Добрый день!
На только что проинсталлированной Windows 7 регулярно появляется следующее сообщение:
Process \DRIVER\DLDRIVERKBD0 (PID: 0): Keylogger detected. Process is trying to redirect keyboard input. (Keylogger)
В настройках групповой политики в разделе "Proactive Defence" снял галочку у позиций "Keyloggers" и "Input / Output Redirection", но безрезультатно.
Windows 7 установлена с лицензионного диска и, разумеется, никаких кряков / кейгенов в ней не применялось. Компьютер подключен через KVM-switch.
Скажите, что еще можно / нужно подкрутить?
Full Version: Настройка проактивной защиты
QUOTE(Jury Sazonov @ 3.11.2009 12:16) 
Добрый день!
На только что проинсталлированной Windows 7 регулярно появляется следующее сообщение:
Process \DRIVER\DLDRIVERKBD0 (PID: 0): Keylogger detected. Process is trying to redirect keyboard input. (Keylogger)
В настройках групповой политики в разделе "Proactive Defence" снял галочку у позиций "Keyloggers" и "Input / Output Redirection", но безрезультатно.
Windows 7 установлена с лицензионного диска и, разумеется, никаких кряков / кейгенов в ней не применялось. Компьютер подключен через KVM-switch.
Скажите, что еще можно / нужно подкрутить?
На только что проинсталлированной Windows 7 регулярно появляется следующее сообщение:
Process \DRIVER\DLDRIVERKBD0 (PID: 0): Keylogger detected. Process is trying to redirect keyboard input. (Keylogger)
В настройках групповой политики в разделе "Proactive Defence" снял галочку у позиций "Keyloggers" и "Input / Output Redirection", но безрезультатно.
Windows 7 установлена с лицензионного диска и, разумеется, никаких кряков / кейгенов в ней не применялось. Компьютер подключен через KVM-switch.
Скажите, что еще можно / нужно подкрутить?
1.) "Input / Output Redirection" относится к перенаправлению вывода (stdin/stdout) -см. линк
К данному случаю отношения не имеет - см. справку:
Click to view attachment
2.) "Process is trying to redirect keyboard input." - соответствует флагу "Keyloggers" в настройках PDM
Точно ли применились политики?
>>"На только что проинсталлированной Windows 7"...
3.) DLDriverKbd0.SYS - см. Доверенная зона в МП4, ругается на девайс лок
Что нужно подкурутить:
- если сами ставили DeviceLock , то добавить DLDriverKbd0.SYS в исключения. Как и что - см. пункт 3.) выше,
если нет - снести.
- галку "Keyloggers" в настройках "Proactive Defence" вернуть назад
Не выходит каменный цветок (с)
Итак, что проделано:
1. Вернул галочку у позиции "Keyloggers"
2. Вернул галочку у позиции "Input / Output Redirection"
3. Добавил в Trusted Zone --> Exclusion Rules:
Object: \Driver\DLDriverKbd0
Threat type: Keylogger
Component: Proactive Defence
4. Добавил в Trusted Zone --> Exclusion Rules:
Object: %SYSTEMROOT%\system32\drivers\DLDriverKbd0.sys
Threat type: Keylogger
Component: Proactive Defence
5. Добавил в Trusted Zone --> Trusted apllications:
Application: %SystemRoot%\System32\DLService.exe
Don not scan opened files
Don not control application activity
Don not control registry access
Allow interaction with application interface
Нотификации продолжают сыпаться
P.S. DeviceLock нам нужен.
Итак, что проделано:
1. Вернул галочку у позиции "Keyloggers"
2. Вернул галочку у позиции "Input / Output Redirection"
3. Добавил в Trusted Zone --> Exclusion Rules:
Object: \Driver\DLDriverKbd0
Threat type: Keylogger
Component: Proactive Defence
4. Добавил в Trusted Zone --> Exclusion Rules:
Object: %SYSTEMROOT%\system32\drivers\DLDriverKbd0.sys
Threat type: Keylogger
Component: Proactive Defence
5. Добавил в Trusted Zone --> Trusted apllications:
Application: %SystemRoot%\System32\DLService.exe
Don not scan opened files
Don not control application activity
Don not control registry access
Allow interaction with application interface
Нотификации продолжают сыпаться
P.S. DeviceLock нам нужен.
QUOTE(Jury Sazonov @ 3.11.2009 16:50)
Нотификации продолжают сыпаться...
