All Activity

Отчет надо было смотреть 13-14-го числа ) Сейчас это уже гораздо сложнее. Либо надо смотреть какие-то дополнительные логи. Вобщем информации явно недостаточно. А гадать дело неблагодарное. Вообще robocopy замечательная утилита, которая стабильно работает. Никаким переименованием файлов она не занимается. По крайней мере ничего подобного из того что вы рассказали она делать не может. И антивирусы на нее конкретно никогда не ругаются.

Копировалось что то типа такого"robocopy I:\Updates C:\Updates /E /MIR /R:3 /W:5" это все через командную строку, все базы сейчас актуальны и обновленные, по крайней мере антивирус говорит что все обновилось как и всегда, файлы которые мы видим в логах с пометкой ENCRYPTED их просто нет, я не знаю куда они делись, но антивирус ничего не удалял и в карантин не помещал, Из всего из этого меня беспокоит только отчет который Антивирус теперь хранит и за который мне пришлось отчитаться.

robocopy тоже ничего не переименовывает. Вообще обсуждать логи такого качества и недельной давности достаточно бессмысленно. Особенно не понимаю что, откуда, куда и с какими параметрами копируется. Но то что: это не показатель. Антивирус просто не дал скопировать эти файлы в папку назначения. У вас там старые базы сейчас лежат скорее всего. И они разумеется чистые. Мы здесь все равно не можем запрашивать у вас то что хотя бы теоретически может содержать персональные данные. Поэтому либо разбирайтесь сами, либо с техподдержкой. Но тогда все-таки подготовьте им нормальные логи, а не то что нам показали. Я бы посоветовал вам для начала посмотреть исходные базы - те откуда вы их копировали в эту папку. А потом проверить машину, откуда вы запускали robocopy. Есть вероятность, что она заражена.

Добрый день, Как правильно делать скриншоты: https://support.kaspersky.ru/common/diagnostics/492#block1, можно воспользоваться ножницами. Так это не стороннее ПО, продукт Лаборатории Касперского. Kaspersky Update Utility не устанавливается, достаточно распаковать архив и запустить программу. Так убедитесь в этом, точно ли Robocopy этим занимается или же у вас сидит вирус, который антивирус не видит. С подробным описанием, трассировками и отчетом о системе обратитесь в поддержку: https://support.kaspersky.ru/b2b/ru#contacts, возможно ложное срабатывание эвристического анализатора.

Прошу не вводить в заблуждение или конкретизировать свой ответ. При включенном компоненте Контроль приложений и выбранной к запрету KL-категории Сетевое ПО запуск портативной версии Saby Admin (AppData\Local\Tensor\Saby\rh_package\SabyAdmin_4123858690.exe) НЕ блокировался ранее и не блокируется сейчас. Как Сетевое ПО детектируется локальная версия Saby Admin (Tensor\Saby Admin\launcher.exe), которую необходимо предварительно скачать и установить, имея административные привилегии на АРМ. Т.е. к сбою не имеет отношение.

ENCRYPTED возможно робокопи помечает так файлы и Антивирус их подозревает в общем мне сейчас скинули показали ребята файлы в папке в которой якобы были все файлы помечены ENCRYPTED , но там все файлы в нормальном состоянии я не пойму откуда антивирус взял эту пометку у меня на всех машинах нет таких расширений

Антивирус не переименовывает файлы в текущем местоположении. Они у вас копируются в таком виде и антивирус на них реагирует.

Антивирус при копировании помечает так файлы

Расширение .ENCRYPTED откуда берется?

Добрый день! столкнулся с ошибкой в консоле Authentication required The user name or password is incorrect. службы на активной ноде включены, на резервной только служба кластера. после установки web-console из конфига съело только один trusted, вследствие чего не могу залогиниться, столкнулись с таким? также в логах только один trusted был принят, как указать два сервера ksc? {"level":"info","version":"","tags":[],"message":"Installer config params","timestamp":"2026-01-20T09:57:18.060Z","component":"","data":{"address":"127.0.0.1","port":8080,"trusted":"10.207.218.44|13299|/mnt/KlFocDataShare_klfoc/1093/cert/klserver.cer|KSC-41","acceptEula":true}}

Компонент: Анализ поведения Описание результата: Запрещено Тип: Троянское приложение Название: HEUR:Trojan.Multi.Crypren.gen Степень угрозы: Точно Точность: Высокая Тип объекта: Процесс Путь к объекту: D:\Distrib\udp\Updates\updates\adb Название объекта: el0019.txt.ENCRYPTED Причина: Опасное действие Дата выпуска баз: 25.11.2025 4:36:00 А потом пишет Компонент: Анализ поведения Описание результата: Откат действий приложения Тип: Троянское приложение Название: HEUR:Trojan.Multi.Crypren.gen Степень угрозы: Точно Точность: Информация Тип объекта: Процесс Путь к объекту: D:\Distrib\udp\Updates\updates\adb Название объекта: el0019.txt.ENCRYPTED Это просто Текстовый файл

Kaspersky Update Utility у нас нельзя стороннее ПО устанавливать, а только разрешенное тем более нет связи на этих машинах они без внешней сети, По поводу то что там нет вирусов, так как изначально базы выкладываются на сервер на котором уже есть Антивирус Касперского, после я копирую эти базы на свой комп, на котором тоже есть Антивирус Касперского обновленный, после чего я копирую эти базы на флешку которая используется только на машинах без сети, после чего я копирую эти базы на одну из машин на которых стоит Касперский но правда не с последними обновлениями и уже раскидываю по машинам которые находятся во внутренней сети.

