Jump to content
MR_AndrewZ

Детект KES на DameWare not-a-virus:HEUR:RemoteAdmin.Win32.DameWare.gen

Recommended Posts

Добрый день!

После очередного обновления баз, кажется от 18.06.2018, KES 10.2.4.674 / 10.2.5.3201 сошел с ума. Теперь у меня все логи забиты вот такими сообщениями:

 

Result:     Detected: not-a-virus:HEUR:RemoteAdmin.Win32.DameWare.gen
User:     (deleted) (Initiator)
Object:     C:\windows\dwrcs\dwrcst.exe

 

image.thumb.png.080dffe3f2d8db4e5ddc603d01d10505.png

image.png.b9d60e4de3d3807aeb1f29dd2fb60669.png

 

KSC 10.4.343

KES - разные 10.2.*, но проблема схожая. 10.3 версию не используем, по ней сказать не могу.

Политику никто не трогал, DameWare и подавно. Детект вылез на всех серверах KSC, и почти одновременно. Используется мастер-сервер, наследование всех политик с него. То есть политика везде одна. В политике все исключения стоят стандартные, я там не рылся особо.

image.thumb.png.aafa1619075fc9e53da235ed9db5c6e1.png

Полагаю, что в базы попал "dwrcst.exe", который почему-то стал угрозой. Хотя KES его никак не блокирует. В штатных исключениях dwrcst.exe нет.

 

Прошу, пожалуйста, помочь с решением проблемы.

 

Спасибо!

С уважением, Андрей.

 

Share this post


Link to post

Добрый день.

 

Пробовали ли добавлять исключения из сканирования объекты 

not-a-virus:HEUR:RemoteAdmin.Win32.DameWare.gen

 

Share this post


Link to post

Так же заметил такую проблему с детектированием DameWare

"C:\windows\dwrcs\dwrcst.exe" так же добавлен в исключения.

kava4.jpg

Share this post


Link to post
5 часов назад, Evgeny_E сказал:

Добрый день.

 

Пробовали ли добавлять исключения из сканирования объекты 


not-a-virus:HEUR:RemoteAdmin.Win32.DameWare.gen

 

Выполняли ли вы данную рекомендацию?

Спасибо!

Share this post


Link to post

Да, рекомендацию выполнил, пока детектов DameWare.gen нет.

Share this post


Link to post

Тема создана не мной, у меня проблемы после добавления в исключения DameWare не наблюдается.

Share this post


Link to post

Добрый день!

11 hours ago, Evgeny_E said:

Пробовали ли добавлять исключения из сканирования объекты 

Добавил вот так:

image.thumb.png.9d800ca2fded10112ffbab34884b2e5f.png

Надеюсь правильно.

Буду наблюдать.

4 hours ago, kostikr said:

Тема создана не мной, у меня проблемы после добавления в исключения DameWare не наблюдается.

Спасибо, что отписались! значит я не один такой.

 

Очень странно, что такой детект возник ни с того ни с сего. Явно инженеры могли что-то напутать в базах. Либо перехитрили сами себя. Понимаю, что исключение - это решение, но оно не решает причину проблемы. Откуда этот детект взялся - не ясно.

Благодарю!

Share this post


Link to post

Добрый день!

11 hours ago, Evgeny_E said:

Пробовали ли добавлять исключения из сканирования объекты 

Добавил вот так:

image.thumb.png.9d800ca2fded10112ffbab34884b2e5f.png

Надеюсь правильно.

Буду наблюдать.

4 hours ago, kostikr said:

Тема создана не мной, у меня проблемы после добавления в исключения DameWare не наблюдается.

Спасибо, что отписались! значит я не один такой.

 

Очень странно, что такой детект возник ни с того ни с сего. Явно инженеры могли что-то напутать в базах. Либо перехитрили сами себя. Понимаю, что исключение - это решение, но оно не решает причину проблемы. Откуда этот детект взялся - не ясно.

Благодарю!

--------

Еще вылезло:

image.thumb.png.ba563e92945cefcf5a5d47d49f551296.png

Result:     Detected: not-a-virus:HEUR:RemoteAdmin.Win32.DameWare.gen
User:     (deleted) (Active user)
Object:     C:\windows\dwrcs\dwrcset.dll

 

Edited by MR_AndrewZ

Share this post


Link to post
4 часа назад, MR_AndrewZ сказал:

Добавил вот так:

image.thumb.png.9d800ca2fded10112ffbab34884b2e5f.png

Надеюсь правильно.

В параметрах уберите галочку с File and folder и очистите соответствующую строчку ниже.

Спасибо!

Share this post


Link to post
56 minutes ago, Konstantin Antonov said:

В параметрах уберите галочку с File and folder и очистите соответствующую строчку ниже.

Спасибо!

Есть:

image.thumb.png.b97e1210794afe417fe82256216c122e.png

 

Будем наблюдать дальше.

Премного благодарен!