Какие именно? Укажите, пожалуйста, прямо в виде
"Process \DRIVER\DLDRIVERKBD0 (PID: 0): Keylogger detected. Process is trying to redirect keyboard input. (Keylogger)"
Вот, пожалуйста, кусок лога:
Critical event Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 6.0.4.1212 Proactive Defense Suspicious object detected 3 ?????? 2009 ?. 16:03:01 Process \DRIVER\DLDRIVERKBD0 (PID: 0): Keylogger detected. Process is trying to redirect keyboard input. (Keylogger) 3 ?????? 2009 ?. 16:03:14
Info Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 6.0.4.1212 Proactive Defense Infected object disinfected 3 ?????? 2009 ?. 16:08:03 Process \DRIVER\DLDRIVERKBD0 (PID: 0): "Quarantine" action is selected 3 ?????? 2009 ?. 16:08:10
Info Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 6.0.4.1212 Proactive Defense Infected object disinfected 3 ?????? 2009 ?. 16:08:03 Process \DRIVER\DLDRIVERKBD0 (PID: 0): Forced to terminate the process. 3 ?????? 2009 ?. 16:08:10
Critical event Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 6.0.4.1212 Proactive Defense There are unprocessed objects 3 ?????? 2009 ?. 16:08:03 Process \DRIVER\DLDRIVERKBD0 (PID: 0): Error moving to Quarantine. 3 ?????? 2009 ?. 16:08:13
Последовательность вопросительныз знаков ?????? означает глюки в кодировке, на них можно не оращать внимание.
Critical event Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 6.0.4.1212 Proactive Defense Suspicious object detected 3 ?????? 2009 ?. 16:03:01 Process \DRIVER\DLDRIVERKBD0 (PID: 0): Keylogger detected. Process is trying to redirect keyboard input. (Keylogger) 3 ?????? 2009 ?. 16:03:14
Info Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 6.0.4.1212 Proactive Defense Infected object disinfected 3 ?????? 2009 ?. 16:08:03 Process \DRIVER\DLDRIVERKBD0 (PID: 0): "Quarantine" action is selected 3 ?????? 2009 ?. 16:08:10
Info Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 6.0.4.1212 Proactive Defense Infected object disinfected 3 ?????? 2009 ?. 16:08:03 Process \DRIVER\DLDRIVERKBD0 (PID: 0): Forced to terminate the process. 3 ?????? 2009 ?. 16:08:10
Critical event Kaspersky Anti-Virus 6.0 for Windows Workstations MP4 6.0.4.1212 Proactive Defense There are unprocessed objects 3 ?????? 2009 ?. 16:08:03 Process \DRIVER\DLDRIVERKBD0 (PID: 0): Error moving to Quarantine. 3 ?????? 2009 ?. 16:08:13
Последовательность вопросительныз знаков ?????? означает глюки в кодировке, на них можно не оращать внимание.
QUOTE(Jury Sazonov @ 3.11.2009 17:19)
Вот, пожалуйста, кусок лога...
Где лежит DLDriverKbd0.sys на данной Win7? Физически
DLDriverKbd0.sys не нашелся в каталоге C:\Windows, непонятно, где он вообще, но не в этом суть.
После того, как я перегрузил антивирус на клиентской машине, нотификации пропали.
Т.е. сделал все изменения, как третьем посте темы --> применил политики на компютер --> перегрузил антивирус на компьютере --> заработало.
Спасибо за помощь!
После того, как я перегрузил антивирус на клиентской машине, нотификации пропали.
Т.е. сделал все изменения, как третьем посте темы --> применил политики на компютер --> перегрузил антивирус на компьютере --> заработало.
Спасибо за помощь!
QUOTE(Jury Sazonov @ 3.11.2009 18:15)
DLDriverKbd0.sys не нашелся в каталоге C:\Windows, непонятно, где он вообще, но не в этом суть.
После того, как я перегрузил антивирус на клиентской машине, нотификации пропали.
Т.е. сделал все изменения, как третьем посте темы --> применил политики на компютер --> перегрузил антивирус на компьютере --> заработало...
После того, как я перегрузил антивирус на клиентской машине, нотификации пропали.
Т.е. сделал все изменения, как третьем посте темы --> применил политики на компютер --> перегрузил антивирус на компьютере --> заработало...
аминь.
