Jump to content

Recommended Posts

Posted (edited)

Добрый день!

На одном из ПК найден шифровальщик. При перезагрузке он не удаляется, и появляется снова с увеличенным счетчиком Обнаруженных вирусов..

image.png.b1433ad0dd1436a7ebe9679625bb4b09.png

На соседних ПК есть предупреждения Есть необработанные объекты. Но когда пытаюсь их посмотреть через Посмотреть отчет о вирусах  - они пустые! Обнуление счетчика на Количество невылеченных объектов не действует. Висит количество без изменения.

Подскажите, пожалуйста, как удалить эту заразу удаленно без привлечения клиента. Или, если это не возможно, как удалить локально?

Компания из N отделов, для каждого отдела своя группа администрирования и групповая политика для всех одна с включенной функцией лечения активного заражения.

Edited by siimao

Share this post


Link to post

ANGEIDRAGON, спасибо за ссылку на процедуру.

Что-то у меня не получается найти на сайте Microsoft требуемый патч.

Будьте добры прямую ссылку на патч.

Спасибо!!!

Share this post


Link to post

И еще вопрос. В Антивирусной защите должна быть постоянно включена Технология лечения активного заражения?

Читал, что она включается только локально на ПК при поиске вирусов с отключением ПК от сети.

Спасибо!

Share this post


Link to post
2 часа назад, siimao сказал:

ANGEIDRAGON, спасибо за ссылку на процедуру.

Что-то у меня не получается найти на сайте Microsoft требуемый патч.

Будьте добры прямую ссылку на патч.

Спасибо!!!

Патч нашел. Спасибо.

Share this post


Link to post
7 часов назад, siimao сказал:

 

Обратил внимание, что нашего вируса НЕТ в списке!!

Trojan-Ransom.Win32.Wanna.m

Задача установки пакетов обновления KB4012215, KB4012216, KB4013429  на ПК отдела завершилась быстро с описанием: Действия не требуются. Пока все проверки выполняю удаленно без отключения от сети.

Что делать дальше? Помогите!!!

Share this post


Link to post

Здравствуйте!

Уточните пожалуйста, Вы выполнили все пункты из статьи? 

Спасибо!

Share this post


Link to post
23 часа назад, siimao сказал:

 

Иван, добрый день!

Пункт 1:  Отключите зараженный хост от корпоративной сети - обязателен?

Можно как-то без отключения от сети?

Спасибо!

 

Share this post


Link to post

Вы можете не отключать хост от сети, но в таком случае возможно дальнейшее распространение заражения по сети.

Спасибо!

Share this post


Link to post
В 18.03.2019 в 10:10, siimao сказал:

 

Константин, я понимаю, что не отключение зараженного ПК от сети - это угроза распространения вируса от данного ПК.

Сужу свой вопрос:

Почему не удаляется вирус при прохождении всех пунктов инструкции и снова появляется предупреждение?

Как вылечить зараженную сеть с помощью продуктов «Лаборатории Касперского»

Kaspersky Endpoint Security 8/10

1. ПК не отключен, т.к. необходим удаленный доступ

2. При запуске пишет, что Действия не требуются

image.png.e36dbf22c2d580365d634065916087da.png

Почему, когда запускаю задачу на другом ПК, пишет: Ожидает запуска?

image.png.846f45ad11144b9df654e16c4c1fb211.png

3. Все пункты выбраны.

image.png.f949f7e06299a4e5960f705a22c55f1c.png

4. Защита от сетевых атак включена.

image.thumb.png.147abd6e31fa9ee31c30c825e7367456.png

5. Файловый антивирус включен

image.thumb.png.f02d0ce0b3a3809c1dd8572ace8009e0.png

6. Запустите задачу Проверка важных областей, чтобы обнаружить возможное заражение.

Задача завершена - Что-то ничего нет.

image.png.e34ff4e1d7c6f7f12d9d880077aea1ee.png

Запускаю задачу Поиск вирусов. Петя находится, не дожидаясь завершения задачи.

image.png.b3285560a571e844cd3290d9dc3badc2.png

image.png.4f623deefea2a22b87e27e36cf198717.png

7. Перезагрузка ПК выполнена задачей управления ПК.

8. Запущена Локальная задача Полная проверка.

image.png.accec4211ef6caf322a5ad205f3b882a.png

Результаты: он снова жив.

image.png.513d6e62077710172198756cb0eb6d99.png

9. Подключение не производилось, т.к. не отключались.

 

Share this post


Link to post
3 hours ago, siimao said:

Иван, добрый день!

 

 

Пункт 1:  Отключите зараженный хост от корпоративной сети - обязателен?

Можно как-то без отключения от сети?

Спасибо!

 

Добрый день.

Отключение от сети необходимо, чтобы исключить вероятность повторного заражения (в зависимости от типа угрозы).

Пожалуйста, обратите внимание, что данный форум посвящен техническим вопросам работы антивирусного ПО. По проблемам, связанными с уничтожением вирусов, обратитесь, пожалуйста, на предназначенный для этого ресурс:

https://forum.kasperskyclub.ru/index.php?showforum=26

Спасибо.

Share this post


Link to post
В 18.03.2019 в 10:10, siimao сказал:

 

 

Спасибо за ссылку - обязательно туда мигрирую с вопросами по вирусам.

1. Все же для себя хочу понять: в отделе 2 сервера и 3 ПК; таких отделов со своими подсетями в организации много.

Вирус находится только на одном ПК в организации.

Если следовать вашей логике: то источников заражения может быть несколько и они себя не проявляют при проверке средствами KES (например как здесь: есть необработанные объекты) и сразу же после полной проверки зараженного ПК, опять его заражают? Или, все же, не лечится вирус?

2. Вопрос в тему:

В сети найдено много ПК с незакрытой этой уязвимостью. В качестве пилотной зоны выбрана одна жертва. Для нее создана задача Исправление уязвимостей 10977 SMB.

Выбрано сразу несколько типов программ на будущее с целью применения для набора устройств.

image.png.cd4af6fdef3e24e8a6760a4843a50cc2.png

Результат работы задачи - отрицательный.

image.png.e2b5fe26f83f60ad92195313b1590e8b.png

Что значит описание ошибки Этот хост неизвестен?

И почему не завершилась задача? :(

Спасибо!

Share this post


Link to post
Quote

Если следовать вашей логике: то источников заражения может быть несколько и они себя не проявляют при проверке средствами KES (например как здесь: есть необработанные объекты) и сразу же после полной проверки зараженного ПК, опять его заражают? Или, все же, не лечится вирус?

По вопросам, связанным с уничтожением вирусов, обратитесь, пожалуйста, на форум фан-клуба.

Чтобы диагностировать "неизвестный" хост и понять причину ошибки, необходим собранный на нем отчет GSI (или как минимум вывод утилиты klnagchk, запущенной на хосте с правами админа; утилиту можно найти в папке с установленным Агентом администрирования).

Спасибо.

 

Share this post


Link to post

Понятно. Проблема пока в том, что мне дают учетную запись группы администраторов на ПК :(

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.