Jump to content
Sign in to follow this  
MDB93

Kaspersky administration KIT положил сеть на некоторых раб станциях

Recommended Posts

Добрый день!

25.10.13 Изменил некоторые политики для рабочих станций, конкретно - добавил в исключения вэб-антивируса один сайт. Как обычно, политика начала применяться на компьютерах. И применилась далеко не везде (какие-то компы выключены, какие-то вообще уже не сущесьвуют, и т.д.). Но есть компьютеры, которые в момент приминения политики были полностью функциональны и виделись в сети, но после попытки приминения это политики - на них внезапно упала сеть, и политика так и висит в статусе ожидания.

Привожу подробное описание проблемы на одном из таковых компьютерах (Win 7 x32):

1) После приминения политики перестал видиться в сети. В свою очередь сам тоже не может подключиться к сети.

2) Сетевой адаптер в системе виден (рис1), при диагностике средствами винды, не находит проблем. Состояние платы - "исправен", драйвера в норме (версия осталась прежней, файлы драйверов используются верные)

3) Само подключение в трее показывается с красным престиком (рис2) (типо не вставлен сетевой адаптер), хотя на самом деле сетевой шнур вставлен и плата реагирует (светодиоды периодически моргают).

4) В Центре управления сетями и общим доступом ничего не видно (рис3)

5) При просмотре сведений сетевого адаптера тоже пусто (рис4)

6) комманды ipconfig и ipconfig /all выдают следующие результаты (рис5)

 

Проблема возникла ОДНОЗНАЧНО в момент приминения политики касперыча на компах (в течении 1-2 минут после приминения, начали звонить пользователи с описанными выше проблемами). Все эти компы находятся в состоянии "ожидания приминения".

Уже и удалял сетевые адаптеры в диспетчере задач, и откатывал с последующей установкой драйвера, сбрасывал стек протокола TCP/IP коммандой

netsh int ip reset

, пытался делать восстановление системы с помощью автоматических точек восстановления, даже удалял полностью касперыча с компов (в том числе и агент), ничего не помогло. Проблема однозначно в винде, так как переустановка винды проблему решает. Такое ощущение что касперыч либо изменяет логику работы сетевого драйвера, или, возможно, не совместим с определенными типами железа (так как, повторюсь, проблема возникла далеко не на всех компах).

 

Надеюсь проблему описал доступно, нужно срочно решение и рекомендации - почему такое случилось, и как можно избежать в будущем

post-488869-1382769200_thumb.jpg

post-488869-1382769204_thumb.jpg

post-488869-1382769832_thumb.jpg

post-488869-1382769836_thumb.jpg

post-488869-1382769839_thumb.jpg

Edited by MDB93

Share this post


Link to post

Добрый день!

 

Пожалуйста сообщите какие версии программ вы используете?

 

Как сервера администрирования так и антивирусов.

 

Спасибо!

Share this post


Link to post

1) Kaspersky Administration Kit

 

ЗАО "Лаборатория Касперского"

 

Версия: 8.0.2177

 

2) Агент администрирования (8.0.2177)

3) Антивирус Касперского 6.0 для Windows Workstations MP4 (6.0.4.1424)

4) Антивирус Касперского 6.0 для Windows Servers MP4 (6.0.4.1424)

Share this post


Link to post

Здравствуйте!

 

Проверьте пожалуйста Ваш карантин.

Было ли у Вас детектирование вида: HEUR:Trojan.Win32.Generic in c:\Windows\System32\drivers\tcpip.sys.

 

Спасибо!

Share this post


Link to post

Да, в карантине присутствует!

Версию ос писал выше Win7 x 32 Unltimate

Share this post


Link to post

Добрый день!

 

Да, такая проблема есть.

 

Мы приносим Вам свои извинения за неудобства вызванные этой проблемой.

 

Она связана не с применением политики, это не вирус, а ложное детектирование tcpip.sys.

 

Пожалуйста, если Вы увидели сообщение HEUR:Trojan.Win32.Generic in c:\Windows\System32\drivers\tcpip.sys. - НЕ ПЕРЕЗАГРУЖАЙТЕ ТАКИЕ ХОСТЫ!