DLDriverKbd0.sys - драйвер, похоже дропается, грузится и файл удаляется.
Поэтому в подобных случах надо смотерть путь к файлу утилитами, подобными указанным в конце этого поста
Если возникнет желание привести исключения для DeviceLock в нормальный вид, то
QUOTE(Jury Sazonov @ 3.11.2009 16:50)
3. Добавил в Trusted Zone --> Exclusion Rules:
Object: \Driver\DLDriverKbd0
Threat type: Keylogger
Component: Proactive Defence
4. Добавил в Trusted Zone --> Exclusion Rules:
Object: %SYSTEMROOT%\system32\drivers\DLDriverKbd0.sys
Threat type: Keylogger
Component: Proactive Defence
Object: \Driver\DLDriverKbd0
Threat type: Keylogger
Component: Proactive Defence
4. Добавил в Trusted Zone --> Exclusion Rules:
Object: %SYSTEMROOT%\system32\drivers\DLDriverKbd0.sys
Threat type: Keylogger
Component: Proactive Defence
из этого, по идее, достаточно пункта 4.
Т.е. 3- лишнее исключение.
QUOTE(Jury Sazonov @ 3.11.2009 16:50)
5. Добавил в Trusted Zone --> Trusted apllications:
Application: %SystemRoot%\System32\DLService.exe
Don not scan opened files
Don not control application activity
Don not control registry access
Allow interaction with application interface
Application: %SystemRoot%\System32\DLService.exe
Don not scan opened files
Don not control application activity
Don not control registry access
Allow interaction with application interface
По идее, достаточно "Don not control application activity". Остальное, вероятно, лишнее.
Что-то я рано обрадовался.
Каменный цветок по прежнему не выходит.
На этот раз - на моей собственной машине (WinXP SP3, тоже есть в наличии DeviceLock и KVM-свитч)
В описанных выше предыдущих настройках ничего не менял, файл DLDriverKbd0.SYS имеет место быть в C:\WINDOWS\System32\Drivers\ , но сообщения типа
появляются с завидной периодичностью
Каменный цветок по прежнему не выходит.
На этот раз - на моей собственной машине (WinXP SP3, тоже есть в наличии DeviceLock и KVM-свитч)
В описанных выше предыдущих настройках ничего не менял, файл DLDriverKbd0.SYS имеет место быть в C:\WINDOWS\System32\Drivers\ , но сообщения типа
QUOTE
04.11.2009 10:57:53 Process \DRIVER\DLDRIVERKBD0 (PID: 0): Keylogger detected. Process is trying to redirect keyboard input. (Keylogger)
появляются с завидной периодичностью
Причем, вот что раскопал:
1. Убираю "замочек" у "Trusted zone" в настройках глобальной политике в АдминКите. Таким образом, могу с локального компьютера настраивать исключения.
2. Применяю политику, проверяю настройки антивируса на локальной машине - все ОК, вкладка "Trusted zone" доступна для редактирования
3. Дожидаюсь сообщения о том, что
и в появившийся нотификации выбираю "Add in Trusted Zone".
4. Проверяю вкладку "Trusted zone" - новое правило там появилось. Работаю какое-то время, перегружаю антивирус - все ОК. Ругани больше нет.
5. Копирю (именно копирую, так что ошибка ручного ввода исключена) это правило в "Trusted zone" в настройках глобальной политике в АдминКите. Закрываю замочек. Применяю политику.
6. Снова вижу сообщение о том, что
Иными словами, если правило делать на локальном компьютере, то все ОК, но при попытке применить его же через глобальную политику правило не срабатывает.
Эксперимента ради пробовал писать не \DRIVER\DLDRIVERKBD0 , а C:\Windows\System32\\DRIVERS\DLDRIVERKBD0.SYS и %SYSTEMFOLDER%\System32\\DRIVERS\DLDRIVERKBD0.SYS , но с таким же результатом.
Это глюк групповой политики или лыжи не едут?
Такая же проблема, один в один, с
поэтому, надеюсь, решение будет общим.
04.11.2009 11:58:24 Process (unavailable): Suspicious actions on system kernel detected: order of processing requests by system driver C:\WINDOWS\SYSTEM32\DRIVERS\NTFS.SYS was changed. Such actions are typical of rootkit driver or programs for virtual CD/DVD drives. (IrpTableChanged)
1. Убираю "замочек" у "Trusted zone" в настройках глобальной политике в АдминКите. Таким образом, могу с локального компьютера настраивать исключения.
