Jump to content
Aazmandius

В отчете данные о сработавшей защите от ExPetr

Recommended Posts

Добрый день! 

Пользовательская машина чистая после установке системы. Несколько дней была отключена. Сегодня включил, закачал обновления Windows, Office, Java. 

Обновил, перезагрузил KES. Посмотрел по отчетам еще ПО которое требовало обновление фоном обновилось и вдруг в отчетах натыкаюсь на сработавшую защиту от ExPetr.

28.07.2017 12:02:03    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    SAFAROVA\1    Запрещено: %windir%\dllhost.dat    Изменение    C:\Windows\dllhost.dat    %windir%\dllhost.dat    
28.07.2017 12:02:03    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    SAFAROVA\1    Запрещено: %windir%\perfc.dat    Изменение    C:\Windows\perfc.dat    %windir%\perfc.dat    
28.07.2017 12:02:03    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    SAFAROVA\1    Запрещено: %windir%\psexesvc.exe    Изменение    C:\Windows\psexesvc.exe    %windir%\psexesvc.exe    

Это сработала защита или что-то из обновлений цепляет эти файлы и просто уведомление идет?

Быструю проверку прогнал - вроде все чисто, на других машинах нет похожих срабатываний. В других отчетах чисто, отчет по сетевой активности чистый.

 

Share this post


Link to post

Здравствуйте,

Уточните, пожалуйста, были ли какие -либо сообщения о детекте?

СпасибО!

Share this post


Link to post
41 минуту назад, Nikolay Arinchev сказал:

Уточните, пожалуйста, были ли какие -либо сообщения о детекте?

нет, не было, случайно в отчете увидел данные

Share this post


Link to post

хрень какая-то. полная проверка ничего не дала, быстрая тоже, с виду все чисто, карантин пуст

На соседней машине ради интереса, также стоявшей отключенной несколько дней провожу обновление windows, закрыл порты 135, 445. и на ней тоже в отчетах срабатывание на эти файлы. но также без алертов, карантин чист

28.07.2017 15:28:12    Программа помещена в группу доверенных программ    Контроль активности программ    Userinit Logon Application    FINANCE1\USER        Программа помещена в группу    Доверенные    Локальные базы    
28.07.2017 15:28:55    Программа помещена в группу доверенных программ    Контроль активности программ    Microsoft® Cabinet Maker    FINANCE1\USER        Программа помещена в группу    Доверенные    Локальные базы    
28.07.2017 15:38:52    Программа помещена в группу доверенных программ    Контроль активности программ    Windows Shell Common Dll    FINANCE1\USER        Программа помещена в группу    Доверенные    Подписано цифровой подписью доверенных производителей    
28.07.2017 15:38:52    Программа помещена в группу доверенных программ    Контроль активности программ    Windows host process (Rundll32)    FINANCE1\USER        Программа помещена в группу    Доверенные    Подписано цифровой подписью доверенных производителей    
28.07.2017 16:11:57    Программа помещена в группу доверенных программ    Контроль активности программ    Disk Defragmenter Module    FINANCE1\USER        Программа помещена в группу    Доверенные    Подписано цифровой подписью доверенных производителей    
28.07.2017 16:12:24    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    FINANCE1\USER    Запрещено: psexesvc.exe    Изменение    C:\Windows\psexesvc.exe    psexesvc.exe    
28.07.2017 16:12:25    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    FINANCE1\USER    Запрещено: dllhost.dat    Изменение    C:\Windows\dllhost.dat    dllhost.dat    
28.07.2017 16:12:25    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    FINANCE1\USER    Запрещено: perfc.dat    Изменение    C:\Windows\perfc.dat    perfc.dat    

28.07.2017 16:14:53    Программа помещена в группу доверенных программ    Контроль активности программ    Microsoft Compatibility Telemetry    FINANCE1\USER        Программа помещена в группу    Доверенные    Подписано цифровой подписью доверенных производителей    
28.07.2017 16:14:53    Программа помещена в группу доверенных программ    Контроль активности программ    Application Impact Telemetry Agent    FINANCE1\USER        Программа помещена в группу    Доверенные    Подписано цифровой подписью доверенных производителей    
28.07.2017 16:15:09    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    FINANCE1\USER    Запрещено: psexesvc.exe    Изменение    C:\Windows\psexesvc.exe    psexesvc.exe    
28.07.2017 16:15:09    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    FINANCE1\USER    Запрещено: dllhost.dat    Изменение    C:\Windows\dllhost.dat    dllhost.d
at    
28.07.2017 16:15:09    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    FINANCE1\USER    Запрещено: perfc.dat    Изменение    C:\Windows\perfc.dat    perfc.dat    
28.07.2017 16:16:53    Программа помещена в группу доверенных программ    Контроль активности программ    Power Settings Command-Line Tool    FINANCE1\USER        Программа помещена в группу    Доверенные    Локальные базы    
28.07.2017 16:24:03    Программа помещена в группу доверенных программ    Контроль активности программ    Internet Explorer    FINANCE1\USER        Программа помещена в группу    Доверенные    Подписано цифровой подписью доверенных производителей    
28.07.2017 16:24:03    Объект не обработан    Контроль активности программ    Internet Explorer    FINANCE1\USER    Не обработано        C:\Program Files\Internet Explorer\iexplore.exe    Пропущено    
28.07.2017 16:24:04    Программа помещена в группу доверенных программ    Контроль активности программ    Internet Explorer    FINANCE1\USER        Программа помещена в группу    Доверенные    Подписано цифровой подписью доверенных производителей    
 

1.txt

Share this post


Link to post

не могу понять динамику, все машины на которых в отчетах появляется эта штука обновлялись центром обновления windows. На каких-то открыты порты 135, 445, на каких-то закрыты. Алертов нет, проверка показывает чисто.

