Jump to content

Galivut

Members
  • Content Count

    34
  • Joined

  • Last visited

About Galivut

  • Rank
    Candidate

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Нет, т.к. проблемных хостов нет. Событие зафиксировано на домен-контроллере. Что имеется ввиду под "обновить хост"? Установить последнюю версию программы защиты? Воспроизведение тоже проверить проблематично, т.к. вызвать это специально мы не сможем, т.к. не определены причины срабатывания.
  2. Сообщение выходило в пятницу 15.03.2018 всего 4 раза за день. В эти моменты ничего особенного не было. На самом домен-контроллере никакой активности не происходило. С клиентских компьютеров происходило подключение к серверу jabber с использованием автоматической доменной аутентификации. Если срабатывания антивируса происходили на эти события, то вопрос почему в сообщении отображается некорректно имя учетной записи.
  3. Операционная система: Microsoft Windows Server 2008 R2 Версия Агента администрирования: 10.5.1781 Версия программы защиты: 11.0.0.6499
  4. Здравствуйте. Касперский выдал событие: Помогите с им разобраться. DC1 - это домен-контроллер. Локально на нем работают под учеткой root. На домен-контроллере поднят домен MAIN. Исходя из описанного в событии получается, что идет подбор паролей для входа в учетную запись MAIN\DC1$. Но в домене такой учетной записи нет. Перелопатили весь журнал событий на домен-контроллере, нет там событий с учетной записью MAIN\DC1$. И нет событий из под учетной записи MAIN\root. Непонятно откуда Касперский формирует такое событие Нашли несколько десятков событий (с маленьким промежутком, как раз подходит по времени под описание) такого вида: Здесь, видимо, из под учетки MAIN\openfire запрашивается доступ к системным службам сервера DC1. Но Касперский считает, что это попытки входа под учеткой MAIN\DC1$. Возможна ли такая ошибка?
  5. Файл был подписать подписью Microsoft, но весил подозрительно много. Никто не смог вспомнить откуда же он был взят и неизвестен источник сборки. Посему файл был просто удален, а internet explorer установлен заново штатными средствами ОС. Спасибо за помощь. Прошу закрыть заявку.
  6. Не получается. Сервис не принимает файл более 50 МБ.
  7. Здравствуйте. На компьютере сотрудника стоял Internet Explorer 9 portable. Стоял продолжительное время, с его помощью велась работа только с порталами гос органов. Проблем никогда не было. И вдруг неожиданно антивирус поругался на него следующим событием: Критическое событие Событие "Обнаружен вредоносный объект" произошло на устройстве KOMP в Windows-домене DOMAIN 27 декабря 2018 г. 15:44:52 (GMT+03:00) Результат: Обнаружено: PDM:Trojan.Win32.Generic Пользователь: DOMAIN\user (Активный пользователь) Объект: d:\internet explorer 9 portable\internet explorer.exe Причина: Поведенческий анализ Дата выпуска баз: 27.12.2018 13:58:00 Хеш: 9d6ff19d76eb8edef70329afac820cb1ee5cc08c8af2c22271c67c3f77ddcf8b Ссылку на файл отправил сообщением на KLCentralSupport. Просим проверить его и дать вердикт, можно с ним работать или нет, и чем могло быть вызвано такое срабатывание.
  8. Проверил, связь с сервером есть с проблемных компьютеров. Вот только обнаружил, что в там в локальных логах тоже очень мало событий, намного меньше, чем предусмотрено собирать политикой. Также увидел, что с проблемных компов при включении утром приходит событие "Автоматическое обновление выключено". Возможно ли, что проблема как раз наоборот при связи от сервера до хостов, и там как-то некорректно применяется политика?
  9. Добрый день. Сервер с KSC 10.4.6000 стоит в подсети 192.168.100.*. Клиенты в подсетях 192.168.100.* и 192.168.0.* работают без нареканий. Но есть 2 компа с KES 10.2.2.10535 в подсети 192.168.26.*, они вроде бы работают, но события передаются не все, а очень выборочно. Только события о применении политик, и о некоторых ошибках. Остальные события на сервер не приходят. И не могу с сервера на эти компы запускать задачи проверки и инвентаризации. Может ли быть это связано с тем, что на межсетевом экране блокируются какие то необходимые порты и протоколы? Если да, то какие должны быть открыты, для того чтобы приходили все события, как и с остальных клиентских устройств?
  10. Здравствуйте. Логи ДНС-сервера периодически ловят активность от файл-сервера на подозрительные домены типа "www.tx52f3r7reyylvjhojbtya3y.com", "www.6t2bmqk5adqv4m6qimtaeohl.com", "de.eu.alibabadns.com" и тому подобное. При том, что на самом файл сервере никакой активности нет. Посторонних программ не запускается, постоянно работает только антивирус. В диспетчере задач лишних процессов не обнаружено. Есть подозрение что это работает какая-то вирусная закладка. В политике KSC в настройках сетевого экрана установили сбор исходящих и входящих DNS запросов в отчет. Смотрим что собирается на файл-сервере. А там: 11.07.2018 15:38:52 Неизвестно UDP Разрешено 192.168.100.6 53 192.168.100.8 57606 Все сети MAIN\admin_fileserver Активный пользователь Сетевое правило #16 11.07.2018 15:39:04 Неизвестно UDP Разрешено 192.168.100.6 53 0.0.0.0 61422 Все сети MAIN\admin_fileserver Активный пользователь Сетевое правило #16 11.07.2018 15:39:04 Неизвестно UDP Разрешено 192.168.100.6 53 192.168.100.8 61422 Все сети MAIN\admin_fileserver Активный пользователь Сетевое правило #16 11.07.2018 15:39:04 Неизвестно UDP Разрешено 192.168.100.6 53 192.168.100.8 61422 Все сети MAIN\admin_fileserver Активный пользователь Сетевое правило #16 И таких событий десятки в минуту. Написано какая "программа" - неизвестно. Вопрос: почему Касперский не видит программу, инициирующую соединение? Каким образом можно все же просмотреть эту информацию?
  11. Здравствуйте. KES 11.0.6499 сработал на два трояна: HEUR:Trojan.Multi.Crypren.gen и HEUR:Trojan.Multi.Crypmod.gen по причине "Поведенческий анализ", объект "Внешняя программа". В сведениях о них не указано с каким файлом они связаны. Указывается только Удаленная сессия: 0x60e3e706. Объект на котором это происходит - это файловый сервер. Где можно почитать информацию по данным типам вредоносов? Как в самом касперском узнать подробнее название или программу на которую происходит срабатывание?
  12. Собрал GSI при пустой политике с настройками по умолчанию. Все равно в журнале масса событий "Объект не обработан" и "Пропущено". Ссылку на архив направил в 12:34 25.06.2018 на общий профиль поддержки ЛК KLCentralSupport
  13. Добрый день. Подскажите, есть какая-либо информация по нашей проблеме? Сейчас ставим на компьютеры KES 11.0.0.6499. И с ним такая же проблема. Около 80% всех событий это "Объект не обработан" и "Ошибка обработки".
  14. Переделал отчет GSI на другом компьютере с теми же симптомами. Теперь все получилось правильно. Отправил его на общий профиль поддержки ЛК KLCentralSupport
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.