Jump to content
  • Announcements

    • Rodion Nagornov

      Долгое сохранение сообщений || Delays while posting   09/20/2017

      По техническим причинам возможно визуально долгое отправление сообщений на форуме. Фактически ваше сообщение публикуется мгновенно - долго отрабатывает графика. В случае подобной ситуации, пожалуйста, сначала обновите страницу (F5) и проверьте, появилось ли ваше сообщение. Не пытайтесь сразу отправить его заново.  || Due to some technical reasons visual delays are possible while message sending. Actually your message is published immediately - just interface works long. In such case, please, do not re-send your message immediately! Press F5 to reload the page and check if your message/topic is published.
Sign in to follow this  
HalfHuman

Постоянно обнаруживается несуществующий файл в необработанных объектах [В процессе]

Recommended Posts

20.10.2016 на моей рабочей станции был вылечен файл в %USERPROFILE%\AppData\Local\Microsoft\Temporary Internet Files\Content.Word\~WRO0001.doc (лежит в резервном хранилище).

в это же самое время в карантине появился файла %USERPROFILE%\AppData\Local\Microsoft\Temporary Internet Files\Content.Word\~WRO0001.doc//word/document.xml объект "троянская программа HEUR:Exploit.MSWord.CVE-2015-1641.gen"

спустя продолжительное время для улучшения статистики стали очищать необработанные файлы, я посмотрел, что это часть файла и заархивировал весь ~WRO0001.doc с паролем, после чего в списке необработанных файлов я удалил

файл.

но эта строка с этим файлом постоянно возвращается, только она одна (всего 4 записи в карантине и 28 файлов в резервном хранилище).

пробовали и удалять и перепроверять - файл строчка пропадает, статус становится ОК.

спустя некоторое время статус опять "Есть необработанные объекты" и строка есть с новой датой события.

самого файла ~WRO0001.doc уже физически нет.

При попытке "открыть папку исходного размещения файлов" (опция из контекстного меню) получаю ошибку "Ошибка открытия папки. Возможно, папка не существует."

удаление и перепроверка, если их инициировать с сервера KSC10, тоже не помогает.

надоело каждый раз перед формированием отчета по сети лезть и удалять один и тот же не существующий файл.

почему оно возвращается, хотя файла нет, как то этого избавиться?

Share this post


Link to post
Share on other sites

Добрый день!

 

Уточните, пожалуйста, версии используемвх продуктов.

 

Спасибо!

Share this post


Link to post
Share on other sites

обнаружилось на KES10 SP1 MR2 (10.2.4.674 mr2), продолжилось при обновлении до mr3 (10.2.5.3201 mr2,mr3),осталось при установке патча pf1879 (10.2.5.3201 mr2,mr3,pf1879), под политикой, управляется с сервера KSC10 10.3.407

прямо сейчас вижу тот же файл с датой события 17.03.2017 17:00:35 - удаляю.

посмотрю, когда заново появится.

Edited by HalfHuman

Share this post


Link to post
Share on other sites
обнаружилось на KES10 SP1 MR2 (10.2.4.674 mr2), продолжилось при обновлении до mr3 (10.2.5.3201 mr2,mr3),осталось при установке патча pf1879 (10.2.5.3201 mr2,mr3,pf1879), под политикой, управляется с сервера KSC10 10.3.407

прямо сейчас вижу тот же файл с датой события 17.03.2017 17:00:35 - удаляю.

посмотрю, когда заново появится.

Здравствуйте!

 

По какой причине устанавливался патч pf1879?

 

Спасибо!

Share this post


Link to post
Share on other sites
в 10:00:38 файл опять висит в необработанных

патч pf1879 устанавливался для исправления утечки дескрипторов, обсуждение в ветке https://forum.kaspersky.com/index.php?showtopic=366640

Есть ли возможность проверить наличие этого файла по упомянутому ранее пути с помощью стороннего файл менеджера?

 

Спасибо!

Share this post


Link to post
Share on other sites

dir /a *.doc в данной папке сообщает, что файл не найден

FAR Manager от имени администратора и от имени пользователя файла не видят.

проводник такой файл не отображает.

