В разделе "Защита от эксплоитов" каждый день получаю сообщение об обнаружении этого вредоносного объекта на системном приожении svchost. Сканирование системы выявило 10 файлов с подписью not-a-virus. 

Событие: Запрещено
Приложение: Host Process for Windows Services
Пользователь: NT AUTHORITY\СИСТЕМА
Тип пользователя: Системный пользователь
Компонент: Защита от эксплойтов
Описание результата: Запрещено
Тип: Троянское приложение
Название: PDM:Exploit.Win32.Generic

Собрал трейс-файлы (логи). Могу ли я их вам отправить?

//ModNote:

Ответ в сообщении.

Тема из одного вопроса конвертирована в обсуждение различных вопросов по сертифицированным версиям (ФСТЭК, ФСБ).

Статьи Базы знаний по теме:

KES 11, 12 https://support.kaspersky.ru/14693

KES 10 https://support.kaspersky.ru/11319

KSC https://support.kaspersky.ru/11320

KSWS https://support.kaspersky.ru/13750

Полный список https://support.kaspersky.ru/certificates/other-certificates

• Updatable kernel module status: Unavailable
• в логах: NetworkInterceptorError

Имеется KSC15.1 на Windows Server и клиенты с KES12.12 на Windows10/11, которые управляются данным сервером.

Часть клиентов - ноутбуки, то есть, они часто работают удаленно, бывает месяцами могут не подключатся к корпоративной сети. 
Обновление баз происходит почему-то исключительно с KSC, потому у них все это время базы не свежие.

Нашел в базе знаний, что можно задавать чтобы клиенты обновились напрямую с серверов Касперского, при недоступности родного KSC, но что-то безуспешно.
Вот скрин где добавил эту опцию:

А вот скрин из клиента

Как видите, даже не активны кнопки обновления вручную

Помогите, пожалуйста, знающие люди, решить эту задачку, чтобы KES обновил базы напрямую с сервера Касперского при недоступности родного KSC. В какую сторону копать? Если нужна еще информация или скрины настроек, готов предоставить. Спасибо заранее.

Прошу помочь, безопасно ли его запустить на зашифрованной машине, создаст ли он backdoor для злоумышленников или нет

Файл расшифровщика 

пароль 123

https://disk.yandex.ru/d/MYTHGk8O06DK6Q

Сегодня еще столкнулся со следующей ситуацией. На сервер администрирования прилетело событие о блокировке устройства чтения смарт-карт. Хотел его добавить через раздел “Добавление доверенных устройств по идентификатору”, а его в списке нет (прошло уже более двух часов). Хост работает, антивирус тоже работает без сбоев. Перезагрузка сервера администрирования тоже не помогла. Как такое может быть? Что посоветуете делать?

У нас есть лицензия KSMM расширенный. Управление мобильными устройствами возможно как через MMC так и Web console, но через MMC функционал управления мобилками сильно ограничен. Создаю политику для мобильных устройств в веб-консоли, частоту синхронизации ставлю 5 минут, сохраняю политику. На андроиде синхронизирую с сервером, получаю политику, там частоту синхронизации показывает 15 минут(как и в MMC консоли).

И лицензию по управлению мобилками MMC видит только базовую, а веб-консоль видит и расширенную тоже. 
Может ли MMC  перебивать политики веб-консоли? Если нет, подскажите что нужно сделать в моем случае.

Заранее спасибо!

Имеет такую проблему, которая кстати систематическая после перехода на Касперского. Ранее на другом антивируса с таким не сталкивались.

При авторизации пользователей на сервере терминалов половина пользователей (у всех пользователей обычные права, у админов проблем нет) не могут попасть в свой профиль пользователя и им открывается временные профили. При это люди всегда разные. В логах подряд такие ошибки:

- 1509 - Системе Windows не удалось загрузить C:\Users\*************\ntuser.dat.

- 1545 - Куст пользователя загружен другим процессом (блокировка файла). Имя процесса: C:\Program Files (x86)\Kaspersky Lab\KES.12.5.0\avp.exe, ИД процесса: 3620, ИД процесса ProfSvc: 2036.

-1502 - Windows не удалось загрузить локально сохраняемый профиль. Возможные причины этой ошибки - недостаточные права безопасности или поврежденный локальный профиль.  ПОДРОБНО - Процесс не может получить доступ к файлу, так как этот файл занят другим процессом.
 

То есть Антивирус при авторизации пользователя проверяет файл, при этом он его блокирует для авторизации пользователей. У пользователей с правами Админа такой проблемы нет. Если отобрать права админа, такой пользователь так же получает проблему. На простых ПК такой проблемы нет, только на серверах терминалов. Подчеркиваю, что именно серверах, т.к. разные из ни обслуживают разные группы пользователей и везде одна и та же ошибка.

