All Activity

Вы обратились на форум, чтобы получить вот это? 👆 Тут точно этого не делается. Да и в вирлабе ЛК тоже не будут заниматься анализами, да еще и углубленными.) В базе знаний никакой конкретной инфы по данному типу угрозы не предоставлено.

Здравствуйте ! Исходные данные ----------------------------------------------- Версия Android 9 PPR1.180610.011 Kaspersky Free Версия 11.124.4.14286 Вирус: UDS:Trojan.AndroidOS.Piom.bngd ----------------------------------------------- 11.08.2025 г. я как обычно решил войти в приложение "СберБанк" на смартфоне. Версия приложения СберБанк последняя 16.12.0. Сразу при входе в приложение СберБанк появилось сообщение, что обнаружены вирусы (UDS:Trojan.AndroidOS.Piom.bngd) и предложено удалить его. Скриншот прилагаю (Screenshot_2025-08-11-17-30-20-539_ru.sberbankmobile.jpg). В тот момент я не стал удалять этот вирус и запустил приложение DrWeb на быструю проверку вирусов. Ничего не было обнаружено. После этого я снова запустил приложение СберБанк и опять выдалось вышеуказанное сообщение. Теперь я нажал "Удалить" этот вирус. Позже входил в это приложение несколько раз и проблем не возникало. Чуть позднее я снова запустил DrWeb на полную проверку вирусов, но опять ничего не было обнаружено. Я переустановил приложение "Сбербанк". Потом всё же обратился в тех.поддержку Сбербанка. Ответ из Сбербанка: "Вирус находится внутри прошивки телефона. Удалить его стандартными способами невозможно Обратитесь к производителю телефона." ------------------------------------------------------------------------------ Несмотря на то, что я удалил этот вирус, появилась проблема на смартфоне. Иногда гас экран и мне долго приходилось выводить его из этого сотояния. Иногда при перезагрузке телефона экран опять долго был чёрным и снова вывести его из этого состояния долго не получалось. Всё это было непредсказуемо во времени. А иногда перезагрузка проходила как обычно без задержек. В интернете я не нашёл конкретно этот вирус. Находил другие, которые отслеживают нажатие кнопок на телефоне. Я понимаю, что этот вирус относится к Троянам, но что делает, какие последствия и как от них избавиться, не знаю. В интернете я находил противоречивую информацию о вирусах, обнаруженных в прошивке телефона. Кто-то говорил, что из прошивки вирус удалить невозможно. И даже сброс до заводских настроек не поможет (вирус всё-равно останется) ------------------------------------------------------------------------------ Ответ из Сбербанка после моей просьбы идентифицировать этот вирус: "Вирус на устройстве был обнаружен 11 августа и через некоторое время удален вами. На текущий момент этого вируса нет." На всякий случай я заблокировал удалённый доступ к банковским приложениям. После этого в офисе Сбербанка я снова сделал запрос на то, чтобы всё-таки идентифицировали этот вирус. Мне ответили из Сбербанка: "В приложении Сбербанк Онлайн ошибок не найдено Вирус был обнаружен 11 августа 2025 года в прошивке вашего телефона и впоследствии успешно удалён вами. Сейчас на телефоне вируса нет. Если вам необходима более подробная информация о характеристиках и последствиях воздействия этого вируса, рекомендуем обратиться в компанию "Лаборатория Касперского". Их эксперты проведут углублённый анализ и предоставят полный отчёт о природе угрозы." *****

Hi Kaspersky community, our domain/website https://ost-immobilien.com/ appears to be flagged as malware in Kaspersky. This may have been justified years ago when the domain was owned by someone else. But we registered the domain not long ago and are not related in any way to previous owners. Our website is not malicious. Can you please help to remove the false warning in Kaspersky products? Thanks!

Ciao, volevo segnalare che nel popup emesso dopo la scansione viene visualizzato questo messaggio: "Nessuna minaccia trovata. Tutti gli oggetti cpntrollati possono essere utilizzati in modo sicuro" "cpntrollati", c'è la "p" al posto della "o" colgo l'occasione per ringraziarvi per il vostro supporto, mi è servito spesso per risolvere alcune problematiche grazie, ciao

@Tahmeed702 Hi, Thanks for your help. All the items were already checked except for the first one. I checked it as well. I will inform you about the result. Thanks

Did you follow the WebConsole installation steps? https://support.kaspersky.com/KSCLinux/14.2/en-US/181968.htm https://support.kaspersky.com/KSCLinux/14.2/en-US/181969.htm

Возможно Вы имеете ввиду, что этого не делаете вручную. Возможно, что опрос у Вас происходит автоматически. Как вариант покажите/ изучите настройки задач опроса, политику центра администрирования.