в самой папке бОльшая часть файлов ~WRS{RANDOMGUID}.tmp, мЕньшая ~WRF{RANDOMGUID}.tmp и при сортировке по имени посередине между ними лежит ~WRO0001-20170302135814.rar, в который заархивирован с паролем и шифрованием имен сам исходный (а судя по дате изменения "вылеченный" файл).

последняя перезагрузка - 4 суток назад.

то есть выглядит это всё так, будто файла самого нет. и сам касперский же при попытке открыть папку с объектом дает ошибку.

 

Share this post


Link to post
Share on other sites
dir /a *.doc в данной папке сообщает, что файл не найден

FAR Manager от имени администратора и от имени пользователя файла не видят.

проводник такой файл не отображает.

в самой папке бОльшая часть файлов ~WRS{RANDOMGUID}.tmp, мЕньшая ~WRF{RANDOMGUID}.tmp и при сортировке по имени посередине между ними лежит ~WRO0001-20170302135814.rar, в который заархивирован с паролем и шифрованием имен сам исходный (а судя по дате изменения "вылеченный" файл).

последняя перезагрузка - 4 суток назад.

то есть выглядит это всё так, будто файла самого нет. и сам касперский же при попытке открыть папку с объектом дает ошибку.

Соберите трассировки в момент повторного обнаружения после удаления файла из необработанных.

 

Спасибо!

Share this post


Link to post
Share on other sites

на обед поставил procmon с мониторингом папки

файл в необработанных снова появился в 13:00:39

avp.exe в этот момент делал две операции CreateFile,на первую получил результат (путь "C:\documents and settings\username\appdata\local\microsoft\windows\temporary internet files\content.word\~wro0001.doc\word\") REPARSE, на вторую (путь "C:\Users\USERNAME\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.WORD\~WRO0001.DOC\WORD" )PATH NOT FOUND.

пути скопировал из procmon - первый через document and settings, сточными и бэкслэш в конце, второй через Users и всё, кроме Users - прописными и без бэкслеша в конце.

в момент удаления обращения к папке нет.

попробую "поймать"это событие, судя по всему оно происходит с периодичностью один-два часа почти ровно в начале часа.

Share this post


Link to post
Share on other sites
на обед поставил procmon с мониторингом папки

файл в необработанных снова появился в 13:00:39

avp.exe в этот момент делал две операции CreateFile,на первую получил результат (путь "C:\documents and settings\username\appdata\local\microsoft\windows\temporary internet files\content.word\~wro0001.doc\word\") REPARSE, на вторую (путь "C:\Users\USERNAME\APPDATA\LOCAL\MICROSOFT\WINDOWS\TEMPORARY INTERNET FILES\CONTENT.WORD\~WRO0001.DOC\WORD" )PATH NOT FOUND.

пути скопировал из procmon - первый через document and settings, сточными и бэкслэш в конце, второй через Users и всё, кроме Users - прописными и без бэкслеша в конце.

в момент удаления обращения к папке нет.

попробую "поймать"это событие, судя по всему оно происходит с периодичностью один-два часа почти ровно в начале часа.

Ждем от вас информации.

 

Спасибо!

Share this post


Link to post
Share on other sites

поймал

судя по всему файл возвращается сразу после обновления баз.

архив с записью procmon (где-то минута, остальное вырезано) и файлы трейса с уровнем 600 тут - https://cloud.mail.ru/public/5CXH/xKVuDszrx

файл procmon есть и более подробный, но может и этого хватит

Share this post


Link to post
Share on other sites

забыл сказать, но может это в логах будет понятно - теперь время обнаружения файла 14:00:38

Edited by HalfHuman

Share this post


Link to post
Share on other sites
забыл сказать, но может это в логах будет понятно - теперь время обнаружения файла 14:00:38

 

Вы пробовали полностью переустанавливать KES ?

Спасибо.

Share this post


Link to post
Share on other sites
Вы пробовали полностью переустанавливать KES ?

Спасибо.

нет, не пробовал

я так понимаю проблема в том, что по какой-то причине антивирус после получения обновления баз вытаскивает на свет божий откуда-то какой-то файл, заново его проверяет и пишет бред в логах (по другому ругань на файл по несуществующему пути назвать тяжело)

при переустановке вчистую (если удалять карантин и резервное хранилище) неоткуда будет вытаскивать файл для проверки - такой проблемы не будет, просто глюк антивируса будет маскироваться отсутствием файлов в карантине или где там ещё.