это что-то в обновлении цепляет эти файлы или по сетке долбится вирус? на серверах тоже чисто, быстрые проверки прогнал - чисто.

Пока заметил на 4 машинах, где проводил обновления в одном кабинете. Прилагаю еще отчеты с 2 машин.

 

 

1.txt

2.txt

Share this post


Link to post
В 28.07.2017 в 17:20, Nikolay Arinchev сказал:

Пожалуйста, задайте свой вопрос в ветке с профильными специалистами - https://forum.kasperskyclub.ru/index.php?s=fd705272ff72d661585f1d16bef8bef2&showforum=26

Спасибо!

Задал. Посмотрели, признаков заражения нет. По моим ощущениям - какие-то процессы windows цепляют эти файлы, и это отражается в отчетах. Так как данные о срабатывании есть на ПК который не имел выхода в сеть, только интернет через wi-fi. В отчете Host Process for Windows Services. 

Edited by Aazmandius

Share this post


Link to post
On 7/28/2017 at 0:54 PM, Aazmandius said:

Добрый день! 

Пользовательская машина чистая после установке системы. Несколько дней была отключена. Сегодня включил, закачал обновления Windows, Office, Java. 

Обновил, перезагрузил KES. Посмотрел по отчетам еще ПО которое требовало обновление фоном обновилось и вдруг в отчетах натыкаюсь на сработавшую защиту от ExPetr.

28.07.2017 12:02:03    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    SAFAROVA\1    Запрещено: %windir%\dllhost.dat    Изменение    C:\Windows\dllhost.dat    %windir%\dllhost.dat    
28.07.2017 12:02:03    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    SAFAROVA\1    Запрещено: %windir%\perfc.dat    Изменение    C:\Windows\perfc.dat    %windir%\perfc.dat    
28.07.2017 12:02:03    Сработало правило Контроля активности программ    Контроль активности программ    Host Process for Windows Services    SAFAROVA\1    Запрещено: %windir%\psexesvc.exe    Изменение    C:\Windows\psexesvc.exe    %windir%\psexesvc.exe    

Это сработала защита или что-то из обновлений цепляет эти файлы и просто уведомление идет?

Быструю проверку прогнал - вроде все чисто, на других машинах нет похожих срабатываний. В других отчетах чисто, отчет по сетевой активности чистый.

 

Здравствуйте,

укажите, пожалуйста, точную сборку KES.

Спасибо.

 

Share this post


Link to post
2 минуты назад, Dmitry Eremeev сказал:

укажите, пожалуйста, точную сборку KES.

Добрый день!

KES 10SP2 10.3.0.6294 AES256

Если произвести проверку файла на вирусы то в отчете фигурирует запрет на чтение файла

31.07.2017 8:56:23    Сработало правило Контроля активности программ    Контроль активности программ    Windows Explorer    DESKTOP-00A312A\IT    Запрещено: dllhost.dat    Чтение    C:\Windows\dllhost.dat    dllhost.dat    

А там что-то получается пытается изменить из процессов. Уведомление информационное в синем кружке.

 

Share this post


Link to post
8 minutes ago, Aazmandius said:

Добрый день!

KES 10SP2 10.3.0.6294 AES256

Если произвести проверку файла на вирусы то в отчете фигурирует запрет на чтение файла

31.07.2017 8:56:23    Сработало правило Контроля активности программ    Контроль активности программ    Windows Explorer    DESKTOP-00A312A\IT    Запрещено: dllhost.dat    Чтение    C:\Windows\dllhost.dat    dllhost.dat    

А там что-то получается пытается изменить из процессов. Уведомление информационное в синем кружке.

 

Для дальнейшего анализа необходима диагностическая информация :

1. GSI отчёт с включенными журналами событий с проблемного компьютера - http://support.kaspersky.ru/general/dumps/3632

2. экспорт настроек KES

3. трассировка KES по сценарию ( http://support.kaspersky.ru/9343 )

- включаете трассировку

- перезагружаете машину

- производите манипуляции, чтобы событие об ExPetr сгенерировалось

- открываете отчёт KES и убеждаетесь, что событие сгенерировалось

- выключаете трассировку

4. содержимое папок :

%PROGRAMDATA%\Kaspersky Lab\KES*\Data\

%PROGRAMDATA%\Kaspersky Lab\KES*\Bases\

5. экспорт отчёта KES, в котором событие отображается.

Спасибо.

 

Share this post


Link to post
17 минут назад, Dmitry Eremeev сказал:

Для дальнейшего анализа необходима диагностическая информация :

 

Дмитрий, я попробую собрать, но пока не могу динамику выявить, не нашел единой причины что вызывает срабатывание, чтобы его инициировать для трассировки. Оно не так часто. Например на одной из машин всего 2 раза за месяц. Почему то на всех машинах в конце месяца фигурирует в разные дни, все машины на Win 7, Win 8. Грешу пока на обновления windows, но не факт. На моей машине с win 10 срабатываний нет. 

Edited by Aazmandius

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.