А, ну вот... У меня-то 21.21... Да ладно, отключил их. Может, обновится моя версия, так включу потом, посмотрю 😀

Problem There are several problems with similar causes: 1) KESL postinstall script produces error. Warning: Failed to set up KSN 2) KESL is installed and running. However, the kesl-control command outputs something like that: kesl-control --app-info Connection refused. Invalid user permissions for /var. Only root user should have write access to this path. kesl-control --app-info Could not connect to Kaspersky Endpoint Security 11.2.2 for Linux 3) KESL is installed and running, kesl-control indicates no problems. However, kesl-gui shows the Application is currently unavailable error. 4) KESL is installed and running, nagent indicates no connectivity problems. However, KSC shows that KESL is stopped and can't be started. 5) (Starting from 11.3) KESL journal errors "RemoteConnectionRejected" EventType=RemoteConnectionRejected EventId=4385 Initiator=Product Date=2024-04-09 16:28:59 DangerLevel=Critical Reason=InvalidPermissions Path=/var Process=/var/opt/kaspersky/kesl/11.4.0.1096_1684141407/opt/kaspersky/kesl/bin/kesl-control 6) (Starting from 11.3) Nagent errors "Remote Connection Rejected" Note that in case the problem is with nagent itself (i.e not kesl-control or kesl-gui), nagent actually will not send these events to KSC due to very same issue. Root cause KESL service implements defensive internal logic which denies connections from not "trusted" processes. One of the causes is that the process executable file or some library it loads can be overwritten by a non-root user: 1) The Owner is not "root". 2) FS write permission is granted to "Group" or "Other". Such errors often serve as indication of some erratic configuration. For example: Some system administrators change ACL for /opt or other folder (which is supposed to not be widely accessible) to 777 because they don't want to work via sudo; In Astra Linux, the owner of the /var directory is sometimes changed to the fly-dm service user due to an error in the fly-dm package. Astra developers confirmed this bug and released fix. If the issue reproduces with new fly-dm versions, address Astra support. LD_PRELOAD variable may be used to load arbitrary libraries for any given process including KESL. This is usually the case when you see non-root permissions errors for some third-party libraries. Solution To restore proper permissions, use the chown and/or chmod commands: chown root:root /path/to/folder chmod g-w,o-w /path/to/folder Please exercise caution and rely upon common sense when changing permissions for / and folders straight under /. It depends on the environment which files/folders are checked, thus a complete list cannot be provided. 1) # ls -ld / /var /var/opt /opt /opt/kaspersky /bin /usr /usr/lib /usr/lib64 | egrep -v '^d.{4}-.{2}-.*root root' drwxr-xr-x. 20 x root 279 Apr 5 14:30 /var 2) (kesl 11.3+) check for RemoteConnectionRejected events. Path parameter should contain faulty directory. Check for events by directly querying events.db, or querying event database via kesl-control, or kesl-control errors depending on scenario. See examples Broken permissions for kesl, kesl-control errors root@dc-ubuntu:~# chmod 777 /var/opt/kaspersky/kesl/ root@dc-ubuntu:~# kesl-control --app-info Connection refused. Invalid user permissions for '/var/opt/kaspersky/kesl'. Only root user should have write access to this path. Broken permissions for klnagent, events.db query via kesl-control root@dc-ubuntu:~# chmod 777 /opt/kaspersky/klnagent64 root@dc-ubuntu:~# systemctl restart klnagent64 root@dc-ubuntu:~# kesl-control -E --query 'EventType=="RemoteConnectionRejected"' | tail -n 20 Process=/opt/kaspersky/klnagent64/sbin/klnagent EventType=RemoteConnectionRejected EventId=11301 Initiator=Product Date=2024-04-10 18:01:53 DangerLevel=Critical Reason=InvalidPermissions Path=/opt/kaspersky/klnagent64 Process=/opt/kaspersky/klnagent64/sbin/klnagent EventType=RemoteConnectionRejected EventId=11302 Initiator=Product Date=2024-04-10 18:02:04 DangerLevel=Critical Reason=InvalidPermissions Path=/opt/kaspersky/klnagent64 Process=/opt/kaspersky/klnagent64/sbin/klnagent events.db query via 3rd party tool (sqlite3 utility) root@dc-ubuntu:~# sqlite3 /var/opt/kaspersky/kesl/private/storage/events.db 'SELECT date,process,path FROM events WHERE eventtype=134 ORDER BY date DESC LIMIT 3' 2024-04-10 16:17:16|/var/opt/kaspersky/kesl/11.4.0.1096_1684141407/opt/kaspersky/kesl/bin/kesl-control|/var 2024-04-10 15:09:04|/opt/kaspersky/klnagent64/sbin/klnagent|/opt/kaspersky/klnagent64 2024-04-10 15:08:49|/opt/kaspersky/klnagent64/sbin/klnagent|/opt/kaspersky/klnagent64 3) To get a full list of files loaded by KESL or klnagent, you can read /proc/<pid>/maps. Use commands in the example below to filter out all application-specific files that are located in the folders listed above and to see what other files are used: # cat /proc/$(pidof -s klnagent)/maps | awk '{print $6}' | grep ^/ | grep -v 'kaspersky' | sort | uniq /usr/lib64/gconv/gconv-modules.cache /usr/lib64/ld-2.17.so /usr/lib64/libattr.so.1.1.0 /usr/lib64/libbz2.so.1.0.6 /usr/lib64/libc-2.17.so /usr/lib64/libcap.so.2.22 /usr/lib64/libdl-2.17.so /usr/lib64/libdw-0.176.so /usr/lib64/libelf-0.176.so /usr/lib64/liblzma.so.5.2.2 /usr/lib64/libm-2.17.so /usr/lib64/libnss_dns-2.17.so /usr/lib64/libnss_files-2.17.so /usr/lib64/libnss_myhostname.so.2 /usr/lib64/libpthread-2.17.so /usr/lib64/libresolv-2.17.so /usr/lib64/librt-2.17.so /usr/lib64/libz.so.1.2.7 /usr/lib/locale/locale-archive # cat /proc/$(pidof kesl)/maps | awk '{print $6}' | grep ^/ | grep -v 'kaspersky' | sort | uniq /usr/lib64/gconv/gconv-modules.cache /usr/lib64/ld-2.17.so /usr/lib64/libc-2.17.so /usr/lib64/libdl-2.17.so /usr/lib64/libm-2.17.so /usr/lib64/libnss_dns-2.17.so /usr/lib64/libnss_files-2.17.so /usr/lib64/libpthread-2.17.so /usr/lib64/libresolv-2.17.so /usr/lib64/librt-2.17.so /usr/lib64/libz.so.1.2.7 /usr/lib/locale/locale-archive

