[В файле vbs пропускает вирус, если присутствует много комментариев (прим. 10 тыс. строк)]

Файл начинается строкой

Set Phytoserology7 = WScript.CreateObject("WScript.Shell")

Только это одно уже должно навести на подозрения !

затем, если удалить все комментарии, то файл заканчивается строками:

Phytoserology7.RegWrite "HKCU\Indkbsvrdier\Markforsgets\Careless",Em4,Phytoserology9
c6 = Glimmer & chrw(34) & Detroniserings & chrw(34)
Phytoserology7.Run c6 , 1-1

Однако касперский этот файл пропускает. Если удалить все комментарии, которые играют маскировочную роль, то благополучно находит:

Компонент: Антивирусная проверка
Результат: Обнаружено
Описание результата: Обнаружено
Тип: Троянское приложение
Название: HEUR:Trojan.Script.Generic
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Файл
Имя объекта: 2.txt (переименован из vbs)
Путь к объекту: D:\_virus\KIA Purchase Order List Requirements 20230227938823 PDF
SHA256 объекта: F1BE7762308B712C02B130697E850CA94412834E4DDC60721FF42F807F7E4891
MD5 объекта: 1883C2F3AEBCBD531DF49FC289013E6E
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 28.02.2023 2:04:00

В политике нет никаких ограничений ни на размер архива ни на время проверки.

До удаления строк с комментариями размер файла был 994 Кб, после удаления 200 кб

[KES 11.11 (11.10) компонент "Защита от почтовых угроз" находит троянское приложение "HEUR:Trojan-PSW.Script.Generic", выборочная проверка не находит]

да

я могу их залить куда-нибудь, если надо.

 

[KES 11.11 (11.10) компонент "Защита от почтовых угроз" находит троянское приложение "HEUR:Trojan-PSW.Script.Generic", выборочная проверка не находит]

Получил по почте 2 файла html - "копия денежного перевода" и "Подтверждение". 

Компонент "Защита от почтовых угроз" определил

Событие: Обнаружен вредоносный объект
Компонент: Защита от почтовых угроз
Описание результата: Обнаружено
Тип: Троянское приложение
Название: HEUR:Trojan-PSW.Script.Generic
Точность: Эвристический анализ
Степень угрозы: Высокая
Тип объекта: Почтовое вложение
Имя объекта: hidden
Путь к объекту: [From:hidden]//
SHA256 объекта: 6D15B76A1437A945AD822BB708B85F48D1EA02E789732B6AC1000E3AC8D08031
MD5 объекта: 896A5C2A75DADA90F499A4F293C7E3BD
Причина: Экспертный анализ
Дата выпуска баз: Сегодня, 22.12.2022 11:09:00

=

Оба файла начинаются со строк <script language="JavaScript"> .

Я их сохранил на диск и запустил команду "проверки из контекстного меню", затем "выборочная проверка" с настройками максимальной строгости. Однако эти компоненты вирусов не нашли. Также проверил с помощью avp.com с настройками максимальной строгости, но также ничего не было найдено.

 

[После обновления с KES 11.9 до 11.10 несколько компьютеров превратились в кирпич]

7 часов назад, mike 1 сказал:

А КриптоПро или Vipnet Client часом установлено не было на этом ПК? Менялся ли состав компонентов защиты в инсталляционном пакете?

на все вопросы ответ "нет"

Что заметил - на многих проблемных компьютерах (но не на всех), был включен UAC , как он идет по умолчанию после установки винды. Но сомневаюсь, что в этом проблема

[Релиз Kaspersky Endpoint Security 11.10.0.399]

 

[После обновления с KES 11.9 до 11.10 несколько компьютеров превратились в кирпич]

С KSC была запущена задача на обновление с версии 11.9.0.351 на версию 11.10.0.399

На нескольких компьютерах обновление было завершено с ошибкой "Удаленная установка на устройстве завершена с ошибкой: В процессе установки произошла неисправимая ошибка. (Ошибка 27211. Ошибка при включении самозащиты.)"

После этого эти компьютеры превратились в кирпич - клавиатура, мышка, сеть не работают, флешки не монтируются., невозможно обновить драйвера, новые устройства не определяются.

На некоторых компьютерах проблема решилась через откат к предыдущей удачной загрузке. Но не на всех.

Хорошо, что был разъем PS/2. Вначале подключил мышку - не работает. Подключил клавиатуру - заработала.

С помощью kavremover удалил остатки программы и наконец-то компьютер ожил.

Насколько я понял, при установке Касперский поменял драйвера некоторых устройств на свои, но из-за ошибки во время обновления были установлены не все компоненты. Сам windows уже не мог работать через эти драйвера, а Касперский не запускался.

У меня убедительная просьба к разработчикам - сделайте процесс обновления более безопасным.

Как пример - при установке первым делом ставится в автозагрузку маленькая программа, которая следит, что при включении компьютера службы касперского  запустились удачно, и компьютер нормально функционирует. Если этого не происходит, то через определенное время программа сама запускает kavremover  и откатывает все внесенные изменения. Если установка прошла штатно и компьютер после перезагрузки нормально функционирует, то программа удаляется из автозагрузки.

Другой пример - перед установкой создать новый пункт в меню выбора системы для загрузки - "откатить установку программы KES".  Это также позволит быстро откатить внесенные изменения, если компьютер был превращен в кирпич неудачной установкой. Я бы даже оставил этот пункт на постоянной основе, чтобы можно было легко удалить неработающую программу.

Скажу откровенно, для меня это было стрессовой ситуацией, когда одновременно несколько компьютеров оказались в нерабочем состоянии. Людям же надо работать! а тут - на ровном месте - такие проблемы.  Непередаваемое ощущение - когда вокруг тебя стоят несколько человек и каждый минуту спрашивают когда починят их компьютеры, потому что у них срочная работа.

Я уже и так делаю обновление не более 10-ти компьютеров одновременно. Похоже настало время уменьшить это количество до 1-2.
И конечно же - Rescue Disk - наше все. Это первое, что нужно сделать каждому админу