IPB

Welcome Guest ( Log In | Register )

2 Pages V  < 1 2  
Reply to this topicStart new topic
> Постоянно обнаруживается несуществующий файл в необработанных объектах [В процессе]
Dmitry Eremeev
post 31.03.2017 19:22
Post #21


Technical Support Specialist
**************

Group: KL Russia
Posts: 11348
Joined: 30.07.2014
From: Moscow




QUOTE(HalfHuman @ 31.03.2017 17:47) *
удалить письмо на сервере нет возможности. во-первых, само письмо уже давно переехало ко мне в архив PST, во-вторых, сервер сдох в сентябре 2016.

проблема не с почтой. проблема с файлом.

я воспроизвел ситуацию на файловом уровне.

в 11:13 я написал:

научился воспроизводить:
берем файл отсюда https://cloud.mail.ru/public/89aY/86UZtAx9H - файл ~WRO0001-201703331.rar, пароль KASPERSKY, внутри тот самый ~WRO0001.doc
кидаем в папку
при попытке доступа - файл невозможно прочитать.
но! надо проверить файл на вирусы (хоть его персонально, хоть в результате полной проверки дисков), после чего он попадает в карантин и потом начинает постоянно падать в необработанные объекты при каждой перепроверке, хоть вручную, хоть по обновлению баз.

Воспроизвел ситуацию у коллеги


При обнаружении вредоноса у вас какие действия настроены ?
Спасибо.


--------------------
In english: GSI report | AVZ report | KSC10 Traces | KES10 Traces | KSC9 Traces | KES8 Traces(RUS) | klnagchk log(RUS)

На русском: Отчет GSI | Лог AVZ | Трассировки KSC10 | Трассировки KES10 | Трассировки KSC9 |Трассировки KES8 | Отчет утилиты klnagchk

Подписаться на новости о корпоративных продуктах

Пожалуйста, оцените оказанную помощь, используя опцию "Rating" в названии топика!

Please evaluate support help by using "Rating" option!


Go to the top of the page
 
+Quote Post
HalfHuman
post 3.04.2017 10:47
Post #22


Member
**

Group: Members
Posts: 34
Joined: 3.03.2017




У файлового, почтового и веб-антивируса стоит "выбирать действие автоматически"
Go to the top of the page
 
+Quote Post
DartVEL
post 3.04.2017 11:27
Post #23


Advanced Member II
****

Group: Members
Posts: 231
Joined: 15.06.2015
From: Kaliningrad




HalfHuman,
Так у вас этого письма с вложением уже давно нет? Или вы всё же открываете архивный pst?
И вы храните этот вирусный файл в Карантине? И видимо у вас стоит опция "Проверять файлы на карантине после обновления"?
Дайте скрин когда файл находится в необработанных.

This post has been edited by DartVEL: 3.04.2017 11:35


--------------------
KSC 10.3.407 (a) с агентами
KSC 10.2.434 (экспериментальный)
KES 10.2.5.3201, а также KES 10.2.4.674, KES 10.2.1.23, KWS 6.0.4.1611
KSM Android 10.6... (автообновление до последних версий)
Go to the top of the page
 
+Quote Post
HalfHuman
post 3.04.2017 11:50
Post #24


Member
**

Group: Members
Posts: 34
Joined: 3.03.2017




QUOTE(DartVEL @ 3.04.2017 10:27) *
HalfHuman,
Так у вас этого письма с вложением уже давно нет? Или вы всё же открываете архивный pst?
И вы храните этот вирусный файл в Карантине? И видимо у вас стоит опция "Проверять файлы на карантине после обновления"?
Дайте скрин когда файл находится в необработанных.


да что вы прицепились к письму? без разницы, как получен файл - операция выполняется над файлом! я уже описал, как воспроизвести. специально файл выложил, под паролем, чтобы антивирус его раньше времени не приговорил, описал как все делать.
да, файл в карантине, и проверяется каждый раз при обновлении баз, я об этом уже писал.
вы правда ни разу не видели файл в необработанных? прилагаю скрин.
Attached File(s)
Attached File  NeobrabotannyeObjecty_201704031049.png ( 40,49K ) Number of downloads: 4
 
Go to the top of the page
 
+Quote Post
HalfHuman
post 3.04.2017 12:45
Post #25


Member
**

Group: Members
Posts: 34
Joined: 3.03.2017




воспроизвел в виртуалке, только у антивируса по умолчанию базы 13.07.2016 18:37:00 не видят зловреда.
пришлось обновить антивирус (забрал папку Updates и через неё обновился) - тогда при проверке файла антивирус его добавляет в карантин и каждый раз при перепроверке файл попадает в необработанные. оставаясь при этом в карантине.
Go to the top of the page
 
+Quote Post
DartVEL
post 3.04.2017 12:50
Post #26


Advanced Member II
****

Group: Members
Posts: 231
Joined: 15.06.2015
From: Kaliningrad




QUOTE(HalfHuman @ 3.04.2017 09:50) *
да, файл в карантине, и проверяется каждый раз при обновлении баз, я об этом уже писал.

Так удалите из Карантина. Что, тогда всё равно заново появится?