Ничего из вышеперечисленного. Скачивал приложение не помню где уже. Сейчас попробую устанавливать из разных источников, которые вы перечислили выше. Очень странная штука выходит. Если юзать приложение установленное или обновленное через appstore\galaxy store - в приложении безопасного соединения нет, а вот если устанавливать напрямую апкшник который был скачан через офф сайт- соединение есть, то есть оно сейчас появилось после переустановки с офф сайта. В таком случае проблема аппстора остается открытой. На ios же нельзя сторонние приложухи качать)

А что изменилось за эту неделю: обновили приложение или продлили лицензию? Откуда скачивали версию для Android?

Не опрашиваю. Написал в сообщении "доменов", а подразумевал AD ) Не пойму откуда узлы без адресов в нераспределённых

Problem Description, Symptoms & Impact When deploying Auto patches from KSC, installing Network Agent or Kaspersky Endpoint Security, installation fails with bad junction errors. Diagnostics While Auto patch deployments over KSC will directly generate an event in Events section of KSC, manual Network Agent or KES installations will end with Fatal Error message and installation logs will contain information such as below: Application: Kaspersky Security Center Network Agent – Error 25002. Error while installing: Error 1205/0x0 (‘The system cannot find the path specified.’) accessing filesystem object ‘C:\ProgramData\Application Data\KasperskyLab\adminkit\data\.bases’. Error 25002. Error while installing: Error 1205/0x0 (‘The system cannot find the path specified.’) accessing filesystem object ‘C:\ProgramData\Application Data\KasperskyLab\adminkit\data\.bases’. A GSI collected from the device will also contain a txt file named Junction_ProgramData_PCNAME.txt which will show faulty junction points that prevent installation. GSI log: Junction Point Log with Junction: To find bad junction points manually, you check use the command below in CMD: dir /AL C:\ProgramData Workaround & Solution To remove the faulty link, you must follow the steps below: Open a CMD Prompt with elevated account Run the commands below (According to our example above, the fault junction point shows Z:\ drive) rem In order to delete the link, you must first access the directory. cd C:\Programdata rem Removing the link rd "Application Data" rem Recreating the link is not mandatory as the installation itself will create the link if not found mklink /J "C:\ProgramData\Application Data" C:\ProgramData These 3 commands can be used to create a batch file to be sent to multiple devices that are having the issue.

