Jump to content

Recommended Posts

Добрый день.

Имеется корпоративная сеть, windows-машины находятся под защитой KES, версий от 10.2.1.23 до 11.0.0.6499.

Номер используемой лицензии: ***

Версии используемых систем от XP до 10, и от 2003 до 2012. Обновления установлены в соответствии с рекомендациями.

Столкнулись за заражением вирусами Trojan.Win32.SEPEH.gen и  Trojan.Win64.EquationDrug.gen  и  Exploit.Win32.Generic.

Различные версии KES фиксируют заражение, но полноценно лечение не проводят.

KVRT не во всех случаях находит зараженные объекты, лечение проводит не полностью, даже в безопасном режиме.

Прошу дать рекомендацию по лечению и предотвращению дальнейшего заражения.

 

Share this post


Link to post

Здравствуйте!

Опишите проблему подробнее, что за вирусы, каким образом влияют на систему? На каких версиях конкретно возникают проблемы. Знакомы ли вы с данной статьей - https://support.kaspersky.ru/14742

Спасибо!

Share this post


Link to post

Пример: Drweb livecd нашел вирусы, который не нашел ни касперский livecd ни установленный kasper в системе

 

60a78329-988d-4c85-9c17-11e33fc3d8ec.jpeg

Share this post


Link to post

Отчет с другого компа.

Оба примера отчетов с компьютеров, на которых переустановили систему, накатили свежие обновления системные и базы каспера (каспер 11 версии).

 

Отчет об угрозах~~11874.mht

Вполне возможно, что компьютеры получили заражения в процессе обновлений, на данный момент мы будем устанавливать заново систему и каспера в изолированной среде.

Но это никак не объясняет, почему каспер не обнаруживает вирусы, которые находит drweb cureit.

Share this post


Link to post

Вряд ли, т.к. Компьютер сейчас не в сети. Находится в техподдержке. Завтра вытащу эти файлы и посмотрим, ложное это срабатывание или нет. Я думаю, что нет, т.к. каспер обнаруживает в системной памяти вирус, который он не может вылечить - судя по отчетам, а т.к. он в системной памяти, то скорее всего он запустился с этого же компьютера, и, соответственно, должен быть к-л exe-шник или скрипт, который этот вирус запускает. А раз сам каспер не обнаруживает этот вирус на диске, то логично, что он также пропускает его запуск.

Share this post


Link to post

RGAdmin статьи выше почитайте, поймете истинную причину проблемы и почему она возникла. (у вас не установлены критические обновления Windows)

Share this post


Link to post
39 минут назад, ANGElDRAGON сказал:

RGAdmin статьи выше почитайте, поймете истинную причину проблемы и почему она возникла. (у вас не установлены критические обновления Windows)

1) Оба примера отчетов с компьютеров, на которых переустановили систему, накатили свежие обновления системные и базы каспера (каспер 11 версии).

2) Вполне возможно, что компьютеры получили заражения в процессе обновлений, на данный момент мы будем устанавливать заново систему и каспера в изолированной среде.

3) Но это никак не объясняет, почему каспер не обнаруживает вирусы, которые находит drweb cureit.

Share this post


Link to post

4) А также не объясняет почему каспер не может обработать объект, находящийся в системной памяти и распознающийся как вирус.

Share this post


Link to post

Здравствуйте!

Уточните пожалуйста, включено ли у Вас использование KSN? 

Спасибо!

Share this post


Link to post

В порядке - это "родной" дистрибутив.

Тем более что такое наблюдается не на всех компьютерах, на которых накатана система с 0.

 

Share this post


Link to post
20 часов назад, ANGElDRAGON сказал:

RGAdmin может быть это ложное срабатывание Dr. Web ? Вы этого не исключаете?
Проверьте файлы здесь: https://www.virustotal.com/

https://www.virustotal.com/#/file/aceb27720115a63b9d47e737fd878a61c52435ea4ec86ba8e58ee744bc85c4f3/detection

https://www.virustotal.com/#/file/0f6ac0ed3d48868d2734d784cf85b2d17a9baac5ecafcddfa614f7c251690f81/detection

 

vir1.zip

Share this post


Link to post
11 часов назад, Ivan.Ponomarev сказал:

Здравствуйте!

Уточните пожалуйста, включено ли у Вас использование KSN? 

Спасибо!

Отключено

Share this post


Link to post

Пожалуйста, включите KSN и проверьте, обнаруживаются ли указанные вредоносные объекты.

Если объекты обнаруживаются, пожалуйста, приложите запароленный архив с этими файлами к запросу в https://companyaccount.kaspersky.com/

Спасибо за сотрудничество!

Share this post


Link to post

Я уже прислал эти файлы, что Вам еще нужно?

Этот компьютер в частности уже на переливке, в сеть мы его не будем вводить ради включения KSN.

58 минут назад, RGAdmin сказал:

вот пост с архивом

Мало того, я уже высылал отчеты где видно, то каспер видит в системной памяти вирус и ничего с ним не делает.

Вы на это что-то можете ответить?

