Хамит

Файл начинается строкой Set Phytoserology7 = WScript.CreateObject("WScript.Shell") Только это одно уже должно навести на подозрения ! затем, если удалить все комментарии, то файл заканчивается строками: Phytoserology7.RegWrite "HKCU\Indkbsvrdier\Markforsgets\Careless",Em4,Phytoserology9 c6 = Glimmer & chrw(34) & Detroniserings & chrw(34) Phytoserology7.Run c6 , 1-1 Однако касперский этот файл пропускает. Если удалить все комментарии, которые играют маскировочную роль, то благополучно находит: Компонент: Антивирусная проверка Результат: Обнаружено Описание результата: Обнаружено Тип: Троянское приложение Название: HEUR:Trojan.Script.Generic Точность: Эвристический анализ Степень угрозы: Высокая Тип объекта: Файл Имя объекта: 2.txt (переименован из vbs) Путь к объекту: D:\_virus\KIA Purchase Order List Requirements 20230227938823 PDF SHA256 объекта: F1BE7762308B712C02B130697E850CA94412834E4DDC60721FF42F807F7E4891 MD5 объекта: 1883C2F3AEBCBD531DF49FC289013E6E Причина: Экспертный анализ Дата выпуска баз: Сегодня, 28.02.2023 2:04:00 В политике нет никаких ограничений ни на размер архива ни на время проверки. До удаления строк с комментариями размер файла был 994 Кб, после удаления 200 кб

да я могу их залить куда-нибудь, если надо.

Получил по почте 2 файла html - "копия денежного перевода" и "Подтверждение". Компонент "Защита от почтовых угроз" определил Событие: Обнаружен вредоносный объект Компонент: Защита от почтовых угроз Описание результата: Обнаружено Тип: Троянское приложение Название: HEUR:Trojan-PSW.Script.Generic Точность: Эвристический анализ Степень угрозы: Высокая Тип объекта: Почтовое вложение Имя объекта: hidden Путь к объекту: [From:hidden]// SHA256 объекта: 6D15B76A1437A945AD822BB708B85F48D1EA02E789732B6AC1000E3AC8D08031 MD5 объекта: 896A5C2A75DADA90F499A4F293C7E3BD Причина: Экспертный анализ Дата выпуска баз: Сегодня, 22.12.2022 11:09:00 = Оба файла начинаются со строк <script language="JavaScript"> . Я их сохранил на диск и запустил команду "проверки из контекстного меню", затем "выборочная проверка" с настройками максимальной строгости. Однако эти компоненты вирусов не нашли. Также проверил с помощью avp.com с настройками максимальной строгости, но также ничего не было найдено.

на все вопросы ответ "нет" Что заметил - на многих проблемных компьютерах (но не на всех), был включен UAC , как он идет по умолчанию после установки винды. Но сомневаюсь, что в этом проблема

С KSC была запущена задача на обновление с версии 11.9.0.351 на версию 11.10.0.399 На нескольких компьютерах обновление было завершено с ошибкой "Удаленная установка на устройстве завершена с ошибкой: В процессе установки произошла неисправимая ошибка. (Ошибка 27211. Ошибка при включении самозащиты.)" После этого эти компьютеры превратились в кирпич - клавиатура, мышка, сеть не работают, флешки не монтируются., невозможно обновить драйвера, новые устройства не определяются. На некоторых компьютерах проблема решилась через откат к предыдущей удачной загрузке. Но не на всех. Хорошо, что был разъем PS/2. Вначале подключил мышку - не работает. Подключил клавиатуру - заработала. С помощью kavremover удалил остатки программы и наконец-то компьютер ожил. Насколько я понял, при установке Касперский поменял драйвера некоторых устройств на свои, но из-за ошибки во время обновления были установлены не все компоненты. Сам windows уже не мог работать через эти драйвера, а Касперский не запускался. У меня убедительная просьба к разработчикам - сделайте процесс обновления более безопасным. Как пример - при установке первым делом ставится в автозагрузку маленькая программа, которая следит, что при включении компьютера службы касперского запустились удачно, и компьютер нормально функционирует. Если этого не происходит, то через определенное время программа сама запускает kavremover и откатывает все внесенные изменения. Если установка прошла штатно и компьютер после перезагрузки нормально функционирует, то программа удаляется из автозагрузки. Другой пример - перед установкой создать новый пункт в меню выбора системы для загрузки - "откатить установку программы KES". Это также позволит быстро откатить внесенные изменения, если компьютер был превращен в кирпич неудачной установкой. Я бы даже оставил этот пункт на постоянной основе, чтобы можно было легко удалить неработающую программу. Скажу откровенно, для меня это было стрессовой ситуацией, когда одновременно несколько компьютеров оказались в нерабочем состоянии. Людям же надо работать! а тут - на ровном месте - такие проблемы. Непередаваемое ощущение - когда вокруг тебя стоят несколько человек и каждый минуту спрашивают когда починят их компьютеры, потому что у них срочная работа. Я уже и так делаю обновление не более 10-ти компьютеров одновременно. Похоже настало время уменьшить это количество до 1-2. И конечно же - Rescue Disk - наше все. Это первое, что нужно сделать каждому админу