Bei mir tut sich auch absolut nichts. Habe immer noch die Version 21.21.7.384

In certain cases, ‘Install updates and fix vulnerabilities’ task might fail with some error. Below example contains ‘Error verifying file signature’ error but you may use mentioned keywords and overall approach for investigation of other errors met while running ‘Install updates and fix vulnerabilities’ task. Here are some steps to investigate such problems: First of all view list of updates aimed at installation on client. For this purpose in network agent trace file search for ‘Update to install:’ without quotes. You will get results similar to: etc. Some of found updates are skipped by filters so pay attention to skipped updates and to overall number of updates that should be installed. Some updates might already be downloaded to the target system so at the second step identify which update files are already downloaded and which should be downloaded. In network agent trace file search for ‘is already downloaded’ and ‘needs to be downloaded’ without quotes. In our sample traces results are: Match code of update which needs to be downloaded (79ae03df-d6eb-4de2-b59f-37e963d7a69e) with results detected at step 1 and you will see that KB907417 needs to be downloaded. Open MS Update catalog and search for KB907417. In search results click ‘Download’ button and observe window with results: Name of archive containing required update KB907417 is: otkloadr_c87e2fe94dd873224afa65e2af2473ca3e307a37.cab Search for c87e2fe94dd873224afa65e2af2473ca3e307a37.cab in WindowsUpdate.log from client machine. Pay attention to the found lines: Search for otkloadr_c87e2fe94dd873224afa65e2af2473ca3e307a37.cab in administration server trace file to find URL used by administration server to download required update from MS servers: Now once we know the name of problem update you may offer the customer to temporarily exclude KB907417 from update installation task to let other updates to be installed. Then proceed with investigation. On Administration server use web browser to download problem update from the link identified at step 6 and make sure that its signature is valid. It should look like on below screenshots In case if Digital Signatures tab is not present in properties of this file or signature is invalid then try to re-download with disabled AV solution. If this does not help then make sure that no proxy/firewall affect this issue. Verify that MS certificates are up to date on KSC server. In MMC console / Software updates node right click on KB907417 and ‘Delete update files’. Try to launch updates installation task again. On client machine use web browser to download problem update using link identified at step 5. Verify its signature and proceed same way as in step 8. Additionally compare downloaded file with C:\WINDOWS\SoftwareDistribution\Download\48ec39650764ea7a46ebe67ecf3b6f47\OTKLOADR.CAB. Verify diginal signature of OTKLOADR.CAB You may use signtool.exe to verify signature of .cab files on server and client: signtool.exe verify /pa otkloadr_c87e2fe94dd873224afa65e2af2473ca3e307a37.cab The utility signtool.exe goes as part of Windows SDK. It is available at C:\<Path to Windows SDK>\<version>\bin\<build number>\x64\signtool.exe In case if digital signature appears to be correct then use standard recommendations for resetting WUA: net stop wuauserv net stop cryptSvc net stop bits net stop msiserver Rename folders Del "%ALLUSERSPROFILE%\Application Data\Microsoft\Network\Downloader\qmgr*.dat" net start wuauserv net start cryptSvc net start bits net start msiserver After resetting WUA launch ‘Find updates and critical vulnerabilities’ task. It might fail several times because WUA cache was cleared. So after getting error just re-launch task again. Once 'find updates' task completes successfully launch task to install updates and fix vulnerabilities (problem update should be included in task scope this time). Observe the results.

Подписка отдельная да, у меня она до 2026. Странно, приложение сносил и ставил обратно, сейм проблем. Будем ждать язык поменял, даже устройство ребутнул, все сейм, нет вкладки. Оона у меня и раньше пропадала, но спустя время возвращалась.

Может быть из AD; Автоматическое сканирование IP-диапазонов с разумным расписанием опроса.

Привет. Ответят в запросе.

У меня произошло тоже самое на прошлой неделе, просто удалил приложение и поставил заново (конечно же подписка активна должна быть)

@Danila T., можете посмотреть что там с запросом?

запрос INC000017290256

Номер запроса напишите, пожалуйста. Может удастся уточнить в каком оно состоянии.

Я наврал, с февраля месяца запрос. Последнее, что было от поддержки (в июле): остались ли у меня вопросы ? На что я ответил, что проблема никуда не делась. Получил ответ: "Как только мы получим ответ от разработчиков - мы оповестим Вас."

Really?) There's double protection - for root SB folder and for each browsers folder. After all permissions are granted, other programs can get access. Otherwise, each program will request an increase in access rights. Screenshots translation: Explorer: "You don't currently have permission to access this folder. Click Continue to permanently get access to this folder." Total Commander: "Access denied on file, run as Administrator."

@Friend, в клубе он тему уже давно создал ) https://forum.kasperskyclub.ru/topic/470313-virus-v-operativke-videokarty