Вопрос, как быть, кроме как создания исключений из проверки данных файлов профилей пользователей?

https://edgedl.me.gvt1.com/edgedl/diffgen-puffin/ggkkehgbnfjpeggfpleeakpidbkibbmn/52693efdeec8126F7c696cf98582817719b1e7b24clac3eb5822dbd0ad08445b///data0

помогите определиться что это

Данные процессы продолжают висеть в памяти и не выгружаются как на виртуальных машинах (vmware  и hyper-v), так и на физических.

И после удаления Kaspersky Endpoint Security проблема с утечками не возникает, процессы корректно закрываются (не отъедают по 28-32КБ)

Как можно решить данную проблему?

Файл диагностики размещен по ссылке https://dropmefiles.com/XkRMn

Примечательно,что выбрав 1 АРМ из списка и запустив задачу вручную ,все обновилось

В приложении Kaspersky Endpoint Security появились следующие возможности и доработки:

• Добавлен новый функциональный компонент Защита от почтовых угроз. Компонент проверяет вложения входящих и исходящих сообщений электронной почты на наличие в них вирусов и других приложений, представляющих угрозу.
• Добавлен новый функциональный компонент Защита от атак BadUSB. Компонент позволяет предотвратить подключение к клиентскому устройству зараженных USB-устройств, имитирующих клавиатуру.
• Доработан компонент Контроль устройств. Добавлена возможность предоставить по запросу пользователя временный доступ к заблокированным устройствам.
• Доработан компонент Защита от эксплойтов. Добавлена возможность настраивать исключения объектов из проверки компонентом.
• Доработан обновляемый модуль ядра:
  • Теперь обновляемый модуль ядра позволяет оптимизировать перехват файловых операций. Производительность приложения увеличивается за счет использования кеша файлов и процессов, не нуждающихся в проверке.
  • Теперь при использовании обновляемого модуля ядра вы можете более точно настраивать глобальные исключения. Если используется механизм перехвата на основе технологии fanotify, из перехвата файловых операций исключаются указанные точки монтирования целиком. Использование обновляемого модуля ядра позволяет исключать конкретные локальные или удаленные директории, смонтированные на устройстве.
• Компонент EDR (KATA), обеспечивающий интеграцию с Kaspersky Endpoint Detection and Response (KATA), переименован в EDR Expert (OSMP). Компонент также обеспечивает интеграцию с решением Kaspersky Endpoint Detection and Response Expert (on-premise). Задача интеграции переименована в Интеграция с Kaspersky Endpoint Detection and Response Expert (on-premise) (KATAEDR, ID:24).
• Реализована возможность интеграции с Kaspersky Endpoint Detection and Response Expert (on-premise) – решением для кибербезопасности бизнеса, позволяющим защититься от большинства киберрисков и покрыть основные сценарии распространения угроз. Компоненты Kaspersky Endpoint Detection and Response Expert (on-premise) развертываются на единой платформе управления Open Single Management Platform (OSMP). Интеграция с Kaspersky Endpoint Detection and Response Expert (on-premise) поддерживает все возможности интеграции с компонентом Kaspersky Endpoint Detection and Response (KATA), а также содержит новые возможности:
  • Запуск YARA-проверки. YARA-проверка – процесс, в ходе выполнения которого Kaspersky Endpoint Security использует YARA-файлы для поиска сигнатур вредоносной активности на устройстве.
  • Сбор форензики – цифровых данных, которые могут быть полезны при расследовании инцидентов, связанных с киберпреступлениями и утечками данных.
  • Отправка расширенных данных о событиях на устройствах (телеметрии) на сервер сбора телеметрии на платформе OSMP.
  • Отправка только телеметрии с индикатором атаки (Indicator of Attack, IOA) и поддержка пользовательских фильтров, заданных в политике в Web Console.
  • Активация компонента EDR Expert (OSMP), обеспечивающего интеграцию с Kaspersky Endpoint Detection and Response Expert (on-premise) и с Kaspersky Endpoint Detection and Response (KATA), путем добавления лицензионного ключа.
  • Выбор режима интеграции в параметрах задачи Интеграция с Kaspersky Endpoint Detection and Response Expert (on-premise) в командной строке или в свойствах политики в Web Console.
• Реализована возможность использования приложения в режиме Агента Endpoint Detection and Response для совместной работы на защищаемых устройствах решений Detection and Response от "Лаборатории Касперского" и антивирусных приложений от сторонних поставщиков. В этом режиме для защиты устройства не используются стандартные компоненты защиты и контроля Kaspersky Endpoint Security. Стандартную защиту устройства обеспечивает приложение от стороннего поставщика.
• Добавлена возможность создавать файлы трассировки приложения при первом запуске после его установки. Теперь вы можете включить создание файлов трассировки при первом запуске приложения в Web Console, в Консоли администрирования или в параметрах конфигурационного файла первоначальной настройки.
• Обновлен интерфейс политики в Web Console. Изменилась структура разделов в политике, чтобы быстрее находить нужные функции.
• Добавлена возможность выбрать режим перехвата трафика, который приложение использует в своей работе: использование технологии eBPF или использование утилиты iptables.
• Добавлена возможность выбрать источник телеметрии (только eBPF или eBPF и auditd). Для auditd вы также можете выбрать режим работы (монопольный режим или режим многоадресной рассылки).
• Реализована возможность выбрать режим отправки файлов и директорий на проверку в Sandbox: вручную, только автоматический, автоматический и ручной.
• Расширены возможности приложения при использовании в режиме Легкого агента:
  • Доступен механизм перехвата системных событий на основе обновляемого модуля ядра.
  • Доступен функциональный компонент Защита от эксплойтов.
  • Повышен уровень обнаружения угроз.
• Добавлена возможность использовать Kaspersky Private Security Network (KPSN) напрямую без помощи службы прокси-сервера KSN на Сервере администрирования.
• Добавлена возможность создавать политики для автономных пользователей в Web Console и Консоли администрирования. Политики для автономных пользователей действуют при выходе устройства из сети организации.
• При просмотре и экспорте списка точек монтирования в Web Console и в Консоли администрирования, а также при просмотре в командной строке, добавилось отображение информации о том, что точка монтирования обнаружена в пространстве имен.
• Доработан альтернативный механизм получения системной телеметрии в компоненте Анализ поведения на 64-битных операционных системах с версией ядра 4.18 и выше с поддержкой eBPF, который позволяет освободить ресурсы подсистемы аудита ядра auditd.
• Добавлена возможность включать в данные телеметрии при интеграции с Kaspersky Managed Detection and Response следующую информацию:
  • признак того, что событие произошло в контейнере;
  • идентификатор пространства имен контейнера;
  • имя контейнера.
• Обновлен список поддерживаемых операционных систем.

