте KVRT или Cureit на незащищенных узлах).

 

Пример детектирования dllhostex.exe на VT

VirusTotal - File - 1230e751a02849837372b79f18bc427a7c27df830f7b6f5a23e1d8fbb35d2145

 

Изменено пользователем safety

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • kptsv
      HEUR:Trojan.MSIL.Inject.gen и HEUR:Trojan.Win32.Strab.gen
      Автор kptsv
      Добрый день.
      Kaspersky Security для Windows Server 10.1.2.996 выдает сообщение, что обнаружены троянские программы HEUR:Trojan.MSIL.Inject.gen и HEUR:Trojan.Win32.Strab.gen. Проверка kvrt ничего не нашла. Dr.Web CureIt тоже ничего не нашел.
      Сообщение заносится в журнал каждый час. Как избавиться от напасти?
      CollectionLog-2024.02.29-08.17.zip kaspersky_log.csv.zip
    • Григ
      MeshAgent.exe HEUR:Trojan.Win32.Staser.gen
      Автор Григ
      Сегодня ночью перезагрузились серверы, на каждом появился данный зверь. KVRT их нашел, но не удаляет 
    • vltr
      PDM:Trojan.Win32.Generic
      Автор vltr
      Доброго времени суток. Несколько дней назад после установки игры Симс начала вылезать плашка об обнаружении "PDM:Trojan.Win32.Generic" в определённой папке. Был просканирован компьютер. Нежелательные файлы удалены. В том числе и тот, в котором видел троян. Его касперский сам сразу удалял. Но проблема в том, что после лечения трояна и перезапуска пк плашка снова появляется. Троян сам восстанавливается или программа почему - то до сих пор удалённый файл видит и ругается? Никак не могу понять. Прошу помочь с данной ситуацией 

    • nikolai.ilyin
      Ransom.Win32.Generic
      Автор nikolai.ilyin
      Зашифровали всю сеть 
      virus.7z Addition.txt
    • Sv1gL
      Trojan.Win32.Generic
      Автор Sv1gL
      Здравствуйте.
      скачиваю лаунчер faceit с официального сайта, при попытки открыть, антивирус находит файл Trojan.Win32.Generic.
      что делать? Лаунчер нужен
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов  
×
×
  • Создать...