HEUR:Trojan.Win32.Generic

[mcluch 0]

Доброго дня! Сегодня ночью несколько компьютеров с kaspersky endpoint security 10 10.3.3.275 , были подвержены атаке. Касперский обнаружил Обнаружено: HEUR:Trojan.Win32.Generic
в файле C:\Windows\winupdate64.log
При этом удалилась библиотека sens.dll в каталоге C:\Windows\System32.

 

Обнаружили отсутствие sens.dll изза того что все подключения впн писали ошибку

Ошибка 711 не удается загрузить службу диспетчера подключений удаленного доступа.

А далее при запуске этой службы вылетала ошибка Ошибка 126 не найден указанный модуль

 

 

С подключениями сейчас нормально, но вот попасть ни на один фтп невозможно, что локальный что внешний. Что с проводника, что с браузера. Ошибка что просто не может получить доступ, но доступ точно есть

Что это за вирус такой, где он сидит зараза?

CollectionLog-2019.11.26-18.40.zip

Изменено 26 ноября, 2019 пользователем mcluch

[regist 617]

IPSec - политики сами настраивали?

O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 21 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block

Эти задания ваши?

O22 - Task: Centr - C:\Windows\system32\rasdial.exe Centr gelengik rfv19qaz
O22 - Task: centr2 - C:\Windows\system32\rasdial.exe Centr2 gelengik rfv19qaz
O22 - Task: kill - D:\1c.bat
O22 - Task: obmen - D:\lombard82\ScriptForFilial.bat

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.
 
 
- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

Изменено 26 ноября, 2019 пользователем regist

[mcluch 0]

IPSec - политики сами настраивали?

O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 135 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 135 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 139 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 139 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 445 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: Any IP - Destination: my IP (Port 445 UDP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 14443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 14444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 21 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 2222 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 3333 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 4444 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 5555 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 6666 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 7777 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 8443 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 8888 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 9000 TCP) (mirrored) - Action: Block
O7 - IPSec: Name: qianye (2019/11/26) - {93916efe-f669-45a0-89b5-14d5423cb61e} - Source: my IP - Destination: Any IP (Port 9999 TCP) (mirrored) - Action: Block

Эти задания ваши?

O22 - Task: Centr - C:\Windows\system32\rasdial.exe Centr gelengik rfv19qaz
O22 - Task: centr2 - C:\Windows\system32\rasdial.exe Centr2 gelengik rfv19qaz
O22 - Task: kill - D:\1c.bat
O22 - Task: obmen - D:\lombard82\ScriptForFilial.bat

- Перетащите лог Check_Browsers_LNK.log из папки AutoLogger\CheckBrowsersLNK на утилиту ClearLNK. Отчёт о работе прикрепите.

 

 

- Проведите эту процедуру. Полученную ссылку после загрузки карантина virusinfo_auto_имя_вашего_ПК.zip через данную форму напишите в своём в сообщении здесь.

 

Политики не нашы! Сняли, и заработало пока, вроде, все

 

Задания наши

 

Файл загрузили

https://virusinfo.info/showthread.php?t=224034

 

https://virusinfo.info/virusdetector/report.php?md5=D4CAD4C5562AA3F1B0D28A97DFF1F757

Но все равно откуда то появляется гадость. Снова обнаружен HEUR:Trojan.Win32.Generic

в файле C:\Windows\winupdate64.log

Полная проверка ничего не находит более

ClearLNK-2019.11.27_07.39.54.log

Изменено 27 ноября, 2019 пользователем mcluch

[regist 617]

 

 

Но все равно откуда то появляется гадость. Снова обнаружен HEUR:Trojan.Win32.Generic в файле C:\Windows\winupdate64.log

зЗаархивируйте в zip архив с паролем virus, загрузите на любой файлообменник без капчи и пришлите ссылку на скачивание мне в ЛС,

Скачайте AutorunsVTchecker. Распакуйте и запустите. Не дожидаясь окончания сканирования,      

1. Скачайте Universal Virus Sniffer (uVS)
2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
   
   !!!Внимание.
   Если у вас установлены архиваторы
   WinRAR
   или
   7-Zip
   , то uVS в автоматическом режиме упакует лог в архив, иначе это будет необходимо сделать вам вручную.

4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
   
   !!! Обратите внимание
   , что утилиты необходимо запускать от имени Администратора. По умолчанию в
   Windows XP
   так и есть. В
   Windows Vista
   и
   Windows 7
   администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать
   Запуск от имени Администратора
   , при необходимости укажите пароль администратора и нажмите
   "Да"
   .

   
   

Подробнее читайте в руководстве Как подготовить лог UVS.
 

 

Скачайте этот скрипт, запустите стандартную проверку. Полученные логи потом выложите здесь.