HalfHuman

Members
  • Content count

    34
  • Joined

  • Last visited

About HalfHuman

  • Rank
    Candidate
  1. нет, там файл в архиве (я думаю, что уже ни для кого не секрет, что docx/xlsx/pptx это пожатые ZIPом папки с файлами xml), файл реально внутри есть. что делает файл после запуска - не знаю, не помню, что там было, когда я исследовал файл в прошлом году, а сейчас уже неинтересно ковыряться. при перепроверке файл из карантина вынимает во временную папку, сканирует его, находит зловреда, удаляет временный файл, пытается открыть или что-то сделать с именем файла с учетом нахождения его в контейнере по оригинальному пути, создает файл в необработанных с именем файла, который открыть не смог, при этом время файла в карантине не меняется. на другие файлы срабатывает по-другому: при проверке файл пропадает из списка карантина, потом заново там появляется с новым временем (текущее время проверки) складывается впечатление, что из-за попытки что-то сделать с несуществующим именем файла в контейнере логика перепроверки дает сбой и не убирает за собой мусор. и обычно при исследовании вирусов я употребляю выражение "открыть файл" подразумевая нажатие F3 (просмотр) в FAR Manager.
  2. В моем случае при попытке по дате изначального файла найти письмо - при просмотре письма антивирус успешно удалил из письма весь файл (само письмо уже хранилось локально в PST), при этом не положил оригинал (само тело письма) в резервное хранилище. Так что я играюсь с самим файлом, который тогда при получении сохранил из письма.
  3. нет, не появляется. и об этом я тоже писал 31.03.2017 11:13 "при удалении из карантина перестал проявляться" у меня в карантине 5 файлов, а постоянно появляется только два - одного типа, они на скриншоте два разных файла. То есть какие-то зловреды антивирус обрабатывает некорректно. - вытаскивает, проверяет и запихивает в необработанные. Другие - как лежали молча в карантине, так и лежат. То, что антивирус перепроверяет файлы после получения обновления - нормально. Но то, что он два из 5 вытаскивает в необработанные - ненормально. то есть если удалить файлы из необработанных и в карантине на 5 файлов сказать - перепроверить, то 2 из них появляются в необработанных. Причем интересная особенность - в списке карантина дата события у тех файлов, которые появляются в списке необработанных - не меняется. А у трех других, которые не появляются в необработанных - устанавливается дата события, равная дате проведению перепроверки. (как после обновления, так и вручную). такое впечатление, что попадаются файлы, на которых процедура перепроверки падает в ступор - и при этом файл попадает в необработанные и не меняется дата события.
  4. воспроизвел в виртуалке, только у антивируса по умолчанию базы 13.07.2016 18:37:00 не видят зловреда. пришлось обновить антивирус (забрал папку Updates и через неё обновился) - тогда при проверке файла антивирус его добавляет в карантин и каждый раз при перепроверке файл попадает в необработанные. оставаясь при этом в карантине.
  5. да что вы прицепились к письму? без разницы, как получен файл - операция выполняется над файлом! я уже описал, как воспроизвести. специально файл выложил, под паролем, чтобы антивирус его раньше времени не приговорил, описал как все делать. да, файл в карантине, и проверяется каждый раз при обновлении баз, я об этом уже писал. вы правда ни разу не видели файл в необработанных? прилагаю скрин.
  6. У файлового, почтового и веб-антивируса стоит "выбирать действие автоматически"
  7. удалить письмо на сервере нет возможности. во-первых, само письмо уже давно переехало ко мне в архив PST, во-вторых, сервер сдох в сентябре 2016. проблема не с почтой. проблема с файлом. я воспроизвел ситуацию на файловом уровне. в 11:13 я написал: научился воспроизводить: берем файл отсюда https://cloud.mail.ru/public/89aY/86UZtAx9H - файл ~WRO0001-201703331.rar, пароль KASPERSKY, внутри тот самый ~WRO0001.doc кидаем в папку при попытке доступа - файл невозможно прочитать. но! надо проверить файл на вирусы (хоть его персонально, хоть в результате полной проверки дисков), после чего он попадает в карантин и потом начинает постоянно падать в необработанные объекты при каждой перепроверке, хоть вручную, хоть по обновлению баз. Воспроизвел ситуацию у коллеги
  8. вредонос в письме был аналогичной (на мой взгляд) ситуации у пользователя в топике "Обнаружен троян в письме - как обработать? [Решено]" https://forum.kaspersky.com/index.php?showtopic=32518 мой файл был получен из письма 02.03.2016 в 14:46, сейчас я это письмо нашел, внутри пересланное как вложенное письмо-подделка из ростелекома от той же даты 14:10, но сейчас оно даже вложенное с темой "Message has been disinfected : doc" и дата изменения письма в папке Oultook - сегодня только что 31.03.2017 15:29. Скорее всего я тогда исследовал это вложение, но ни скриншотов с вирустотал, ни другой информации за это время не нахожу. как вредонос файл в папке временный файлов word определен 20.10.2016 21:07:53 и с тех пор находится в хранилище резервных файлов (точне, "находился" , так как я его восстановил 28.03.2017 в 16:44 и файл из хранилища пропал). зачем вам подробности про почтовый сервер, если у вас есть файл и известно, что с ним нужно делать, чтобы воспроизвести проблему? сообщаю, хотя реально не понимаю, зачем это вам: на тот момент это был наш внутренний почтовый сервер с установленным KES10 (компоненты Файловый антивирус, сетевой экран и защита от сетевых атак), точно не вспомню версию, который получал почту из интернет через проброшенные порты с интернет шлюзов от двух провайдеров. Exchange 2003. Без модулей антивируса для Exchange или SMTP.
