Jump to content
kosarev

KES 11 мешает работе остальных приложений.

Recommended Posts

12.03.19 появилась необходимость добавить в доверенные зоны приложение. Это произошло в 12:53:05. После чего на эти же компьютеры бал распространен новый ключ активации. Но задача по распространению не смогла завершиться. Одновременно с этим пользователи компьютеров стали жаловаться, что работать нет возможности и любые задачи либо зависают либо работают крайне медленно. При подключении к проблемным компьютерам в диспетчере задач видно было, что процесс KES загружает процессор на 95-98%. Все остальные процессы либо зависали либо их отклик становился не приличным. 

Через KSC 10 на всех компьютерах данной группы было сообщение, что защита не включена, программа защиты не запущена. При этом в свойствах некоторых из них было видно следующее:

image.png.5f0bca1dbc2bab96a96cd6b4820c37a7.png

При попытке остановить выполнение (или запустить там где программа KES была остановлена) KSC на долго задумывался и выдавал ошибку сбоя общего характера.

При этом все это время на самих компьютерах сети работать было невозможно. 

Данные изменения политики так же производились на 10 разных серверах до этого и там проблем не возникло.

Восстановить работу предприятия удалось только после проведения на каждом компьютере одного из двух действия:

1) Полное удаление KES 11 через kavremvr.exe

2) Остановка службы Kaspersky Endpoint Security Service. 

    Запуск ее через KSC (либо остановка там же и повторный запуск).

   Проверка загрузки\ожидание появления ошибки об превышении времени отклика от службы. 

   Одновременная остановка службы и на компьютере и через KSC.

   Повторение пред идущих действий пока не запустится без ошибок и само через KSC.

Сейчас после таких взаимодействий часть компьютеров осталась без защиты. Над некоторыми из них контроль потерян. Но жалобы от пользователей прекратились.

В событиях устройств видно примерно следующую картину.

image.thumb.png.8a8b6c4997be2e978cfbab7364565ac4.png

При этом событие "Компоненты защиты выключены" соответствует по времени со стабилизацией устройства вторым способом.

Возникло два взаимосвязанных вопроса:

1) Что это было?

2) Как предотвратить подобное? 

Share this post


Link to post
1 час назад, kosarev сказал:

12.03.19 появилась необходимость добавить в доверенные зоны приложение. Это произошло в 12:53:05. После чего на эти же компьютеры бал распространен новый ключ активации. Но задача по распространению не смогла завершиться. Одновременно с этим пользователи компьютеров стали жаловаться, что работать нет возможности и любые задачи либо зависают либо работают крайне медленно. При подключении к проблемным компьютерам в диспетчере задач видно было, что процесс KES загружает процессор на 95-98%. Все остальные процессы либо зависали либо их отклик становился не приличным. 

Через KSC 10 на всех компьютерах данной группы было сообщение, что защита не включена, программа защиты не запущена. При этом в свойствах некоторых из них было видно следующее:

При попытке остановить выполнение (или запустить там где программа KES была остановлена) KSC на долго задумывался и выдавал ошибку сбоя общего характера.

При этом все это время на самих компьютерах сети работать было невозможно. 

Данные изменения политики так же производились на 10 разных серверах до этого и там проблем не возникло.

Восстановить работу предприятия удалось только после проведения на каждом компьютере одного из двух действия:

1) Полное удаление KES 11 через kavremvr.exe

2) Остановка службы Kaspersky Endpoint Security Service. 

    Запуск ее через KSC (либо остановка там же и повторный запуск).

   Проверка загрузки\ожидание появления ошибки об превышении времени отклика от службы. 

   Одновременная остановка службы и на компьютере и через KSC.

   Повторение пред идущих действий пока не запустится без ошибок и само через KSC.

Сейчас после таких взаимодействий часть компьютеров осталась без защиты. Над некоторыми из них контроль потерян. Но жалобы от пользователей прекратились.

В событиях устройств видно примерно следующую картину.

При этом событие "Компоненты защиты выключены" соответствует по времени со стабилизацией устройства вторым способом.

Возникло два взаимосвязанных вопроса:

1) Что это было?

2) Как предотвратить подобное? 

Добрый день!

Пожалуйста приложите полный GSI отчет с одного из компьютеров где была проблема.

Спасибо!

 

Share this post


Link to post

У вас групповая задача обновления баз наз-ся "Обновление вирусной базы KAS...", верно? Но видно много записей с ошибкой выполнения задачи "Обновление", так понимаю, это локальная задача со скорее всего ненастроенными параметрами (источник обновления, расписание запуска...), которая отчего то запустилась. Может в эту сторону копать нужно?...

Share this post


Link to post
48 минут назад, Welf сказал:

У вас групповая задача обновления баз наз-ся "Обновление вирусной базы KAS...", верно? Но видно много записей с ошибкой выполнения задачи "Обновление", так понимаю, это локальная задача со скорее всего ненастроенными параметрами (источник обновления, расписание запуска...), которая отчего то запустилась. Может в эту сторону копать нужно?...

Данное сообщение имеет следующий характер.

image.png.3bc6a14818bec0014fe908429de0583b.png

Есть компьютеры которые постоянно пытаются обновиться по внешней ссылке. При настройки политики забыл убрать галку про KSN. А в остальном компьютерам закрыт доступ в инет, а тем кому он нужен настраиваются через прокси.

В данный момент не могу изменить групповую политику пока не разберусь в причине поведения касперского который 12 числа остановил работу.

