Перейти к содержанию
Правила раздела

HEUR:Trojan.Win32.Generic

mcluch

От mcluch
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

mcluch Новичок

mcluch

Опубликовано
Опубликовано (изменено)

Доброго дня! Сегодня ночью несколько компьютеров с kaspersky endpoint security 10 10.3.3.275 , были подвержены атаке. Касперский обнаружил Обнаружено: HEUR:Trojan.Win32.Generic
в файле C:\Windows\winupdate64.log
При этом удалилась библиотека sens.dll в каталоге C:\Windows\System32.

 

Обнаружили отсутствие sens.dll изза того что все подключения впн писали ошибку

Ошибка 711 не удается загрузить службу диспетчера подключений удаленного доступа.

А далее при запуске этой службы вылетала ошибка Ошибка 126 не найден указанный модуль

 

 

С подключениями сейчас нормально, но вот попасть ни на один фтп невозможно, что локальный что внешний. Что с проводника, что с браузера. Ошибка что просто не может получить доступ, но доступ точно есть

Что это за вирус такой, где он сидит зараза?

CollectionLog-2019.11.26-18.40.zip

Изменено пользователем mcluch
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано (изменено)

IPSec - политики сами настраивали?

O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 21 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block

Эти задания ваши?

O22 - Task: Centr - C:\Windows\system32\rasdial.exe Centr gelengik rfv19qaz
O22 - Task: centr2 - C:\Windows\system32\rasdial.exe Centr2 gelengik rfv19qaz
O22 - Task: kill - D:\1c.bat
O22 - Task: obmen - D:\lombard82\ScriptForFilial.bat

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 
 
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Изменено пользователем regist
Ссылка на комментарий
Поделиться на другие сайты
mcluch Новичок

mcluch

Опубликовано
  • Автор
Опубликовано (изменено)

IPSec - политики сами настраивали?

O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 21 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block

Эти задания ваши?

O22 - Task: Centr - C:\Windows\system32\rasdial.exe Centr gelengik rfv19qaz
O22 - Task: centr2 - C:\Windows\system32\rasdial.exe Centr2 gelengik rfv19qaz
O22 - Task: kill - D:\1c.bat
O22 - Task: obmen - D:\lombard82\ScriptForFilial.bat

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

 

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Политики не нашы! Сняли, и заработало пока, вроде, все

 

Задания наши

 

Файл загрузили

https://virusinfo.info/showthread.php?t=224034

 

https://virusinfo.info/virusdetector/report.php?md5=D4CAD4C5562AA3F1B0D28A97DFF1F757

Но все равно откуда то появляется гадость. Снова обнаружен HEUR:Trojan.Win32.Generic

в файле C:\Windows\winupdate64.log

Полная проверка ничего не находит более

ClearLNK-2019.11.27_07.39.54.log

Изменено пользователем mcluch
Ссылка на комментарий
Поделиться на другие сайты
regist Корифей

regist

Опубликовано
Опубликовано

 

 


Но все равно откуда то появляется гадость. Снова обнаружен HEUR:Trojan.Win32.Generic в файле C:\Windows\winupdate64.log
зЗаархивируйте в zip архив с паролем virus, загрузите на любой файлообменник без капчи и пришлите ссылку на скачивание мне в ЛС,

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .



Подробнее читайте в руководстве Как подготовить лог UVS.
 

 

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.
 

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • failkey
      MALWARE.URL
      От failkey
      Не знаю как удалить Трояны. Остаются даже после восстановления винды (именно откат на несколько дней) . Касперский тоже не справляется
    • ГГеоргий
      pdm:exploit.win32.generic
      От ГГеоргий
      pdm:exploit.win32.generic
      Здравствуйте
      начиная с 1 го августа ловим сработки на нескольких наших группах.
      первая группа - физические ПК с KES
      вторая группа - виртуальные машины с KSLA
      проблема появилась одновременно на всех устройствах

      закономерность в сработках отследить трудно
      ругается всегда на файл svchost
      Описание из события на KES:
      Описание результата: Обнаружено
      Тип: Троянское приложение
      Название: PDM:Exploit.Win32.Generic
      Пользователь: NT AUTHORITY\LOCAL SERVICE (Системный пользователь)
      Объект: C:\Windows\System32\svchost.exe
      Причина: Поведенческий анализ
      Дата выпуска баз: 02.08.2024 20:19:00
      SHA256: 6FC3BF1FDFD76860BE782554F8D25BD32F108DB934D70F4253F1E5F23522E503
      MD5: 7469CC568AD6821FD9D925542730A7D8

      описание с KSLA (сначала "обнаружено" затем "запрещено")
      Объект: C:\Windows\System32\svchost.exe
      Результат: Запрещено: PDM:Exploit.Win32.Generic
      Причина: Опасное действие
      Пользователь: NT AUTHORITY\СИСТЕМА

      откуда снимать трассировки и отчеты не ясно
      все что нашли по зависимостям это именно одновременные сработки
      на Virus total проверяли, ничего не нашли
      KATA тоже показывает что все ок но угрозу это видит
      ваш сайт проверки false positive тоже показывает что всё ок с подписью от microsoft

      через ката видим
      параметры запуска:
      C:\\Windows\system32\svchost.exe -k localservice -p -s remoteregistry
      файл C:\\Windows\System32\svchost.exe

      по флагам похоже на удаленный доступ к реестру
      подскажите куда копать?
      false positive или нет?
      На пк и виртуалках стоит Windows 10
      KES 12.5 на физических
      KSLA 5.2 на виртуалках
    • Zafod
      HEUR:Trojan-Ransom.Win32.Generic
      От Zafod
      Произошло шифрование файлом Locker.exe из под учётной записи администратора домена admin$ (создан вирусом). Время когда учётка админа (admin$) была создана удалено из логов (из логов пропали сутки). На сервере установлен Kaspersky Endpoint Security под управлением KSC, вирус был обнаружен, скопирован в карантин, удалён, но данные всё равно зашифрованы. Машина с KSC так же зашифрована и не стартует.
      1.zip
    • Anton S
      Шифровальщик HEUR:Trojan-Ransom.Win32.Generic
      От Anton S
      Добрый день.
      С 4:00 22.07.24 зашифровало все данные на ПК и ещё несколько по сети. Злоумышленник после оплаты пропал... Хотя и прислал "PHOBOS decryption tool", но без ключей, видимо попался мошенник. Удалось запустить Касперского нашёл "HEUR:Trojan-Ransom.Win32.Generic" в нескольких местах. 
      x-decrypt@worker.com.rar FRST.txt Addition.txt
    • Sv1gL
      Trojan.Win32.Generic
      От Sv1gL
      Здравствуйте.
      скачиваю лаунчер faceit с официального сайта, при попытки открыть, антивирус находит файл Trojan.Win32.Generic.
      что делать? Лаунчер нужен
      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов  
×
×
  • Создать...