возможно существование Kaspersky Update Utility для вас тоже будет новостью. Тогда почитайте. Она больше подходит для ваших целей. это утверждение, исходя из ваших скриншотов, вызывает сомнение. Как выше написали есть подозрение на работу шифровальщика.

А почему расширение у файлов тогда меняется?

You first go one step back from there and in the lower part add profile. That profile should point to other KSC server or connection gateway network agent. After that you go there in network location, select your new profile and configure conditions when to use that profile. You have in documentation about that, just search for conection profiles. Thats not out of office policy, that is something else. Out of office policy is activated when network agent cant reach KSC server 3 times.

При обработке входящего письма KSMG корректно проверяет DKIM (статус pass в заголовке X-KSMG-AntiSpam-Auth), но при передаче письма дальше (re-inject в Postfix) ломает синтаксис тега b= в DKIM-Signature. Проблема наблюдается на длинных ключах (2048 бит, Mail.ru). KSMG вставляет лишнюю точку с запятой (;) или некорректный разрыв строки внутрь хеша подписи, делая письмо невалидным для следующих узлов. Пример заголовка X-KSMG-AntiSpam-Auth подтверждает, что на входе подпись была валидна. Версия 3.0.0.9059

Hi, the idea of creating two separated KESs and point agents to the second one is really great, i would like if there's actually documents about that scenario. Is that out of office configuration from network agent profile ?

Hello @eina, Thank you for the information! IF the *update* errors persist - READ & follow *all* of: General recommendations for solving database update issues in Kaspersky applications. Uninstall Kaspersky Premium using Windows -> Add or remove programs & READ: How to uninstall the application in Windows 8 or later - in the check-boxes that appear - Save subscription *only*, leave all other check-boxes clear - at the end of the *uninstall* of Kaspersky Premium shutdown the computer using SHUTDOWN, not Restart, when the computer is OFF, power ON by pressing the power button, log in. Download a new Kaspersky Premium installer from (your) MyKaspersky account OR https://www.kaspersky.com/downloads#update-product, install Kaspersky Premium, run a manual Database update -> *make sure it's successful*? Recheck the Arknights: Endfield and OR Duet Night Abyss issue, IF *either* persist log a request with Kaspersky Customer Service, https://support.kaspersky.com/b2c#contacts -> select Email, then fill in the template as shown, include a *detailed history*. Support may request logs, data & traces, they will advise you. *Note - don't use the AI-bot to submit the case* Please share the outcome with the Community, when it's available? Thank you🙏 Flood🐳+🐋

Была точно такая же ошибка. Полностью вылечилась вот этими командами: DISM /Online /Cleanup-Image /ScanHealth DISM /Online /Cleanup-Image /RestoreHealth sfc /scannow

@Markus Yes, it will work.

Добрый день. Если у вас есть лицензия на любой коммерческий продукт Лаборатории Касперского, обратитесь в техподдержку. В противном случае попробуйте создать тему на форуме Клуба лаборатории Касперского, выполнив порядок оформления запроса о помощи.

That worked! I've updated to NetAgent version 16.1 and now the Reg is edited! Now... as in your screenshot, the key will be made under "WOW6432Node", and with the "/reg:64" argument, it'll change the 64bit registry: echo Adding to registry (located under "HKLM\SOFTWARE\WOW6432Node\") reg add "HKLM\SOFTWARE\_test_32" /v "test" /d "1" /t "REG_DWORD" /f echo Adding to registry (located under "HKLM\SOFTWARE\") reg add "HKLM\SOFTWARE\_test_64" /v "test" /d "1" /t "REG_DWORD" /reg:64 /f Thanks a bunch!!

Добрый день, недавно узнал про такой вид копирования встроенной функции Windows как robocopy, это упростило бы мне задачу на офлайн машины копировать антивирусные базы, но столкнулся с такой проблемой, раньше я копировал обычным переносом папки, но вот я решил попробовать копирование через robocopy и мои несколько машин (не все что самое интересное а выборочно) начали ругаться на базы антивирусов (скриншоты прилагаю), я попробовал другой антивирус он кстати тоже выдал но уже другую ошибку именно в сторону robocopy, в общем то что там нет вирусов это 100%, и даже не обсуждается наличие в нем заразы, но вот почему себя так ведет антивирус это вопрос?

Зашифрованы большинство компьютеров в локальной сети