Share this post


Link to post

Не помогло. Продолжает детектить. Смотрю на двух KSC серверах. С главного политика с исключением применилась.  Но оно не работает, либо не правильно создано.

Спасибо!

Share this post


Link to post

Здравствуйте!

Уточните пожалуйста, детект происходит во время сканирования? 

Спасибо!

Share this post


Link to post
12 hours ago, Ivan.Ponomarev said:

Здравствуйте!

Уточните пожалуйста, детект происходит во время сканирования? 

Спасибо!

Добрый день!

Нет. Задачи сканирования стоят только ночью и только раз в неделю. А детект идет постоянно.

Спасибо!

Share this post


Link to post
1 hour ago, MR_AndrewZ said:

Добрый день!

Нет. Задачи сканирования стоят только ночью и только раз в неделю. А детект идет постоянно.

Спасибо!

Добрый день.

Пожалуйста, уточните, какой объект и какой файл указан в событиях, которые возникают сейчас.

На основании известных случаев можно сказать, что при корректном добавлении исключений ошибки прекращаются.

Также рекомендуется убедиться, что на данной машине действительно целенаправленно используется DameWare и происхождение указанных файлов известно.

Спасибо.

Share this post


Link to post
54 minutes ago, Kirill Tsapovsky said:

Пожалуйста, уточните, какой объект и какой файл указан в событиях, которые возникают сейчас.

Result:     Detected: not-a-virus:HEUR:RemoteAdmin.Win32.DameWare.gen
User:      (Active user)
Object:     C:\windows\dwrcs\dwrcset.dll

Result:     Detected: not-a-virus:HEUR:RemoteAdmin.Win32.DameWare.gen
User:      (Active user)
Object:     C:\windows\dwrcs\dwrcst.exe

 

54 minutes ago, Kirill Tsapovsky said:

На основании известных случаев можно сказать, что при корректном добавлении исключений ошибки прекращаются.

Может я реально как-то не верно добавил? На что надо обратить внимание?

54 minutes ago, Kirill Tsapovsky said:

Также рекомендуется убедиться, что на данной машине действительно целенаправленно используется DameWare и происхождение указанных файлов известно.

Оно ругается на клиент DameWare. А он есть вообще  на всех ПК, так как через него и происходит подключение. Клиент ставится автоматом при первом подключении к ПК. Дальше он тихо висит в трее и процессах.

На ПК, где стоит сам DameWare как главное приложение, тоже есть детект:

Result:     Detected: not-a-virus:HEUR:RemoteAdmin.MSIL.DameWare.gen
User:     NT AUTHORITY\SYSTEM (System user)
Object:     C:\Windows\Installer\17d2c.msi/disk1.cab/DameWare.LogAdjuster.exe

Result:     Detected: not-a-virus:HEUR:RemoteAdmin.MSIL.DameWare.gen
User:      (Initiator)
Object:     C:\program files\solarwinds\dameware mini remote control x64\dameware.logadjuster.exe

Спасибо!

Edited by MR_AndrewZ

Share this post


Link to post
15 hours ago, Konstantin Antonov said:

Версии клиентов dameware везде одинаковые?

Спасибо!

Да, так как установка клиента происходит автоматически с "сервера". Вот так:

image.thumb.png.836b44f9279d542f9360fbd1336deea6.png

 

DameWare используем с 2015 года. И раньше Касперский на него реагировал абсолютно спокойно. А тут началось почему-то. Странно.

 

Спасибо!

Share this post


Link to post

Добрый день!

Проблема решилась обновлением KES до версии 10.2.6. Опытным путем установлено, что на версии 10.2.5 исключения просто не работают, их можно добавлять сколько влезет.

На 10.2.6 детект пропал, все как надо. А 10.2.5 и по сей день продолжает кирпичами бросаться, что "оно нашло".

Спасибо!

Share this post


Link to post

Здравствуйте,

Спасибо за информацию!

Пожалуйста, оцените оказанную помощь, используя опцию "Rating" в названии топика!

Share this post


Link to post

Здравствуйте!

 

Может будет кому полезно:

Сталкивался с такой проблемой ранее. KES-10.3.3.275, решал так:

Исключения для DameWare настраивал по инструкции https://support.kaspersky.ru/10947

Впоследствии, выяснилось, что Dame Ware кем то решено резать не дожидаясь....

 

Добавил в исключения объекты:

not-a-virus:RemoteAdmin.Win32.DameWare.d

not-a-virus:HEUR:RemoteAdmin.Win32.DameWare.gen

not-a-virus:HEUR:RemoteAdmin.MSIL.DameWare.gen

 

И всё равно, при первой установке агента и KES-10.3.3.275, Dame Ware уничтожалось.

Пришлось экспортировать политику с клиента в файл cfg и подкладывать его при установке пакета с сервера администрирования.

 

ПС: Как мне кажется, пора вносить правки в статью или написать новую.

 

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.