по поиску "перепроверить объекты в карантине после обновления касперский" в гугле нашел топик на этом же форуме с аналогичной проблемой "Обнаружен троян в письме - как обработать? [Решено]" https://forum.kaspersky.com/index.php?showtopic=325185

устранением (но не решением) проблемы была очистка файлов из карантина и резервного хранилища.

то есть этот глюк, хоть и достаточно редко (а может и не редко, просто не все обращают внимание на необработанные объекты или не обращаются), проявляется как минимум с KES 10.2.2.10535 (mr1) 15.06.2015

 

проверил - после удаления файла в "необработанных" - нужно в "карантине" на файле ткнуть "перепроверить" - файл пропадает из "карантина", сразу же появляется вновь (дата обнаружения остается старой) и, вуаля, на вкладке "необработынные файлы" мы снова видим под текущим временем файл.

 

есть предположение, что такая проблема возникает при обработке файлов-контейнеров (у меня docx, по сути - zip, в топике трояна в письме - контейнер - само письмо с вложением) - антивирус вытаскивает файл во временное расположение, при этом перенося его в "необработанные", проверяет его, а удалить не может тот путь, который указан у первоначального файла. и "необработанный" продолжает мозолить глаза и статистику.

 

буду посвободнее, попробую просмотреть прокмоном подробнее.

Edited by HalfHuman

Share this post


Link to post
Share on other sites
нет, не пробовал

я так понимаю проблема в том, что по какой-то причине антивирус после получения обновления баз вытаскивает на свет божий откуда-то какой-то файл, заново его проверяет и пишет бред в логах (по другому ругань на файл по несуществующему пути назвать тяжело)

при переустановке вчистую (если удалять карантин и резервное хранилище) неоткуда будет вытаскивать файл для проверки - такой проблемы не будет, просто глюк антивируса будет маскироваться отсутствием файлов в карантине или где там ещё.

по поиску "перепроверить объекты в карантине после обновления касперский" в гугле нашел топик на этом же форуме с аналогичной проблемой "Обнаружен троян в письме - как обработать? [Решено]" https://forum.kaspersky.com/index.php?showtopic=325185

устранением (но не решением) проблемы была очистка файлов из карантина и резервного хранилища.

то есть этот глюк, хоть и достаточно редко (а может и не редко, просто не все обращают внимание на необработанные объекты или не обращаются), проявляется как минимум с KES 10.2.2.10535 (mr1) 15.06.2015

 

проверил - после удаления файла в "необработанных" - нужно в "карантине" на файле ткнуть "перепроверить" - файл пропадает из "карантина", сразу же появляется вновь (дата обнаружения остается старой) и, вуаля, на вкладке "необработынные файлы" мы снова видим под текущим временем файл.

 

есть предположение, что такая проблема возникает при обработке файлов-контейнеров (у меня docx, по сути - zip, в топике трояна в письме - контейнер - само письмо с вложением) - антивирус вытаскивает файл во временное расположение, при этом перенося его в "необработанные", проверяет его, а удалить не может тот путь, который указан у первоначального файла. и "необработанный" продолжает мозолить глаза и статистику.

 

буду посвободнее, попробую просмотреть прокмоном подробнее.

Здравствуйте!

 

Спасибо за информацию!

Share this post


Link to post
Share on other sites

по детектированию особо ничего не видно

создается временный файл в обычной папке TEMP, читается, удаляется и в это время пытается открыть папку-контейнер, которой нет.

 

при удалении из карантина перестал проявляться

вручную добавить в карантин - не помогает (появляется 2 файла в карантине, сам doc и внутренний word/document.xml)

 

научился воспроизводить:

берем файл отсюда https://cloud.mail.ru/public/89aY/86UZtAx9H - файл ~WRO0001-201703331.rar, пароль KASPERSKY, внутри тот самый ~WRO0001.doc

кидаем в папку

при попытке доступа - файл невозможно прочитать.

