Jump to content
DartVEL

Обнаружен троян в письме - как обработать? [Решено]

Recommended Posts

Здравствуйте!

KES 10.2.2.10535 (mr1) стоит на Windows 7 x64 Pro.

Вот уже несколько дней антивирус сообщает, что нашел трояна в письме.

Никак не могу избавиться от этого!

 

Прилагаю скрин и текст сообщения:

15.06.2015 12:26:17    Обнаружено    троянская программа Trojan-Downloader.MSWord.Agent.lu    [From:<postmaster@acyclea.fr>][Subject:**SPAM**  Undeliverable: Solde dette CC91][Time:2015/06/09 11:57:15]//message/rfc822//2C91C_DA4C36874A0.doc    Высокая

 

В необработанных файлах есть 2 варианта решения:

1. Перепроверить - информация о вирусе уходит, но через пару часов снова появляется.

2. Удалить - также помогает на пару часов (данный пункт по ощущению лишь удаляет уведомление о проблеме, но не удаляет саму проблему)

 

Каждый раз появляется уведомление на одно и тоже письмо (от 9 июня 11-57).

 

На ПК стоит Outlook 2013 с корпоративной почтой. Все непонятные письма удалены, в т.ч. из корзины. Уведомление антивируса приходит даже когда Outlook закрыт. Корпоративную почту собирает Kerio.

Также пользуюсь почтой на Яндексе, открытой через Google Chrome.

Помогите пожалуйста разобраться.

post-558431-1434375814_thumb.jpg

Share this post


Link to post
Здравствуйте!

KES 10.2.2.10535 (mr1) стоит на Windows 7 x64 Pro.

Вот уже несколько дней антивирус сообщает, что нашел трояна в письме.

Никак не могу избавиться от этого!

 

Прилагаю скрин и текст сообщения:

15.06.2015 12:26:17    Обнаружено    троянская программа Trojan-Downloader.MSWord.Agent.lu    [From:<postmaster@acyclea.fr>][Subject:**SPAM**  Undeliverable: Solde dette CC91][Time:2015/06/09 11:57:15]//message/rfc822//2C91C_DA4C36874A0.doc    Высокая

 

В необработанных файлах есть 2 варианта решения:

1. Перепроверить - информация о вирусе уходит, но через пару часов снова появляется.

2. Удалить - также помогает на пару часов (данный пункт по ощущению лишь удаляет уведомление о проблеме, но не удаляет саму проблему)

 

Каждый раз появляется уведомление на одно и тоже письмо (от 9 июня 11-57).

 

На ПК стоит Outlook 2013 с корпоративной почтой. Все непонятные письма удалены, в т.ч. из корзины. Уведомление антивируса приходит даже когда Outlook закрыт. Корпоративную почту собирает Kerio.

Также пользуюсь почтой на Яндексе, открытой через Google Chrome.

Помогите пожалуйста разобраться.

 

Здравствуйте.

 

Пожалуйста уточните, включен ли в KES функционал Advanced Disinfection?

 

Спасибо.

Share this post


Link to post
Здравствуйте.

 

Пожалуйста уточните, включен ли в KES функционал Advanced Disinfection?

 

Спасибо.

 

Здравствуйте!

Технология лечения активного заражения выключена.

Попробую включить.

 

P.S. интересно бы узнать где сидит эта зараза, а именно вроде как письмо, в котором находится троян.

Проблему я бы решил ручным удалением файла, но не могу его найти.

Share this post


Link to post

Добрый день.

 

Вы можете просканировать (проверить на вирусы) все объекты.

 

Если удастся таки локализовать зловред, то просим вас выслать его в запароленном архиве с паролем: virus на newvirus@kaspersky.com

 

 

Спасибо.

Share this post


Link to post
Добрый день.

 

Вы можете просканировать (проверить на вирусы) все объекты.

 

Если удастся таки локализовать зловред, то просим вас выслать его в запароленном архиве с паролем: virus на newvirus@kaspersky.com

Спасибо.

 

Полная проверка ПК не выявила угроз (за исключением одного нужного архивчика).

 

Но необработанный файл (письмо с трояном) опять появился.

Лечение активного заражения молчит.

Попробовал удалить всё из Карантина и Резервного хранилища.

На Необработанном файле нажал Перепроверить и оно как всегда исчезло. Посмотрим появится ли опять, ждем.