Share this post


Link to post

Вот  россыпь обнаруживаемых на компьютерах вирусов:

Понятно, что на один комп приходится по несколько сотен детектов, и очень сложно оценить реальную угрозу, но картина примерно такая.

 Самые распространенные вирусы: 
     MEM:Trojan.Win32.SEPEH.gen: 3292 
     PDM:Exploit.Win32.Generic: 248 
     MEM:Trojan.Win64.EquationDrug.gen: 12 
     MEM:Rootkit.Win64.EquationDrug.a: 12 
     Trojan-Dropper.Win32.Injector.nsfi: 10 
     MEM:Trojan.Win32.EquationDrug.gen: 7 
     MEM:Rootkit.Win32.EquationDrug.a: 6 
     Trojan.Multi.Accesstr.a.sh: 2 
     Backdoor.MSIL.NanoBot.afyd: 2 
     Email-Worm.Win32.Bagle.pac: 2 
 

 

box22.mht

Edited by RGAdmin

Share this post


Link to post

RGAdmin по детектам:
MEM:Rootkit.Win32.EquationDrug.a:
MEM:Trojan.Win32.EquationDrug.gen.
MEM:Rootkit.Win64.EquationDrug.a
MEM:Trojan.Win64.EquationDrug.gen
Причина одна: не установлены критические обновления Windows, которая закрывает уязвимость системы используемые злоумышленниками.
Подробнее в статье:
https://securelist.ru/wannacry-ransomware-used-in-widespread-attacks-all-over-the-world/30662/

Trojan.Multi.Accesstr.a.sh
Причина: Подмена файла: C:\Windows\system32\sethc.exe является cmd.exe, возможно у пользователя были права администратора и он решил сбросить пароль.

Backdoor.MSIL.NanoBot.afyd
PDM:Exploit.Win32.Generic
Причина:  не установлены критические обновления Windows, которая закрывает уязвимость системы используемые злоумышленниками, отключены расширенные базы антивируса, отключено Kaspersky Security Network


Email-Worm.Win32.Bagle.pac
MEM:Trojan.Win32.SEPEH.gen:
Причина:  не установлены критические обновления Windows, которая закрывает уязвимость системы используемые злоумышленниками, отключены расширенные базы антивируса, отключено  Kaspersky Security Network, возможно у пользователя были права администратора для скачивания и установки программ. 
Итог: как настроили систему, так она и работает. 

Чем меньше прав у сотрудников ПК, тем стабильнее работает сеть организации.

Share this post


Link to post

1) Про обновления системы я уже выше написал.

2) На вопросы ответьте.

В 16.11.2018 в 15:58, RGAdmin сказал:

Я уже прислал эти файлы, что Вам еще нужно?

Этот компьютер в частности уже на переливке, в сеть мы его не будем вводить ради включения KSN.

вот пост с архивом

Мало того, я уже высылал отчеты где видно, то каспер видит в системной памяти вирус и ничего с ним не делает.

Вы на это что-то можете ответить?

3)

Также, что делать с этим?

Перезагрузка сервера: BSOD, klbackupdisk.sys

Server 2008r2 sp1

Обновления последние.

KAV 11.0.06499

Share this post


Link to post

Перефразирую вопросы, на которые вы упорно не хотите отвечать в разных вариантах, может тогда получу внятный ответ.

 

Вопрос 1:

Те файлы, что я выслал, по крайней мере один из них содержит код вируса. Drweb его видит, каспер - нет. Вероятно из-за этого каспер видит вирус уже только в памяти, и не получается этот вирус полностью уничтожить, как -то эту ситуацию можно исправить?

https://forum.kaspersky.com/applications/core/interface/file/attachment.php?id=390137

 

Я так понимаю, что каспер не может бороться с вирусами, если на винде НЕ СТОЯТ последние обновления.

Прискорбно. Желательно, чтобы каспер мог удалить вирусы на не обновленной системе, чтобы потом ее можно было бы обновить, а не переустанавливать с нуля.

Но вопрос не только в этом:

а) Почему нет возможности удалить вирус, когда он уже проник на компьютер при условии, что стоят последние обновления системы?

б) Возможно ли лечение вируса, уже находящегося в системе вместе с запущенным каспером?

Вывод напрашивается сам собой: Получается, что каспер не может бороться с вирусами, находящимися уже в системе, и если на винде СТОЯТ последние обновления?

Это уже как-то совсем прискорбно.

 

Вопрос глобальный, ответ на который мы хотим получить четко и ясно.:

Т.е. если эти вирусы (см. ссылки на cообщения внизу) проникли в систему, то поможет ТОЛЬКО переливка компа, обновление системы и установка каспера и все это излированной среде?

Так это или нет?

P.S. Большая просьба, про обновления не нужно больше писать. Это очевидно было с самого начала.

 

 

 

 

Share this post


Link to post

Ни один антивирус не гарантирует что он знает абсолютно все вирусы. Если найден вирус который не знает Kaspersky AV - добавляйте его здесь: https://virusdesk.kaspersky.ru/ или через companyaccount. Затем обновляйте базы на своих компьютерах и лечите. Вот и вся практика.

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.