 

Для решения этой проблемы (даже если вы перезагрузили хост), мы можем порекомедовать Вам воспользоваться специальной утилитой (Если Вам подойдет такое решение)

 

Утилиту можно найти здесь - пароль к архиву: "kaspersky" без кавычек.

 

Инструкция находится здесь

 

Пожалуйста, не применяйте эту утилиту на всех хостах, для проверки лучше использовать ее для начала на одном хосте.

 

Пожалуйста сообщите нам о результатах!

 

С Уважением,

Служба Технической Поддержки.

Share this post


Link to post

Есть вопросы:

1) Что делать с теми раб. местами, где еще не было этой ситуации?

2) Каким образом можно устранить проблему, чтобы она больше не повторялась? Поможет ли занести tcpip.sys в доверенную зону?

3) Это что-то новое, или вы уже с этим встречались?

Share this post


Link to post

Здравствуйте!

 

Что делать с теми раб. местами, где еще не было этой ситуации?

 

Мы выпустили новое обновление, в котором отстутвует это ложное срабатывание.

Так что если проблема не возникала, то можно обновиться.

 

Так же эта проблема возникает только при использовании KAV MP4 на OS Windows 7 SP1 x86.

На прочих ОС эта проблема не возникает.

 

Каким образом можно устранить проблему, чтобы она больше не повторялась? Поможет ли занести tcpip.sys в доверенную зону?

 

Проблема не должна повториться. Выпущены новые обновления.

 

Более подробно о всей проблеме можно почитать вот здесь http://forum.kaspersky.com/index.php?showtopic=277119.

Все на английском.

 

Это что-то новое, или вы уже с этим встречались?

 

Новое.

 

Спасибо!

Share this post


Link to post

Добрый день!

 

Специалисты Лаборатории подготовили статью, в которй описывается решение проблемы с ложным детектированием.

 

Статью можно посмотреть здесь.

 

Мы приносим Вам свои извинения за предоставленные неудобства.

 

Спасибо!

Share this post


Link to post

Здравствуйте!

Наши специалисты разработали автоматическое решение для компьютеров, пострадавших от ложного детектирования tcpip.sys.

Решение применимо как к тем компьютерам, которые не перезагружались, так и к тем, кототрые были перезагружены.

Для получения этого решения напишите, пожалуйста, личное сообщение пользователю KL CentralSupport.

 

Примите наши искренние извинения за доставленные неудобства.

Share this post


Link to post

Добрый день!

Спасибо, но уже решаю проблему приминением ранее описанного Вами хикс-патча. Правда после приминения он срубает Domen Name компьютера, и приходится еще раз его прописывать. После чего все работает и базы обновляются на актуальные. Если все-таки необходимо использовать рекомендации по приведенному вами последнему письму, прошу сообщить.

Share this post


Link to post
Добрый день!

Спасибо, но уже решаю проблему приминением ранее описанного Вами хикс-патча. Правда после приминения он срубает Domen Name компьютера, и приходится еще раз его прописывать. После чего все работает и базы обновляются на актуальные. Если все-таки необходимо использовать рекомендации по приведенному вами последнему письму, прошу сообщить.

 

Здравствуйте,

 

Пожалуйста, уточните, правильно ли я понимаю, что Вы применяли "Способ 2: Компьютер был перезагружен, сеть не доступна"?

Share this post


Link to post
Добрый день!

Спасибо, но уже решаю проблему приминением ранее описанного Вами хикс-патча. Правда после приминения он срубает Domen Name компьютера, и приходится еще раз его прописывать. После чего все работает и базы обновляются на актуальные. Если все-таки необходимо использовать рекомендации по приведенному вами последнему письму, прошу сообщить.

Здравствуйте!

 

Да, пожалуйста, если у вас есть возможность - проверьте новое исправление.

Если будет возможность, то сообщите нам о результате!

 

Спасибо!

Share this post


Link to post
Здравствуйте,

 

Пожалуйста, уточните, правильно ли я понимаю, что Вы применяли "Способ 2: Компьютер был перезагружен, сеть не доступна"?

 

Именно так

Share this post


Link to post
Здравствуйте!

 

Да, пожалуйста, если у вас есть возможность - проверьте новое исправление.