Справка
Скачать

< Предыдущая версия

Когда на конечном устройстве запускаю утилиту klnagchk то она показывает старые данные для местоположения, условия переключения не обновляются.
Политика изменится если я заново укажу сервер KSC через klmover. Но я не хочу вручную менять везде. Может я что то не учел?

Имеется проблема с установкой подключения ipsec vpn на  ALT Linux. При отключении касперкого соединение устанавливается. Отключение в политике "Защиты от веб угроз", "Защиты от сетевых угроз" не помогает.

В работе используется KESL 12.3, KSС 16.0, KSCWC 15.2.

Заблокировал powershell и cmd.

Кто нибудь сталкивался с таким и можете подсказать почему произошло ?

Спасибо за помощь.

может у кого было и решено? поддержка елеле катает резину вторую неделю, задача стоит 

Необходимый для обновления файл отсутствует на источнике обновлений баз.
/klshare/Updates/updaters/updater.xml
/klshare/Updates/index/u1901g.xml
/klshare/Updates/index/umeta.xml
/klshare/Updates/updaters/updater.xml
Обновить его с интернета нет возможности, закрытая сеть, вручную пробовал скопировать всю папку \KLSHARE\Updates прямо на 2й сервер, результат такой же. Версии серверов KSC 14.2
С внешки грузит нормально...куда копать?

в инфраструктуре организации впервые устанавливаем Kaspersky Endpoint Security после установки 

получаем на рабочих станциях сотрудников, у кого установлен агент ошибку при запуске Outlook, что имеется просроченный сертификат, выданный почтовому серверу Касперским по шаблону web-server, причём

срок действия сертификата 1 день в декабре в прошлом году

Хотелось бы понять в чём явная ошибка, т е как некий центр сертификации выдаёт сертификат из прошлого, особенно при условии, что его самого тогда и не существовало, во вторых, где он хранится...

я не смог его найти в хранилищах сертификатов ни на почтовом сервер ни на сервере, где установлен касперский, ни на локалmных рабочих станциях, где запускается outlook

около полугода назад уже существовало аналогичное обращение - там такой же сертификат создавался с такими же датами - только проблема у людей была в прошлом году -  даты сертификата прошлый год относительно их даты, но даты аналогичные, т.е. с 30 декабря до 31 декабря
причём они выполняли обновление, а у нас впервые развёрнута конфигурация уже 13 версии, а не 11.9, но даты такие же в самом сертификате

вот ссылка на обращение :

однако решение там фигурирующее...вот совсем нетривиальное - это пересоздание полностью политики или настройка проверки,

но это хитрый костыль, поэтому хотелось бы узнать

может с той поры стало известно как исправить проблему без этого ?