2. Применяю политику, проверяю настройки антивируса на локальной машине - все ОК, вкладка "Trusted zone" доступна для редактирования
3. Дожидаюсь сообщения о том, что
QUOTE
04.11.2009 11:43:17 Process \DRIVER\DLDRIVERKBD0 (PID: 0): Keylogger detected. Process is trying to redirect keyboard input. (Keylogger)
и в появившийся нотификации выбираю "Add in Trusted Zone".
4. Проверяю вкладку "Trusted zone" - новое правило там появилось. Работаю какое-то время, перегружаю антивирус - все ОК. Ругани больше нет.
5. Копирю (именно копирую, так что ошибка ручного ввода исключена) это правило в "Trusted zone" в настройках глобальной политике в АдминКите. Закрываю замочек. Применяю политику.
6. Снова вижу сообщение о том, что
QUOTE
04.11.2009 11:43:17 Process \DRIVER\DLDRIVERKBD0 (PID: 0): Keylogger detected. Process is trying to redirect keyboard input. (Keylogger)
Иными словами, если правило делать на локальном компьютере, то все ОК, но при попытке применить его же через глобальную политику правило не срабатывает.
Эксперимента ради пробовал писать не \DRIVER\DLDRIVERKBD0 , а C:\Windows\System32\\DRIVERS\DLDRIVERKBD0.SYS и %SYSTEMFOLDER%\System32\\DRIVERS\DLDRIVERKBD0.SYS , но с таким же результатом.
Это глюк групповой политики или лыжи не едут?
Такая же проблема, один в один, с
QUOTE
04.11.2009 11:58:24 Process (unavailable): Suspicious actions on system kernel detected: order of processing requests by system driver C:\WINDOWS\SYSTEM32\DRIVERS\NTFS.SYS was changed. Such actions are typical of rootkit driver or programs for virtual CD/DVD drives. (IrpTableChanged)
поэтому, надеюсь, решение будет общим.
04.11.2009 11:58:24 Process (unavailable): Suspicious actions on system kernel detected: order of processing requests by system driver C:\WINDOWS\SYSTEM32\DRIVERS\NTFS.SYS was changed. Such actions are typical of rootkit driver or programs for virtual CD/DVD drives. (IrpTableChanged)
а C:\Windows\System32\\DRIVERS\DLDRIVERKBD0.SYS и %SYSTEMFOLDER%\System32\\DRIVERS\DLDRIVERKBD0.SYS
Black Dragon - двойной слеш перед каталогом с драйверами? Шаманство? 
Это у вас двойной написан
Мартышка к старости слаба глазами стала (с)
Black Dragon, спасибо, поправил, но легче не стало.
Black Dragon, спасибо, поправил, но легче не стало.
1. Отключить глобальную политику (с созданием доверенной зоны на локале), включить трассировку, воспроизвести ситуацию что все ок, выключить трассировку , собрать логи
2. Включить глобальную политику (с созданием доверенной зоны), включить трассировку, воспроизвести ситуацию с проблемой, выключить трассировку, собрать логи
3. Отчет GetSystemInfo4
4. Прикрипить
2. Включить глобальную политику (с созданием доверенной зоны), включить трассировку, воспроизвести ситуацию с проблемой, выключить трассировку, собрать логи
3. Отчет GetSystemInfo4
4. Прикрипить
Вот, пожалуйста, ниже прикреплены логи и трассировки.
Только на этот раз злополучный драйвер ругался в обоих случаях - и с локальными и с глобальными настройками.
Только на этот раз злополучный драйвер ругался в обоих случаях - и с локальными и с глобальными настройками.
Логи трассировки почему-то к оному сообщению не прикрепляются, поэтому выкладываю их по-одному.
Прошу прощения за неудобство.
Прошу прощения за неудобство.
Вот часть второй трассировки
Все.
Логи и трассировка выложены.
Логи и трассировка выложены.
Перенаправляю запрос в техподдержку.
Всем спасибо за помощь!
Всем спасибо за помощь!
QUOTE(Jury Sazonov @ 5.11.2009 15:07)
Перенаправляю запрос в техподдержку.
Всем спасибо за помощь!
Всем спасибо за помощь!
Номер запроса сообщите пожалуйста.
Вот, пожалуйста - 311498878
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.