Jump to content

fexig

Members
  • Content Count

    51
  • Joined

  • Last visited

About fexig

  • Rank
    Candidate

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Хорошо, параметр выставил. К сожалению, дальнейшие мероприятия сделать не могу, таким образом, закрываем. Спасибо
  2. Здравствуйте, Если смотреть логи событий, то отрабатывает не задача по поиску, а именно компонент политики (Постоянная защита файлов). Однако, в политике - Постоянная защита сервера - Настройка - Область защиты - Мой Компьютер (Настроить) - Настройка - Действия - и выставить параметр Полностью удалять неизлечимый составной объект при обнаружении вложенного зараженного или другого объекта? Все верно? Данный параметр будет отвечать за удаление полностью файла (составного), возможно зараженного объекта? т.е., в моей ситуации этот параметр бы помог? Спасибо.
  3. Спасибо. Где данная настройка устанавливается? К сожалению (в моем случае все же к счастью), файл удалили и дальнейшего анализа выполнить не могу. Не совсем понятно про что идет речь. Если вы имеете ввиду, что в политику, отвечающую за сервер вносились изменения в период детекта, то это человеческая деятельность или вы имеете ввиду иные действия?
  4. Папка Reports по пути ProgramData\Kaspersky Lab\Kaspersky Security for Windows Server\10.1 ? Папка передана отдельным личным письмом.
  5. Файл удалили, АВ перезапустили и события перестали генерироваться и следовательно трассировку собрать нет возможности.
  6. Добрый день! Произошло огромное количество срабатываний компонента Постоянная защита на один и тот же компонент. Завел запрос в CompanyAccount INC000009913510, но тк среднее время обработки около 2 дней, прошу ускорить процесс обработки данного инцидента. Форумчане, надеюсь и на Вашу помощь. Появляется событие - Обнаружен возможно зараженный объект, далее Объект помещен в резервное хранилище. Данные события начали повторяться снова и снова и в течении 30 минут произошло огромное количество. В н.вр. АВЗ выключена. Прошу подсказать в чем проблема работы компонента? Во вложении, события на устройстве. events.txt
  7. Хорошо, понятно. Спасибо, думаю, можно считать тему закрытой.
  8. Спасибо, жду информацию. Дополнительно, прошу подсказать, что за вердикт "not-a-virus", какие туда программы попадают, Ваша рекомендация по настройке
  9. Добрый день, Подтверждаю, что если в параметрах политики отключить вердикт "not-a-virus:*", то удаление данной утилиты происходит успешно. Однако: 1 - В событиях при обнаружении АВ относит данную утилиту к категории "HEUR:Trojan-PSW.Win64.Mimikatz.gen", а в параметрах выставлен "not-a-virus:*". Таким образом, прошу пояснить какие утилиты попадают в категорию с вердиктом "not-a-virus" и как выполнить корректную настройку? Отключить данный компонент? 2 - При включенном параметре, из директории x32 утилита удаляется (Trojan-PSW.Win32.Mimikatz.gen), из x64 нет. Почему имеется какое-то различие? Спасибо. PS думаю, что отчет GSI не нужен, если ошибаюсь прошу поправить.
  10. Добрый день. Прошу подсказать, по какой причине KSWS 10.1.1.746 не удаляет все файлы, относящиеся к mimikatz? В частности, при распаковке данной утилиты, АВ удаляет все файлы, кроме исполняемого файла из папки x64 - mimikatz.exe и данный файл удается запустить на выполнение!!! КАК ТАКОЕ ВОЗМОЖНО?! Во вложении, политика, утилиту скачивал с github в формате zip. Прошу срочно помочь разобраться! Спасибо. KSWS_10.1.klp
  11. Похожая проблема была. Выполняли "чистку реестра" - данная ветка относилась к KES10SP1. Создаешь бат файл и запускаешь задачу через KSC. REG DELETE HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Installer\Products\1A2914A74C4809E43AB14B48C78A2EA3 /f После этого успешно проходит удаление. Есть одно НО, на устройствах, где была запущена задача по удалению старой версии/установке KES11 через KSC - помогло только одно решение - kavremover. Попробуйте на 1-2 ПК. Думаю Вам поможет.
  12. Добрый день, Anna.Zelenova ! Пока писал, специалсит из ЛК Вам ответил (Самое верное - собрать GSI-отчет и передать информацию специалистам из ЛК) Однако, У меня есть 2 предположения: 1 - Вычистить kavremover'ом все предыдущие следы KES. В последнее время, я проделываю следующее: сначала, удаляю KES, который был предложен в автоматическом режиме, а затем по уменьшению версии (пример, KES11-KES10SP2-KES10SP1). И установить необходимый KES. Примечательно, что WIN10 ver 1803 c KES10SP2 mr1 несовместимы (подробнее тут)! 2 - Вшить в инсталляционный пакет в файл Kes_win.kud строку (Params=/s /pAKINSTALL=1 /pEULA=1 /pSKIPPRODUCTCHECK=1 /pSKIPPRODUCTUNINSTALL=1 /pPRIVACYPOLICY=1 /pKSN=0). PS У меня например проблема при переходе с KES10SP2 на KES11. В реестре по какой-то причине подвисли ключи и при создании задачи на установку KES11 заканчивается с ошибкой, что якобы невозможно удалить старую версию. Найденное решение - чистка ветки реестра от старой версии и последующей установки.
  13. Насколько, я понимаю, то речь идет об устройстве, где установлена KSC. И из KSC вам нужно выполнить экспорт активной политики.
  14. Добавил еще одну подсеть 172.22.17.0/24. Опрос проходит успешно. Вообщем, как я понял Ваше предложение настроить отдельные IP-диапазоны. Думаю, что вопрос решен. Спасибо, огромное.
  15. Пока нет. Попробовал исключительно на одной под сети и заработало.
×

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.