но! надо проверить файл на вирусы (хоть его персонально, хоть в результате полной проверки дисков), после чего он попадает в карантин и потом начинает постоянно падать в необработанные объекты при каждой перепроверке, хоть вручную, хоть по обновлению баз.

 

Воспроизвел ситуацию у коллеги

Edited by HalfHuman

Share this post


Link to post
Share on other sites
по детектированию особо ничего не видно

создается временный файл в обычной папке TEMP, читается, удаляется и в это время пытается открыть папку-контейнер, которой нет.

 

при удалении из карантина перестал проявляться

вручную добавить в карантин - не помогает (появляется 2 файла в карантине, сам doc и внутренний word/document.xml)

 

научился воспроизводить:

берем файл отсюда https://cloud.mail.ru/public/89aY/86UZtAx9H - файл ~WRO0001-201703331.rar, пароль KASPERSKY, внутри тот самый ~WRO0001.doc

кидаем в папку

при попытке доступа - файл невозможно прочитать.

но! надо проверить файл на вирусы (хоть его персонально, хоть в результате полной проверки дисков), после чего он попадает в карантин и потом начинает постоянно падать в необработанные объекты при каждой перепроверке, хоть вручную, хоть по обновлению баз.

 

Воспроизвел ситуацию у коллеги

 

Здравствуйте,

 

правильно вас поняли, что вредонос находился в письме ?

Почтовый сервер находится внутри организации ?

Какой АВ установлен на сервере ?

Спасибо.

Share this post


Link to post
Share on other sites

вредонос в письме был аналогичной (на мой взгляд) ситуации у пользователя в топике "Обнаружен троян в письме - как обработать? [Решено]" https://forum.kaspersky.com/index.php?showtopic=32518

 

мой файл был получен из письма 02.03.2016 в 14:46, сейчас я это письмо нашел, внутри пересланное как вложенное письмо-подделка из ростелекома от той же даты 14:10, но сейчас оно даже вложенное с темой "Message has been disinfected : doc" и дата изменения письма в папке Oultook - сегодня только что 31.03.2017 15:29. Скорее всего я тогда исследовал это вложение, но ни скриншотов с вирустотал, ни другой информации за это время не нахожу.

 

как вредонос файл в папке временный файлов word определен 20.10.2016 21:07:53 и с тех пор находится в хранилище резервных файлов (точне, "находился" , так как я его восстановил 28.03.2017 в 16:44 и файл из хранилища пропал).

 

зачем вам подробности про почтовый сервер, если у вас есть файл и известно, что с ним нужно делать, чтобы воспроизвести проблему?

 

сообщаю, хотя реально не понимаю, зачем это вам:

на тот момент это был наш внутренний почтовый сервер с установленным KES10 (компоненты Файловый антивирус, сетевой экран и защита от сетевых атак), точно не вспомню версию, который получал почту из интернет через проброшенные порты с интернет шлюзов от двух провайдеров. Exchange 2003. Без модулей антивируса для Exchange или SMTP.

Edited by HalfHuman

Share this post


Link to post
Share on other sites
вредонос в письме был аналогичной (на мой взгляд) ситуации у пользователя в топике "Обнаружен троян в письме - как обработать? [Решено]" https://forum.kaspersky.com/index.php?showtopic=32518

 

мой файл был получен из письма 02.03.2016 в 14:46, сейчас я это письмо нашел, внутри пересланное как вложенное письмо-подделка из ростелекома от той же даты 14:10, но сейчас оно даже вложенное с темой "Message has been disinfected : doc" и дата изменения письма в папке Oultook - сегодня только что 31.03.2017 15:29. Скорее всего я тогда исследовал это вложение, но ни скриншотов с вирустотал, ни другой информации за это время не нахожу.

 

как вредонос файл в папке временный файлов word определен 20.10.2016 21:07:53 и с тех пор находится в хранилище резервных файлов (точне, "находился" , так как я его восстановил 28.03.2017 в 16:44 и файл из хранилища пропал).

 

зачем вам подробности про почтовый сервер, если у вас есть файл и известно, что с ним нужно делать, чтобы воспроизвести проблему?