Если будет возможность, то сообщите нам о результате!

 

Спасибо!

 

Все компы уже вылечил, новый способ пока не могу применить. Есть подозрение что такая же проблема есть на одной из наших удаленных точек, если так, то воспользуюсь последним решением и отпишусь

Share this post


Link to post
Все компы уже вылечил, новый способ пока не могу применить. Есть подозрение что такая же проблема есть на одной из наших удаленных точек, если так, то воспользуюсь последним решением и отпишусь

Спасибо за предоставленную информацию!

 

Ждем новостей!

 

С Уважением,

Виталий Кравцов

Share this post


Link to post
Добрый день!

 

Да, такая проблема есть.

 

Мы приносим Вам свои извенения за неудобства вызванные этой проблемой.

 

Она связана не с применением политики, это не вирус, а ложное детектирование tcpip.sys.

 

Пожалуйста, если Вы увидели сообщение HEUR:Trojan.Win32.Generic in c:\Windows\System32\drivers\tcpip.sys. - НЕ ПЕРЕЗАГРУЖАЙТЕ ТАКИЕ ХОСТЫ!

 

Для решения этой проблемы (даже если вы перезагрузили хост), мы можем порекомедовать Вам воспользоваться специальной утилитой (Если Вам подойдет такое решение)

 

Утилиту можно найти здесь - пароль к архиву: "kaspersky" без кавычек.

 

Инструкция находится здесь

 

Пожалуйста, не применяйте эту утилиту на всех хостах, для проверки лучше использовать ее для начала на одном хосте.

 

Пожалуйста сообщите нам о результатах!

 

С Уважением,

Служба Технической Поддержки.

 

Я воспользовался утилитой, только взял ее из статьи http://support.kaspersky.ru/tcpip

А в этой запароленной файлов не хватает. Сеть заработала, только RDP не работает. Пытаюсь выйти на удаленку сервера. Такая проблема у всех пострадавших компьютеров. У соседних все работает.

Share this post


Link to post
Я воспользовался утилитой, только взял ее из статьи http://support.kaspersky.ru/tcpip

А в этой запароленной файлов не хватает. Сеть заработала, только RDP не работает. Пытаюсь выйти на удаленку сервера. Такая проблема у всех пострадавших компьютеров. У соседних все работает.

 

Здравствуйте!

 

Пожалуйста, уточните в какой "запароленной" утилите не хватает файлов?

Можете подробнее описать?

 

Спасибо!

Share this post


Link to post

Добрый день.

После восстановления утилитой из статьи tcpip поднялся, но начались проблемы с dns. Кратко - nslookup резолвит, ping нет. По ip работает все.

ipconfig /flushdns не помогает, останов службы dnscache тоже.

Подскажите, в какую сторону копать?

 

Microsoft Windows [Version 6.1.7601]
© Корпорация Майкрософт (Microsoft Corp.), 2009. Все права защищены.

C:\Users\user>ipconfig /all

Настройка протокола IP для Windows

  Имя компьютера  . . . . . . . . . :
  Основной DNS-суффикс  . . . . . . :
  Тип узла. . . . . . . . . . . . . : Гибридный
  IP-маршрутизация включена . . . . : Нет
  WINS-прокси включен . . . . . . . : Нет
  Порядок просмотра суффиксов DNS . :

Ethernet adapter Подключение по локальной сети 3:

  DNS-суффикс подключения . . . . . : .
  Описание. . . . . . . . . . . . . : Atheros AR8152/8158 PCI-E Fast Ethernet Controller (NDIS 6.20)
  Физический адрес. . . . . . . . . : 00-25-22-CF-99-1C
  DHCP включен. . . . . . . . . . . : Да
  Автонастройка включена. . . . . . : Да
  IPv4-адрес. . . . . . . . . . . . : 192.168.4.16(Основной)
  Маска подсети . . . . . . . . . . : 255.255.255.0
  Аренда получена. . . . . . . . . . : 28 октября 2013 г. 18:22:30
  Срок аренды истекает. . . . . . . . . . : 5 ноября 2013 г. 18:22:30
  Основной шлюз. . . . . . . . . : 192.168.4.253
  DHCP-сервер. . . . . . . . . . . : 192.168.4.250
  DNS-серверы. . . . . . . . . . . : 192.168.4.250
                                      192.168.4.253
  Основной WINS-сервер. . . . . . . : 192.168.4.250
  NetBios через TCP/IP. . . . . . . . : Включен

