Dmitry19 Posted February 15 добрый день, на нескольких пк обнаружена и устранена угроза: Результат: Вылечено: Trojan.Multi.BroSubsc.gen Пользователь: NT AUTHORITY\СИСТЕМА (Системный пользователь) Объект: System Memory к сожалению, не смог найти описания данного вредоносного ПО (на портале в том числе https://threats.kaspersky.com/ru/threat/), есть информация по данной угрозе? Продукт: Kaspersky Endpoint Security 11 for Windows (Workstation Protection) Версия: 11.0.0.6499 Share this post Link to post
Kommunist7304 Posted February 15 (edited) Используемые версии браузеров и плагинов к ним на ПК с обнаруженной уязвимостью последних доступных версий? Edited February 15 by Kommunist7304 Share this post Link to post
Dmitry19 Posted February 15 да, актуальная версия chrome, плагины стандартные гугловые (документы офлайн, гугл докс) Share this post Link to post
Dmitry19 Posted February 15 повторный запуск задачи проверки важных областей вновь приводит к детекту и последующему успешному лечению и так далее Share this post Link to post
Kommunist7304 Posted February 15 В таком случае лучше ждать рекомендаций представителей ЛК. Share this post Link to post
Dmitry19 Posted February 15 да, запрос в support завел; просто думал параллельно попытаться раздобыть информацию на форуме Share this post Link to post
Kommunist7304 Posted February 15 (edited) Можно посмотреть список исключений KES и проредить его от лишних записей. Также проверить что установлены все доступные обновления ОС и ПО. Достаточно это делать на одном каком-то ПК где проблема проявляется. Edited February 15 by Kommunist7304 Share this post Link to post
dolph2005 Posted February 15 (edited) Аналогичная ситуация, на трех разных машинах в двух городах в одно и тоже время. Dmitry19@ ,Во сколько по времени было это событие у Вас? Edited February 15 by dolph2005 Share this post Link to post
tyazhelnikov Posted February 15 День добрый. Присоединяюсь. 1 клиент. Результат: Обнаружено: Trojan.Multi.BroSubsc.gen Пользователь: домен\пользователь (Активный пользователь) Объект: System Memory Причина: Экспертный анализ Дата выпуска баз: 15.02.2019 10:07:00 Share this post Link to post
Hydrargyrum Posted February 15 Та же самая штука. Результат: Обнаружено: Trojan.Multi.BroSubsc.gen Пользователь: (Активный пользователь) Объект: System Memory Что это за новая зараза? Share this post Link to post
Anykeyshik Posted February 15 (edited) Даже интересно стало. Есть в онлайн граждане из Kaspersky Lab? Может кто из них прояснит, что это за "зловред" такой? Edited February 15 by Anykeyshik Share this post Link to post
lbvfy Posted February 15 Аналогично. 6 устройств в разных филиалах. Цитата Событие "Обнаружен вредоносный объект" произошло на устройстве %имя_ПК% в Windows-домене %домен% 15 февраля 2019 г. 14:18:03 (GMT+03:00) Результат: Обнаружено: Trojan.Multi.BroSubsc.gen Пользователь: %домен%\пользователь (Активный пользователь) Объект: System Memory Причина: Локальные базы Дата выпуска баз: 15.02.2019 8:07:00 Share this post Link to post
Kommunist7304 Posted February 15 Это наблюдается на ПК где установлены хромо-подобные браузеры (на движке Cromium) или также где в качестве основного используется MF/IE11/Edge? Share this post Link to post
Anykeyshik Posted February 15 Эта угроза устраняется, если в политике (задаче проверки) включена опция "Использовать технологию лечения активного заражения". Что именно делает этот вирус - пока под вопросом... Share this post Link to post
lbvfy Posted February 15 3 минуты назад, Kommunist7304 сказал: Это наблюдается на ПК где установлены хромо-подобные браузеры (на движке Cromium) или также где в качестве основного используется MF/IE11/Edge? Да на всех этих ПК есть Chrome Share this post Link to post
