Перейти к содержанию
Авторизация  
mcluch

HEUR:Trojan.Win32.Generic

Рекомендуемые сообщения

Доброго дня! Сегодня ночью несколько компьютеров с kaspersky endpoint security 10 10.3.3.275 , были подвержены атаке. Касперский обнаружил Обнаружено: HEUR:Trojan.Win32.Generic
в файле C:\Windows\winupdate64.log
При этом удалилась библиотека sens.dll в каталоге C:\Windows\System32.

 

Обнаружили отсутствие sens.dll изза того что все подключения впн писали ошибку

Ошибка 711 не удается загрузить службу диспетчера подключений удаленного доступа.

А далее при запуске этой службы вылетала ошибка Ошибка 126 не найден указанный модуль

 

 

С подключениями сейчас нормально, но вот попасть ни на один фтп невозможно, что локальный что внешний. Что с проводника, что с браузера. Ошибка что просто не может получить доступ, но доступ точно есть

Что это за вирус такой, где он сидит зараза?

CollectionLog-2019.11.26-18.40.zip

Изменено пользователем mcluch

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

IPSec - политики сами настраивали?

O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 21 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block

Эти задания ваши?

O22 - Task: Centr - C:\Windows\system32\rasdial.exe Centr gelengik rfv19qaz
O22 - Task: centr2 - C:\Windows\system32\rasdial.exe Centr2 gelengik rfv19qaz
O22 - Task: kill - D:\1c.bat
O22 - Task: obmen - D:\lombard82\ScriptForFilial.bat

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 
 
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Изменено пользователем regist

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

IPSec - политики сами настраивали?

O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 21 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block

Эти задания ваши?

O22 - Task: Centr - C:\Windows\system32\rasdial.exe Centr gelengik rfv19qaz
O22 - Task: centr2 - C:\Windows\system32\rasdial.exe Centr2 gelengik rfv19qaz
O22 - Task: kill - D:\1c.bat
O22 - Task: obmen - D:\lombard82\ScriptForFilial.bat

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

 

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Политики не нашы! Сняли, и заработало пока, вроде, все

 

Задания наши

 

Файл загрузили

https://virusinfo.info/showthread.php?t=224034

 

https://virusinfo.info/virusdetector/report.php?md5=D4CAD4C5562AA3F1B0D28A97DFF1F757

Но все равно откуда то появляется гадость. Снова обнаружен HEUR:Trojan.Win32.Generic

в файле C:\Windows\winupdate64.log

Полная проверка ничего не находит более

ClearLNK-2019.11.27_07.39.54.log

Изменено пользователем mcluch

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

 

 


Но все равно откуда то появляется гадость. Снова обнаружен HEUR:Trojan.Win32.Generic в файле C:\Windows\winupdate64.log
зЗаархивируйте в zip архив с паролем virus, загрузите на любой файлообменник без капчи и пришлите ссылку на скачивание мне в ЛС,

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.

    !!!Внимание.
    Если у вас установлены архиваторы
    WinRAR
    или
    7-Zip
    , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.

    !!! Обратите внимание
    , что утилиты необходимо запускать от имени Администратора. По умолчанию в
    Windows XP
    так и есть. В
    Windows Vista
    и
    Windows 7
    администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
    Запуск от имени Администратора
    , при необходимости укажите пароль администратора и нажмите
    "Да"
    .



Подробнее читайте в руководстве Как подготовить лог UVS.
 

 

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.
 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Авторизация  

×
×
  • Создать...

Важная информация

Мы используем файлы cookie, чтобы улучшить работу сайта. Продолжая пользоваться этим сайтом, вы соглашаетесь, что некоторые из ваших действий в браузере будут записаны в файлы cookie. Подробную информацию об использовании файлов cookie на этом сайте вы можете найти по ссылке узнать больше.