Jump to content

aehrlich

Members
  • Content Count

    383
  • Joined

  • Last visited

Everything posted by aehrlich

  1. Из руководства пользователя складывается впечатление, что возможно включить на компьютере с уже установленным Windows аппаратное шифрование (если железо это поддерживает, т.е. есть TPM, диск умеет AES256 и Opal/eDrive, WinPro/Ent, ...) на системном диске. Поскольку стандартными средствами Windows/BitLocker это либо невозможно, либо спрятано так, что Гугл об этом не знает, то вопрос: действительно ли это возможно с помощью Касперского, по крайней мере, по задумке разработчиков. В настройках политик смущает примечание у галки "Use hardware encryption; Note: if hardware-based encryption is unavailable, then software-based encryption is applied automatically" и галка "Encrypt used disk space only", отмеченная в то же самое время.
  2. Задача: исключить из проверки кеши всяких средств разработки, например, IntelliJ, Maven и т.д., которые свое файло держат в пользовательских каталогах: C:\Users\*\.IntelliJIdea14\ C:\Users\*\.IntelliJIdea2016.1\ Вопрос: как этого добиться в организации, где у каждого пользователя, естественно, свое имя и свой каталог под C:\Users? Help | File or folder name window говорит нам: Only file name masks with full paths to files can be entered. For example: C:\dir\*.* ... Или все врут Help врет и таки можно использовать маски в путях? KES 10.2.4.674 mr2, KSC 10.2.434
  3. Если Вы хотите услышать "да, закрывайте", то... да, закрывайте. Формально. Благодаря последующим (запоздавшим) ответам вирусных аналитиков по другим каналам. Но по сути -- плохая понимаемость и противоречивость содержания присланного мейла никуда не делась. Понять, что ввел пользователь, что пришло в качестве диагностики (особенно в предположительном случае, когда отправлял файл на сканирование один человек/усер, а результат на мейл получил друой/админ), сложно. Содержимое ответа-"диагностики" (точно не пользовательский ввод) "New malicious software was found in this file. It's detection will be included in the next update" точно не соответствует ситуации "отправляем файл с обнаруженной угрозой и подозренем на ложное срабатывание". Так что -- как хотите ;-/. А вдруг request for improvement сам собой заведется...
  4. Kaspersky Security Center | Administration Server XXX | Repositories | Backup | выбрать <проблемный компьютер/объект> | Send to Kaspersky Lab После скачивания и упаковки объекта вылезает Kaspersky Online Scanner (https://scan.kaspersky.com/Home/), заливает avp.zip, сканирует... Но, поскольку вирусные аналитики ЛК уже прислали ответ "Это было ошибочное срабатывание. Оно будет исправлено.", то воспроизвести дальнейшие действия не могу. А по памяти... память соврет "как очевидец". То, что онлайн-сканирование выдало один красный ответ из трех, это инфа 100%. А вот что я вводил после нажатия кнопки "I disagree with scan results" и был ли текст "Malware false positive" введен мной или выставлен системами ЛК, это я уже сказать не смогу, склероз, извините.
  5. Спасибо, кэп. Вы и тему письма "false positive" через гуглотранслейт прогоните?
  6. Загрузил файл, где обнаружился троян, на сайт Касперского. Не могу понять из ответа, ложное это срабатывание или троян таки присутствует. В теме письма: Re: [VirLabSRF][VD2][Malware false positive][M:1][LN:en][L:0] [KLAN-4702638731] В теле письма:
  7. После перезапуска службы klnagent (в виду статьи "Создание файла трассировки коннектора к агенту администрирования Kaspersky Security Center 10") статус проблемного клиента сменился с красного на зеленый. Логи могу выложить. И что с этим делать? Со включенными трассировками ждать, пока оно опять покраснеет?
  8. Я таки не понял. Я только что дождался воспроизведения проблемы, включил трассировки, выложил их. И Вы предлагаете мне проделать все то же самое заново? Чем этот "новый" раз дожен отличаться от "старого"? Да, пардон, "перезапустите службу агента чтобы включить трассировки коннектора" не делал, ограничился получением $klnagent-1103.log, ибо в инструкции по получению трассировок данного пункта не заметил.
  9. Простые решения... это было "на отвяжись"? Спасибочки, конешно (с) После перезагрузки безо всяких переустановок клиент видится в KSC "зеленым" (как уже писалось в этой теме), агент и антивирус рапортуются как запущенные. Может, все-таки можно решать проблемы не путем открывания-закрывания дверей у вставшей на шоссе машины?