UnSigned Posted February 15 (edited) +1 Цитата Событие Обнаружен вредоносный объект произошло на компьютере XXX в домене YYY 15 февраля 2019 г. 10:54:07 (GMT+03:00) Результат: Обнаружено: Trojan.Multi.BroSubsc.gen Пользователь: YYY\ZZZ (Активный пользователь) Объект: System Memory Причина: Экспертный анализ Дата выпуска баз: 15.02.2019 8:07:00 P.S. Пользователь - не Система Edited February 15 by UnSigned Share this post Link to post
poindex Posted February 15 У нас тоже эта штука появилась, Хром был установлен, подскажите, что с этим сделать можно ? Share this post Link to post
AleksJS Posted February 15 То же самое, на 2 ПК из 100. Активные пользователи Хром и гуглодиска. Но гуглодиск есть еще на 3 ПК, и у них нет этого заражения. На зараженных ПК нет известных уязвимостей, (по сведениям самого Kaspersky Security Center) установлены все последние обновления всего, что только можно. Политикой Windows SRP запрещен запуск программ по путям вне стандартных системных расположений, пользователи не администраторы. Полная проверка пока не завершена, но по результатам быстрой проверки памяти на других ПК этого вируса нет. В истории браузеров пользователей нет никаких подозрительных сайтов (все посещенные - известные и добросовестные организации). Share this post Link to post
AleksJS Posted February 15 У меня лечение активного заражения было включено в политике и после перезагруза Касперский его успешно прибил. Теперь я не могу изучить его и выяснить, откуда он взялся. Те, у кого он переживает перезагрузку, гляньте Process Explorer в каком он процессе. Так же рекомендую попробовать anti-rootkit gmer он может показать подробности. Share this post Link to post
Dmitry19 Posted February 15 3 часа назад, dolph2005 сказал: Аналогичная ситуация, на трех разных машинах в двух городах в одно и тоже время. Dmitry19@ ,Во сколько по времени было это событие у Вас? в разное время на разных устройствах, на устройствах используется браузер chrome; Share this post Link to post
Dmitry19 Posted February 15 ответ получен: "Пользователи часто жалуются на рекламные нотификации в браузере, которые у них появляются в результате необдуманных действий на сомнительных сайтах. В случае согласия на принятие нотификаций от сайта, в настройках браузера оказываются прописанными нежелательные ресурсы. Вердикт Trojan.Multi.BroSubsc.gen выдается при проверке объектов автозапуска в случае, если в настройках браузеров (сейчас поддерживаются Сhrome, Yandex, Opera, Vivaldi, в будущем список будет расширен) прописаны детектирующиеся URL, которые выдают эти рекламные нотификации. При лечении статус таких URL меняется с «Разрешить» на «Заблокировать»." проверил описанный сценарий на одном из тестовых пк, и действительно, в chrome в блоке уведомлений есть сомнительный ресурс (funnwebs.com), при разрешении отправки уведомлений с этого ресурса - в ходе проверки возникает выше описанный детект. уведомления отключаются в результате лечения! повторных детектов не возникает. Share this post Link to post
AleksJS Posted February 15 Но в любом случае, у всех, я вижу, это сегодня с утра и на загрузке устройства. По событиям зарегистриронным самим касперским, непосредственно перед этим обновлялась Windows (6 обновлений), Chrome, FireFox. Но хром и FireFox у нас везде ,а детект только на 2 ПК Share this post Link to post
FREDYU Posted February 15 Hey Guys, I got the same alter prompted from my computer just around 15 mintues ago. Kaspersky Security is installed at my Win 10 computer and i mostly use Firefox Browser (Ver. 65). Having download the latest Virus Definition Database and run the quick scan in my HDD drive but found nothing specious. Particularly, the logo of Kaspersky has been changed to green shielding sign with a tick in the middle. Seems it has been updated as well. May be that is just a falt alert becasue of its upgrade? Not quite sure. Help someone can help me out.... Thanks Share this post Link to post
zxsavage Posted February 18 То же самое с пятницы на нескольких ПК. Есть инфо куда копать? Share this post Link to post