Туннельный адаптер isatap..:

  Состояние среды. . . . . . . . : Среда передачи недоступна.
  DNS-суффикс подключения . . . . . : .
  Описание. . . . . . . . . . . . . : Адаптер Microsoft ISATAP
  Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
  DHCP включен. . . . . . . . . . . : Нет
  Автонастройка включена. . . . . . : Да

Туннельный адаптер Teredo Tunneling Pseudo-Interface:

  Состояние среды. . . . . . . . : Среда передачи недоступна.
  DNS-суффикс подключения . . . . . :
  Описание. . . . . . . . . . . . . : Teredo Tunneling Pseudo-Interface
  Физический адрес. . . . . . . . . : 00-00-00-00-00-00-00-E0
  DHCP включен. . . . . . . . . . . : Нет
  Автонастройка включена. . . . . . : Да

C:\Users\user>nslookup ya.ru
╤хЁтхЁ:  UnKnown
Address:  192.168.4.250

Не заслуживающий доверия ответ:
╚ь :     ya.ru
Addresses:  87.250.250.3
         87.250.250.203
         87.250.251.3
         93.158.134.3
         93.158.134.203
         213.180.193.3
         213.180.204.3
         77.88.21.3


C:\Users\user>ping ya.ru
При проверке связи не удалось обнаружить узел ya.ru.
Проверьте имя узла и повторите попытку.

C:\Users\user>ping 4.8

Обмен пакетами с 4.0.0.8 по с 32 байтами данных:
Ответ от 4.0.0.8: число байт=32 время=224мс TTL=43
Ответ от 4.0.0.8: число байт=32 время=223мс TTL=43
Ответ от 4.0.0.8: число байт=32 время=223мс TTL=43
Ответ от 4.0.0.8: число байт=32 время=223мс TTL=43

Статистика Ping для 4.0.0.8:
   Пакетов: отправлено = 4, получено = 4, потеряно = 0
   (0% потерь)
Приблизительное время приема-передачи в мс:
   Минимальное = 223мсек, Максимальное = 224 мсек, Среднее = 223 мсек

C:\Users\user>

Share this post


Link to post

 

Добрый день! Не внимательно читали мои коменты). Как писал ранее - фикс исправляет проблемы с сетью, но почему-то срубает DN компьютера. Пропишите его заново и да будет Вам счастье :rolleyes:

Share this post


Link to post
Написал Вам в ЛС.

Спасибо, сообщение получил.

По первому и второму вариантам - я так понял, они изменюят установленный MP4 и отличаются в основном приложенными базами для машин без инета. Я MP4 с проблемной машины убрал, так что в логах только Can't open product reg key и, соответственно, This version of product does not require this update.

Третье я делал сразу, повтор не помог.

К сожалению, машина нужна на производстве, поэтому дальше разбираться не стал, накатил образ системы.

Итог таков.

Под баг попали 6 машин.

4 восстановились запуском скрипта из статьи.

1 восстановилась после принудительной переустановки SP1 (удалил через wusa).

1 пришлось переустановить систему.

Share this post


Link to post
Спасибо, сообщение получил.

По первому и второму вариантам - я так понял, они изменюят установленный MP4 и отличаются в основном приложенными базами для машин без инета. Я MP4 с проблемной машины убрал, так что в логах только Can't open product reg key и, соответственно, This version of product does not require this update.

Третье я делал сразу, повтор не помог.

К сожалению, машина нужна на производстве, поэтому дальше разбираться не стал, накатил образ системы.

Итог таков.

Под баг попали 6 машин.

4 восстановились запуском скрипта из статьи.

1 восстановилась после принудительной переустановки SP1 (удалил через wusa).

1 пришлось переустановить систему.

Здравствуйте!

 

Спасибо за предоставленную информацию.

 

С Уважением,

Виталий Кравцов.

Share this post


Link to post
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.