--------------------
KSC 10.3.407 (a) с агентами
KSC 10.2.434 (экспериментальный)
KES 10.2.5.3201, а также KES 10.2.4.674, KES 10.2.1.23, KWS 6.0.4.1611
KSM Android 10.6... (автообновление до последних версий)
Go to the top of the page
 
+Quote Post
HalfHuman
post 3.04.2017 13:13
Post #27


Member
**

Group: Members
Posts: 34
Joined: 3.03.2017




нет, не появляется. и об этом я тоже писал 31.03.2017 11:13 "при удалении из карантина перестал проявляться"
у меня в карантине 5 файлов, а постоянно появляется только два - одного типа, они на скриншоте два разных файла. То есть какие-то зловреды антивирус обрабатывает некорректно. - вытаскивает, проверяет и запихивает в необработанные. Другие - как лежали молча в карантине, так и лежат. То, что антивирус перепроверяет файлы после получения обновления - нормально. Но то, что он два из 5 вытаскивает в необработанные - ненормально.
то есть если удалить файлы из необработанных и в карантине на 5 файлов сказать - перепроверить, то 2 из них появляются в необработанных.
Причем интересная особенность - в списке карантина дата события у тех файлов, которые появляются в списке необработанных - не меняется. А у трех других, которые не появляются в необработанных - устанавливается дата события, равная дате проведению перепроверки. (как после обновления, так и вручную).
такое впечатление, что попадаются файлы, на которых процедура перепроверки падает в ступор - и при этом файл попадает в необработанные и не меняется дата события.
Go to the top of the page
 
+Quote Post
DartVEL
post 3.04.2017 13:37
Post #28


Advanced Member II
****

Group: Members
Posts: 231
Joined: 15.06.2015
From: Kaliningrad




Здесь как будто зависит от файла или типа вируса - не знаю, могу только предполагать. Это конкретный вопрос поддержке!

Почему я привязался к письму - потому что часто так было раньше (сейчас как-то мало стало вирусных писем). АВ поймал вирус в письме, но он не может как я понял вылечить письмо. Вот и висит в необработанных и каждый раз просит вручную принять решение.
Может в вашем случае сам файл Ворда тоже несет какую-то инфу (не чисто вирус) и АВ не берет ответственность удалить файл полностью... Черт его знает.
Но с тех пор я всегда чищу Карантин.


--------------------
KSC 10.3.407 (a) с агентами
KSC 10.2.434 (экспериментальный)
KES 10.2.5.3201, а также KES 10.2.4.674, KES 10.2.1.23, KWS 6.0.4.1611
KSM Android 10.6... (автообновление до последних версий)
Go to the top of the page
 
+Quote Post
HalfHuman
post 3.04.2017 16:47
Post #29


Member
**

Group: Members
Posts: 34
Joined: 3.03.2017




В моем случае при попытке по дате изначального файла найти письмо - при просмотре письма антивирус успешно удалил из письма весь файл (само письмо уже хранилось локально в PST), при этом не положил оригинал (само тело письма) в резервное хранилище. Так что я играюсь с самим файлом, который тогда при получении сохранил из письма.
Go to the top of the page
 
+Quote Post
DartVEL
post 3.04.2017 19:25
Post #30


Advanced Member II
****

Group: Members
Posts: 231
Joined: 15.06.2015
From: Kaliningrad




QUOTE(HalfHuman @ 3.04.2017 14:47) *
В моем случае при попытке по дате изначального файла найти письмо - при просмотре письма антивирус успешно удалил из письма весь файл (само письмо уже хранилось локально в PST), при этом не положил оригинал (само тело письма) в резервное хранилище. Так что я играюсь с самим файлом, который тогда при получении сохранил из письма.

Просто странный временный путь к документу получился. Или так всегда из письма доки открываются?
Больше похоже, что в письме была ссылка, а там уже качнулся типа документ...


--------------------
KSC 10.3.407 (a) с агентами
KSC 10.2.434 (экспериментальный)
KES 10.2.5.3201, а также KES 10.2.4.674, KES 10.2.1.23, KWS 6.0.4.1611
KSM Android 10.6... (автообновление до последних версий)
Go to the top of the page
 
+Quote Post
HalfHuman
post 5.04.2017 10:38
Post #31


Member
**

Group: Members
Posts: 34
Joined: 3.03.2017




нет, там файл в архиве (я думаю, что уже ни для кого не секрет, что docx/xlsx/pptx это пожатые ZIPом папки с файлами xml), файл реально внутри есть. что делает файл после запуска - не знаю, не помню, что там было, когда я исследовал файл в прошлом году, а сейчас уже неинтересно ковыряться.

при перепроверке файл из карантина вынимает во временную папку, сканирует его, находит зловреда, удаляет временный файл, пытается открыть или что-то сделать с именем файла с учетом нахождения его в контейнере по оригинальному пути, создает файл в необработанных с именем файла, который открыть не смог, при этом время файла в карантине не меняется.

на другие файлы срабатывает по-другому:
при проверке файл пропадает из списка карантина, потом заново там появляется с новым временем (текущее время проверки)

складывается впечатление, что из-за попытки что-то сделать с несуществующим именем файла в контейнере логика перепроверки дает сбой и не убирает за собой мусор.

и обычно при исследовании вирусов я употребляю выражение "открыть файл" подразумевая нажатие F3 (просмотр) в FAR Manager.

This post has been edited by HalfHuman: 5.04.2017 10:43
Go to the top of the page
 
+Quote Post

2 Pages V  < 1 2
Reply to this topicStart new topic

 



Lo-Fi Version Time is now: 23.06.2017 05:50