  10. Хосты развертывались с предустановленным антивирусом, но без установленного сетевого агента; агент "персонально" устанавливался и подключался к KSC позже, после полного конфигурирования машины.
  11. Все машины в сети созданы с двух образов (W7Pro или W8.1Pro) с общим набором "общего" ПО. Специфичное... у каждого может быть свое (это все лаптопы разработчиков ПО или близкого по профилю народа), но общих черт я не вижу ни по базовому профилю, ни по специфичному установленному софту. Основная общая черта -- это все лаптопы (и те, где есть проблемы, и те, где проблем нет), где пользователь может в любой момент встать и уйти из локальной сети и пойти куда-то еще, подключить впн-другой-третий (а что делать, клиенты разные, впн-решения у них тоже бывают разные); хорошо еще если машину в sleep загонит перед покиданием сети, а может и просто из дока вынуть, под мышку сунуть и в wifi уйти. При общении с KSC используется две "частично подсети" (обычная проводная локальная и bridged VPN, подсеть для них на самом деле одна, 10.31.*.*), проблемы наблюдаются (или не наблюдаются) в обоих случаях.
  12. Нет, проблема невоспроизводима. Воспроизводим способ лечения -- ребут, но это же не наш метод. Количество подверженных проблеме машин колеблется около 10% от всего парка; часть проблемных машин постоянная, но появляются и исчезают проблемы на разных машинах. Агент, бывает, падает, но на той машине, откуда приложен дамп, агент работал (klnagchk) и _до_ дампа не падал (забавно, что он упал, вывалив дамп, в 17:17, т.е. _после_ дампов/sleep/resume). Правда, агент, хоть с утра и работал, но каждые 2 минуты выдавал в лог сообщение: [KLCONNAPPINST] Launched connector does not respond in a timeout. #1197 Operation failed because the timeout period expired klmover не помогает, переустановку агента не пробовал.
  13. Поднимаю тему. Агент обновлен до патча e: 10.2.434 (a; d; e). Поскольку проблема проявилась на моей машине, получил и прикладываю trace-500-файлы клиента. Вывод klnagchk не изменился. Starting utility 'klnagchk'... Checking command line options...OK Initializing basic libraries...OK Current computer is 'SHIRE\LAP-ALEX' Network Agent version is '10.2.434 (a; d; e)' Reading the settings...OK Settings verification...OK Network Agent settings: Used profile: 'LAN' Administration Server address: 'srv-kak-ice.icefire' Use SSL connection: 1 Compress traffic: 1 Numbers of the Administration Server SSL ports: '13000' Numbers of the Administration Server ports: '14000' Use proxy server: 0 Administration Server certificate: available Open UDP port: 1 Numbers of UDP ports: '15000' Profiles Profile name: 'VPN' Administration Server address: 'srv-kak-ice.icefire' Use SSL connection: 1 Compress traffic: 1 Numbers of the Administration Server SSL ports: '13000' Numbers of the Administration Server ports: '14000' Use proxy server: 0 Switch to out-of-office mode: 1 Profile name: 'LAN' Administration Server address: 'srv-kak-ice.icefire' Use SSL connection: 1 Compress traffic: 1 Numbers of the Administration Server SSL ports: '13000' Numbers of the Administration Server ports: '14000' Use proxy server: 0 Switch to out-of-office mode: 0 Locations Location name: Switch to VPN Profile to use: "VPN" Default gateway: none of 10.31.2.1 Location name: Switch to LAN Profile to use: "LAN" Default gateway: one of 10.31.2.1 Synchronization interval (min): 15 Connection timeout (sec): 30 Send/receive timeout (sec): 180 Host ID: 2c5be856-ebff-4631-b291-7cfcece297d1 Attempt to connect to the Administration Server...OK Attempt to connect to the Network Agent...OK Network Agent is running Receiving the Network Agent's statistical data...OK Network Agent's statistical data: Total number of synchronization requests: 50 The number of successful synchronization requests: 50 Total number of synchronizations: 9 The number of successful synchronizations: 9 Date/time of the last request for synchronization:17.05.2016 11:18:02 GMT (17.05.2016 14:18:02) Deinitializing basic libraries...OK kl1.7z