Собственно на компьютере чей скрин событий я сделал я разобрал, что до появления изменения в политике (а в политике я просто добавил доверенную зону) Шли попытки обновиться по внешним ссылкам. Начались эти попытки тоже 12 числа в 11:35.

image.thumb.png.8a16f31aea75b6fa1d30c9ff93360556.png

Share this post


Link to post
Posted (edited)

Вложить сюда не удается. Полный весит 15 мегабайт. А ограничение тут 4. Что из него нужно?

Edited by kosarev

Share this post


Link to post

Здравствуйте!

Вы можете использовать любой файлообменный ресурс на Ваш выбор.

Спасибо!

Share this post


Link to post

Здравствуйте!

Уточните пожалуйста, сейчас Агент Администрирования нормально работает? 

В логе с 12 числа есть огромное количество уведомлений, что агент завис и перезапустился. 

Спасибо!

Share this post


Link to post
1 час назад, Ivan.Ponomarev сказал:

Здравствуйте!

Уточните пожалуйста, сейчас Агент Администрирования нормально работает? 

В логе с 12 числа есть огромное количество уведомлений, что агент завис и перезапустился. 

Спасибо!

Я пока не получал жалоб. На всех устройствах обновление статуса работает нормально. Ни каких изменений я с тех пор не вносил.

Share this post


Link to post

Собственно в этом и вопрос: Почему после добавления папки и приложения в доверенные зоны он начал себя так вести до тех пор пока его не начали удалять и дергать?

Share this post


Link to post

Уточните пожалуйста, какое именно приложение Вы добавили в доверенные? 

Есть ли возможность воспроизвести проблему на одной машине одновременно со сбором диагностической информации? 

Спасибо!

Share this post


Link to post
16 часов назад, Ivan.Ponomarev сказал:

Уточните пожалуйста, какое именно приложение Вы добавили в доверенные? 

Есть ли возможность воспроизвести проблему на одной машине одновременно со сбором диагностической информации? 

Спасибо!

Меня очень смущает, что действия я делал одинаковые. При чем на более 10 разных серверах.

А именно. добавил последнюю строку сюда.

image.png.326a74dc858b64e2f0a58285c39afbf6.png

И исполняемый файл сюда.

image.png.8a06417c4808e12f8f92be4f378a518e.png

При этом только на одном сервере возникла проблема.

На счет повторения данной проблемы. Я по пытаюсь, но не уверен, что получится.

 

Share this post


Link to post
В 14.03.2019 в 17:57, Ivan.Ponomarev сказал:

Уточните пожалуйста, какое именно приложение Вы добавили в доверенные? 

Есть ли возможность воспроизвести проблему на одной машине одновременно со сбором диагностической информации? 

Спасибо!

Удалось воспроизвести проблему.

https://drive.google.com/open?id=1bCnfxnIpGZ-pfKxnDEX_mrVLoWPjpObH

Share this post


Link to post

Здравствуйте!

Приложите пожалуйста созданный дамп. 

Спасибо!

Share this post


Link to post
3 часа назад, Ivan.Ponomarev сказал:

Здравствуйте!

Приложите пожалуйста созданный дамп. 

Спасибо!

Куда приложить? К проблемному компьютеру?

Share this post


Link to post

Здравствуйте,

Пробовали ли вы переустановить агент администрирования на одной из машин с неправильным статусом?

Судя по отчет GSI агент работает некорректно и часто падает.

Цитата

Куда приложить? К проблемному компьютеру?

Пожалуйста, приложите дамп падения продукта и агента к своему ответу.

Спасибо!

Share this post


Link to post
58 минут назад, Nikolay Arinchev сказал:

Здравствуйте,

Пробовали ли вы переустановить агент администрирования на одной из машин с неправильным статусом?

Судя по отчет GSI агент работает некорректно и часто падает.

Пожалуйста, приложите дамп падения продукта и агента к своему ответу.

Спасибо!

Что конкретно и откуда прикладывать. Не понимаю, извините. Если полный GSI отчет с одного из компьютеров где была проблема, то весит больше 4MB и по этому Вложить сюда не удается.

Если речь не об этом, то помогите разобраться как сделать то что вы просите.

 

Переустановить пока не пробовал.Но, как мне кажется, как решение проблемы это плохая идея. Просто периодически переустанавливать на всех компьютерах касперский... Но как появится возможность по пробую на одном из них.

Share this post


Link to post

Вы можете воспользоваться любым файлообменным ресурсом для выгрузки GSI и приложить к своему ответу ссылку.

Спасибо!

 

Share this post


Link to post
23 часа назад, kosarev сказал:

Удалось воспроизвести проблему.

https://drive.google.com/open?id=1bCnfxnIpGZ-pfKxnDEX_mrVLoWPjpObH

 

14 минут назад, Nikolay Arinchev сказал:

Вы можете воспользоваться любым файлообменным ресурсом для выгрузки GSI и приложить к своему ответу ссылку.

Спасибо!

 

Мы с вами потратили 23 часа. В этой ссылке и лежит полный GSI отчет с одного из компьютеров на котором сбор данных происходил во время проблемы.

Share this post


Link to post

Прошу прощения за неточность - изначально нужны были дампы падения продукта

2 часа назад, Nikolay Arinchev сказал:

Здравствуйте,

Пробовали ли вы переустановить агент администрирования на одной из машин с неправильным статусом?

Судя по отчет GSI агент работает некорректно и часто падает.

Пожалуйста, приложите дамп падения продукта и агента к своему ответу.

Спасибо!

 

Share this post


Link to post

Где они расположены? В предоставленных мной архивах есть некие дампы. В папке Tiny Dumps.

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.