Перейти к содержанию
Правила раздела

Troyan Generic Kryptik

Medved1337

Автор Medved1337
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

Medved1337

Medved1337

Опубликовано
Опубликовано

Приветствую.

Уважаемая Техподдержка! С недавнего времени наша организация подвергается атаке. На почтовые ящики приходят письма, некоторые пользователи открыли приложенные .doc / .pdf документы и тем самым скачали вредоносные файлы. Далее по всей ЛВС началось распространение. Участились взломы личной почты и социальных сетей. Вирус не только сливает пароли, но и жестко убивает некоторые службы, к примеру Workstation (а это критично). Атаки подвергаются все операционные системы Windows.


Продукт Endpoint обнаруживает не все опасные сигнатуры, некоторые вообще игнорирует.

 

  • C:\Windows\System32 (exe + dll + dat + ini)
  • C:\Windows\SysWOW64 (exe + dll + dat + ini)
  • C:\Windows\temp (tmp)

Во все выше перечисленные директории генерируются файлы с рандомными символами/цифрами с расширениями .exe
Кроме того создаются многочисленные службы с именами генерируемых вредоносов

image.png

 

Строгое предупреждение от модератора Mark D. Pearlstone
Не публикуйте вредоносные и потенциально вредоносные файлы и ссылки на них на форуме.
regist

regist

Опубликовано
Опубликовано

@Medved1337,

1) Здесь помогает не тех. поддержка, но пароль мне скинуть можете :)

2) Для чего вы плодите дубли тем? Вы ещё на оф. форуме несколько тем создали. Там скорее сотрудники ЛК ответят.

3) Если цель просто пролечить систему, то выполняйте Порядок оформления запроса о помощи. Если хотите разобраться с проблемой и чтобы её иследовали, то лучше продолжайте на оф. форуме.

  • Согласен 1
Medved1337

Medved1337

Опубликовано
  • Автор
Опубликовано (изменено)

@Medved1337,

1) Здесь помогает не тех. поддержка, но пароль мне скинуть можете :)

2) Для чего вы плодите дубли тем? Вы ещё на оф. форуме несколько тем создали. Там скорее сотрудники ЛК ответят.

3) Если цель просто пролечить систему, то выполняйте Порядок оформления запроса о помощи. Если хотите разобраться с проблемой и чтобы её иследовали, то лучше продолжайте на оф. форуме.

1) Отправил пароль личным сообщением.

2) С официального форума отправили прямой ссылкой на ваше сообщество, прямо в этот раздел. Попросил модераторов оф. форума удалить топик с их сообщества, надеюсь тут нам помогут.

Изменено пользователем Medved1337
regist

regist

Опубликовано
Опубликовано

1) Ничего не получал.

2) С лечением конечно поможем, а вот добавить сигнатуры на файлы, на которые нет детекта это не в нашей власти. С этим к аналитикам, можно и через тех. поддержку.


но для того чтобы смогли помочь нужны логи, карты таро - не предлагать!

Как собрать логи ссылка выше.

  • Согласен 1
Medved1337

Medved1337

Опубликовано
  • Автор
Опубликовано

1) Ничего не получал.

2) С лечением конечно поможем, а вот добавить сигнатуры на файлы, на которые нет детекта это не в нашей власти. С этим к аналитикам, можно и через тех. поддержку.

но для того чтобы смогли помочь нужны логи, карты таро - не предлагать!

Как собрать логи ссылка выше.

утром обязательно скину с нескольких зараженных объектов.

thyrex

thyrex

Опубликовано
Опубликовано

Только помните: мешать в одной теме логи с разных компьютеров не нужно. Для каждого компьютера отдельная тема.

  • Согласен 1
regist

regist

Опубликовано
Опубликовано

 

 


утром обязательно скину с нескольких зараженных объектов.
зараженные объекты не нужны, нужны логи! Без логов помочь не сможем. И как заметили в предыдущем посте, для каждой заражённой машины создайте отдельную тему.

А карантин уже посмотрел. У вас банковский троянец, так что со здоровой машины срочно меняйте все пароли.

Если интересно описание вашего трояна, то вот http://www.securitylab.ru/news/454620.php

  • Согласен 1
Medved1337

Medved1337

Опубликовано
  • Автор
Опубликовано

Интересно как быть, когда компьютеров в сети более 300 ? :help:

regist

regist

Опубликовано
Опубликовано

@Medved1337, вот именно поэтому и предложил вначале продолжить разбираться на оф. форуме. Но вижу ответ вам https://forum.kaspersky.com/index.php?/topic/376160-troyan-attackspamhack-etc/&tab=comments#comment-2727365

Ещё вариант уже написал выше, написать в https://companyaccount.kaspersky.com/

А также послать им архивы с вирусом, чтобы они добавили детекты. Если лечить будет уже установленный антивирус, а не мы тут вручную, то сами понимаете эффективность будет выше.

Так что советую пока написать туда. Если захотите продолжить тут, мы не откажем, просто повторюсь для каждого компьютера нужно будет завести отдельную тему и выполнять ряд инструкций.

  • Спасибо (+1) 1
  • Согласен 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...