 

P.S. Почта Outlook качает письма с локального IMAP-сервера. На самом сервере нет письма от 9 июня.

Есть еще одно предположение где покопаться на сервере, но это проверю позже и отпишусь.

Share this post


Link to post
Будем ждать от Вас ответа.

 

Спасибо.

 

Пока тишина.

Как вариант, помогла чистка Карантина и/или Резервного хранилища.

Может и получалось так, что объект изначально попал в Необработанные, потом я его Удалил, этим действием объект попал в Резервное хранилище (или Карантин) и регулярно при каком-то действии (скажем после обновления) объект снова из хранилища попадал в необработанные?

Где-то помню на эту тему есть галочка типа "проверять объекты на карантине после обновления"?

:blink:

Share this post


Link to post

Добрый день.

 

В свойствах политики для KES, в узле отчёты и хранилища вы так же можете увидеть настройки, касающиеся карантина.

 

Спасибо.

 

 

Share this post


Link to post
Добрый день.

 

В свойствах политики для KES, в узле отчёты и хранилища вы так же можете увидеть настройки, касающиеся карантина.

 

Спасибо.

Добрый день.

 

Да, да. Оно так и есть у меня.

Так что как вариант, именно в этом и было дело. Вот уже пол дня KES молчит.

Но точно сказать можно будет когда (если) придет какой-нибудь спам с вирусным вложением - для воссоздания картины.

 

Если всё действительно так, возникает вопрос:

Почему пользователь получает уведомления на один и тот же зараженный объект, если ранее уже было сказано Удалить (и видимо автоматом поместить в резервное хранилище)?

И разве не подразумевается, что проверка Карантина после обновления нужна лишь чтобы восстановить объект если позднее он будет признан чистым или нужным? Но если объект уже там, зачем повторно уведомлять пользователя в окне Необработанные файлы?

Share this post


Link to post

Пожалуйста попробуйте выполнить следующие действия:

1. В контейнере Выборка клиентских компьютеров> События> критические события удалите строки There are unprocessed objects (Необработанные объекты)

2. Локально в программе KES 8 в отчёте веб антивируса так же удалите эти события

3. Подождите 15-20 минут.

 

 

Спасибо.

Share this post


Link to post
Пожалуйста попробуйте выполнить следующие действия:

1. В контейнере Выборка клиентских компьютеров> События> критические события удалите строки There are unprocessed objects (Необработанные объекты)

2. Локально в программе KES 8 в отчёте веб антивируса так же удалите эти события

3. Подождите 15-20 минут.

Спасибо.

Извиняюсь, но мне ли предназначается это сообщение?

В KSC в отчетах нет критических событий по данному компьютеру.

Более того, на самом ПК информацию по проблеме нашел лишь в графе "Системный аудит".

Отчет веб-антивируса в KES 8 явно не мне... (?)

Сейчас проблема (постоянное появление одного и того же необработанного файла) не актуальна. Думаю подождем до завтра.

 

Share this post


Link to post
Извиняюсь, но мне ли предназначается это сообщение?

В KSC в отчетах нет критических событий по данному компьютеру.

Более того, на самом ПК информацию по проблеме нашел лишь в графе "Системный аудит".

Отчет веб-антивируса в KES 8 явно не мне... (?)

Сейчас проблема (постоянное появление одного и того же необработанного файла) не актуальна. Думаю подождем до завтра.

 

 

Для KES 8 в данном случае рекомендации аналогичны.

 

Пожалуйста сообщите о конечном результате нам.

 

 

Спасибо за сотрудничество.

 

 

Share this post


Link to post

Здравствуйте!

Как я уже писал, есть подозрение, что помогла просто чистка Карантина и Резервного хранилища. (По идее, достаточно было чего-то одного)

Осталось лишь непонимание работы функции "проверять объекты на карантине после обновления", т.к. (опять же если подозрение верно) именно это вызывало постоянные напоминания о трояне в письме. Напоминание путем вывода сообщения и на сервере KSC, и на рабочей станции.

Ну а поскольку проверить на 100% верность данного решения проблемы не представляется возможным, давайте возьмем это на заметку и закроем данный вопрос.

Спасибо за помощь.

Share this post


Link to post

Здравствуйте,

 

Спасибо за информацию!

 

Пожалуйста, оцените оказанную помощь, используя опцию "Rating" в названии топика!

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.