  14. Проделал эти телодвижения. Без изменений. Starting utility 'klnagchk'... Checking command line options...OK Initializing basic libraries...OK Current computer is 'SHIRE\LAP-LIINAP' Network Agent version is '10.2.434 (a; d)' Reading the settings...OK Settings verification...OK Network Agent settings: Used profile: 'LAN' Administration Server address: 'srv-kak-ice.icefire' Use SSL connection: 1 Compress traffic: 1 Numbers of the Administration Server SSL ports: '13000' Numbers of the Administration Server ports: '14000' Use proxy server: 0 Administration Server certificate: available Open UDP port: 1 Numbers of UDP ports: '15000' Profiles Profile name: 'VPN' Administration Server address: 'srv-kak-ice.icefire' Use SSL connection: 1 Compress traffic: 1 Numbers of the Administration Server SSL ports: '13000' Numbers of the Administration Server ports: '14000' Use proxy server: 0 Switch to out-of-office mode: 1 Profile name: 'LAN' Administration Server address: 'srv-kak-ice.icefire' Use SSL connection: 1 Compress traffic: 1 Numbers of the Administration Server SSL ports: '13000' Numbers of the Administration Server ports: '14000' Use proxy server: 0 Switch to out-of-office mode: 0 Locations Location name: Switch to VPN Profile to use: "VPN" Default gateway: none of 10.31.2.1 Location name: Switch to LAN Profile to use: "LAN" Default gateway: one of 10.31.2.1 Synchronization interval (min): 15 Connection timeout (sec): 30 Send/receive timeout (sec): 180 Host ID: f8a8ddf5-049f-4262-9e78-8512d1eb313b Attempt to connect to the Administration Server...OK Attempt to connect to the Network Agent...OK Network Agent is running Receiving the Network Agent's statistical data...OK Network Agent's statistical data: Total number of synchronization requests: 27 The number of successful synchronization requests: 26 Total number of synchronizations: 6 The number of successful synchronizations: 6 Date/time of the last request for synchronization:11.04.2016 13:03:06 GMT (11.04.2016 16:03:06) Deinitializing basic libraries...OK
  15. Установил, Force Refresh сделал. Результат прежний, красный. На вкладке Protection компьютера в KSC вот такие два взаимоисключающих статуса Computer status: Kaspersky Anti-Virus is not running Real-time protection status: Running (см. также скриншот).
  16. KES 10.2.4.674 mr2; Agent 10.2.434 a, d; KSC 10.2.434 d На клиенте есть единственный дамп ~killed-klnagent.exe-0.dmp (33 Мб в запакованном виде, выложу, если нужен и скажете, куда) от 07.04.2016, антивирус и агент работают (сервис запущен, klnagchk тоже показывает, что работает). С сервера команда "force refresh" проходит, статус клиента все равно остается "красным" (Kaspersky Anti-Virus is not running). При попытке "запустить" задачу антивируса из консоли KSC получаю сообщение об ошибке: Kaspersky Security Center - Failed to start application. Reason: application is not installed correctly on the computer. В качестве клиентов имеем дело с лаптопами, которые в любой момент могут "встать и пойти" (быть выдернутыми из локальной сети, усыпленными, подключенными по VPN в другую подсеть). Как жить?
  17. Да, больше не ругается. И, что радует, восстановил их из карантина антивирус тоже самостоятельно.
  18. Так зачем, если антивирус перепроверил карантин с новыми базами и вернул файлы на место?
  19. Антивирус уже сам понял, что ошибся. 11.03.2016 08:23 Event type: Object restored from Quarantine Application\Name: Kaspersky Endpoint Security 10 for Windows Application\Path: c:\program files (x86)\kaspersky lab\kaspersky endpoint security 10 for windows sp1\ User: lap-alex\alex (Active user) Component: Protection Result\Description: Restored from Quarantine Object: C:\Program Files (x86)\Sierra Wireless Inc\Dell Driver Package\Drivers\sys\amd64\SWLOCRM.dll Object\Type: File Object\Path: C:\Program Files (x86)\Sierra Wireless Inc\Dell Driver Package\Drivers\sys\amd64\ Object\Name: SWLOCRM.dll
  20. Сегодня с утра Advanced Disinfection пугает красными окошками. Result: Detected: HEUR:Trojan-Ransom.Win32.Onion.gen Object: C:\Windows\System32\drivers\swg3kser05.sys Object: C:\Program Files (x86)\Sierra Wireless Inc\Utils\SwiService.exe и еще 5 штук. После дезинфекции и перезагрузки устройство Sierra Wireless Location Sensor (ожидаемо) не работает. Устройство -- лаптоп Dell E7440 с карточкой "Dell Wireless 5570 HSPA+ (42Mbps) Mobile Broadband Card", откуда Сиерра, собственно, и приходит. З.Ы. Базы 11.03.2016 05:54.
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.