 

сообщаю, хотя реально не понимаю, зачем это вам:

на тот момент это был наш внутренний почтовый сервер с установленным KES10 (компоненты Файловый антивирус, сетевой экран и защита от сетевых атак), точно не вспомню версию, который получал почту из интернет через проброшенные порты с интернет шлюзов от двух провайдеров. Exchange 2003. Без модулей антивируса для Exchange или SMTP.

 

Есть предположение, что это письмо с вредоносным объектом хранится на вашем почтовом сервере в вашем почтовом ящике.

Ваш почтовый клиент постоянно пытается его скачать и АВ пресекает эту попытку.

Есть возможность на самом сервере его удалить ?

Спасибо.

Share this post


Link to post
Share on other sites

удалить письмо на сервере нет возможности. во-первых, само письмо уже давно переехало ко мне в архив PST, во-вторых, сервер сдох в сентябре 2016.

 

проблема не с почтой. проблема с файлом.

 

я воспроизвел ситуацию на файловом уровне.

 

в 11:13 я написал:

 

научился воспроизводить:

берем файл отсюда https://cloud.mail.ru/public/89aY/86UZtAx9H - файл ~WRO0001-201703331.rar, пароль KASPERSKY, внутри тот самый ~WRO0001.doc

кидаем в папку

при попытке доступа - файл невозможно прочитать.

но! надо проверить файл на вирусы (хоть его персонально, хоть в результате полной проверки дисков), после чего он попадает в карантин и потом начинает постоянно падать в необработанные объекты при каждой перепроверке, хоть вручную, хоть по обновлению баз.

 

Воспроизвел ситуацию у коллеги

Share this post


Link to post
Share on other sites
удалить письмо на сервере нет возможности. во-первых, само письмо уже давно переехало ко мне в архив PST, во-вторых, сервер сдох в сентябре 2016.

 

проблема не с почтой. проблема с файлом.

 

я воспроизвел ситуацию на файловом уровне.

 

в 11:13 я написал:

 

научился воспроизводить:

берем файл отсюда https://cloud.mail.ru/public/89aY/86UZtAx9H - файл ~WRO0001-201703331.rar, пароль KASPERSKY, внутри тот самый ~WRO0001.doc

кидаем в папку

при попытке доступа - файл невозможно прочитать.

но! надо проверить файл на вирусы (хоть его персонально, хоть в результате полной проверки дисков), после чего он попадает в карантин и потом начинает постоянно падать в необработанные объекты при каждой перепроверке, хоть вручную, хоть по обновлению баз.

 

Воспроизвел ситуацию у коллеги

 

При обнаружении вредоноса у вас какие действия настроены ?

Спасибо.

 

Share this post


Link to post
Share on other sites

У файлового, почтового и веб-антивируса стоит "выбирать действие автоматически"

Share this post


Link to post
Share on other sites
DartVEL   

HalfHuman,

Так у вас этого письма с вложением уже давно нет? Или вы всё же открываете архивный pst?

И вы храните этот вирусный файл в Карантине? И видимо у вас стоит опция "Проверять файлы на карантине после обновления"?

Дайте скрин когда файл находится в необработанных.

Edited by DartVEL

Share this post


Link to post
Share on other sites
HalfHuman,

Так у вас этого письма с вложением уже давно нет? Или вы всё же открываете архивный pst?

И вы храните этот вирусный файл в Карантине? И видимо у вас стоит опция "Проверять файлы на карантине после обновления"?

Дайте скрин когда файл находится в необработанных.

 

да что вы прицепились к письму? без разницы, как получен файл - операция выполняется над файлом! я уже описал, как воспроизвести. специально файл выложил, под паролем, чтобы антивирус его раньше времени не приговорил, описал как все делать.

да, файл в карантине, и проверяется каждый раз при обновлении баз, я об этом уже писал.

вы правда ни разу не видели файл в необработанных? прилагаю скрин.

post-621571-1491205840.png

Share this post


Link to post
Share on other sites

воспроизвел в виртуалке, только у антивируса по умолчанию базы 13.07.2016 18:37:00 не видят зловреда.

пришлось обновить антивирус (забрал папку Updates и через неё обновился) - тогда при проверке файла антивирус его добавляет в карантин и каждый раз при перепроверке файл попадает в необработанные. оставаясь при этом в карантине.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this  

×