  9. по детектированию особо ничего не видно создается временный файл в обычной папке TEMP, читается, удаляется и в это время пытается открыть папку-контейнер, которой нет. при удалении из карантина перестал проявляться вручную добавить в карантин - не помогает (появляется 2 файла в карантине, сам doc и внутренний word/document.xml) научился воспроизводить: берем файл отсюда https://cloud.mail.ru/public/89aY/86UZtAx9H - файл ~WRO0001-201703331.rar, пароль KASPERSKY, внутри тот самый ~WRO0001.doc кидаем в папку при попытке доступа - файл невозможно прочитать. но! надо проверить файл на вирусы (хоть его персонально, хоть в результате полной проверки дисков), после чего он попадает в карантин и потом начинает постоянно падать в необработанные объекты при каждой перепроверке, хоть вручную, хоть по обновлению баз. Воспроизвел ситуацию у коллеги
  10. нет, не пробовал я так понимаю проблема в том, что по какой-то причине антивирус после получения обновления баз вытаскивает на свет божий откуда-то какой-то файл, заново его проверяет и пишет бред в логах (по другому ругань на файл по несуществующему пути назвать тяжело) при переустановке вчистую (если удалять карантин и резервное хранилище) неоткуда будет вытаскивать файл для проверки - такой проблемы не будет, просто глюк антивируса будет маскироваться отсутствием файлов в карантине или где там ещё. по поиску "перепроверить объекты в карантине после обновления касперский" в гугле нашел топик на этом же форуме с аналогичной проблемой "Обнаружен троян в письме - как обработать? [Решено]" https://forum.kaspersky.com/index.php?showtopic=325185 устранением (но не решением) проблемы была очистка файлов из карантина и резервного хранилища. то есть этот глюк, хоть и достаточно редко (а может и не редко, просто не все обращают внимание на необработанные объекты или не обращаются), проявляется как минимум с KES 10.2.2.10535 (mr1) 15.06.2015 проверил - после удаления файла в "необработанных" - нужно в "карантине" на файле ткнуть "перепроверить" - файл пропадает из "карантина", сразу же появляется вновь (дата обнаружения остается старой) и, вуаля, на вкладке "необработынные файлы" мы снова видим под текущим временем файл. есть предположение, что такая проблема возникает при обработке файлов-контейнеров (у меня docx, по сути - zip, в топике трояна в письме - контейнер - само письмо с вложением) - антивирус вытаскивает файл во временное расположение, при этом перенося его в "необработанные", проверяет его, а удалить не может тот путь, который указан у первоначального файла. и "необработанный" продолжает мозолить глаза и статистику. буду посвободнее, попробую просмотреть прокмоном подробнее.
  11. то, что журналы будут записываться на жесткий диск вместо ssd, в случае нормально написанного софта, отдельным процессом или хотя бы тредом - никак на производительности не отразится, а постоянная перезапись ssd таки уменьшает его ресурс. к тому же опять таки цена гигабайта ssd выше цены hdd, и ssd при одной цене с hdd будет поменьше, что вызывает желание перенести чего-нибудь, чтобы место освободить. антивирус с его базами должны сидеть в памяти, иначе за каждым действием будет лезть на диск, что крайне затормозит систему - значит производительность упадет только в момент загрузки всей системы, например на загрузку антивируса потратится 10 секунд вместо 5 (цифры с потолка) получается переносом антивируса с hdd на ssd мы увеличиваем ресурс ssd, жертвуя только несколькими секундами на старте системы. у меня дома, например, ssd 128 гб и свободно всего 2.8 гб. папки антивируса на работе занимают чуть больше 4 гб. если бы я вдруг решил поставить антивирус дома - софт размером в 4 гб - хороший кандидат на перенос. а хранение информации в dram, ssd и hdd - три совершенно разные процесса
  12. поискал бегло - так и не понял, зачем память урезать
  13. забыл сказать, но может это в логах будет понятно - теперь время обнаружения файла 14:00:38
  14. поймал судя по всему файл возвращается сразу после обновления баз. архив с записью procmon (где-то минута, остальное вырезано) и файлы трейса с уровнем 600 тут - https://cloud.mail.ru/public/5CXH/xKVuDszrx файл procmon есть и более подробный, но может и этого хватит
  15. на обед поставил procmon с мониторингом папки файл в необработанных снова появился в 13:00:39 avp.exe в этот момент делал две операции CreateFile,на первую получил результат (путь "C:\documents and settings\username\appdata\local\microsoft\windows\temporary internet files\content.word\~wro0001.doc\word\") REPARSE, на вторую (путь "C:\Users\USERNAME\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.WORD\~WRO0001.DOC\WORD" )PATH NOT FOUND. пути скопировал из procmon - первый через document and settings, сточными и бэкслэш в конце, второй через Users и всё, кроме Users - прописными и без бэкслеша в конце. в момент удаления обращения к папке нет. попробую "поймать"это событие, судя по всему оно происходит с периодичностью один-два часа почти ровно в начале часа.