Jump to content

Хамит

Members
  • Posts

    7
  • Joined

  • Last visited

Posts posted by Хамит

  1. Файл начинается строкой

    Set Phytoserology7 = WScript.CreateObject("WScript.Shell")

    Только это одно уже должно навести на подозрения !

    затем, если удалить все комментарии, то файл заканчивается строками:

    Phytoserology7.RegWrite "HKCU\Indkbsvrdier\Markforsgets\Careless",Em4,Phytoserology9
    c6 = Glimmer & chrw(34) & Detroniserings & chrw(34)
    Phytoserology7.Run c6 , 1-1

    Однако касперский этот файл пропускает. Если удалить все комментарии, которые играют маскировочную роль, то благополучно находит:

    Компонент: Антивирусная проверка
    Результат: Обнаружено
    Описание результата: Обнаружено
    Тип: Троянское приложение
    Название: HEUR:Trojan.Script.Generic
    Точность: Эвристический анализ
    Степень угрозы: Высокая
    Тип объекта: Файл
    Имя объекта: 2.txt (переименован из vbs)
    Путь к объекту: D:\_virus\KIA Purchase Order List Requirements 20230227938823 PDF
    SHA256 объекта: F1BE7762308B712C02B130697E850CA94412834E4DDC60721FF42F807F7E4891
    MD5 объекта: 1883C2F3AEBCBD531DF49FC289013E6E
    Причина: Экспертный анализ
    Дата выпуска баз: Сегодня, 28.02.2023 2:04:00


    В политике нет никаких ограничений ни на размер архива ни на время проверки.

    До удаления строк с комментариями размер файла был 994 Кб, после удаления 200 кб

  2. Получил по почте 2 файла html - "копия денежного перевода" и "Подтверждение". 

    Компонент "Защита от почтовых угроз" определил

    Событие: Обнаружен вредоносный объект
    Компонент: Защита от почтовых угроз
    Описание результата: Обнаружено
    Тип: Троянское приложение
    Название: HEUR:Trojan-PSW.Script.Generic
    Точность: Эвристический анализ
    Степень угрозы: Высокая
    Тип объекта: Почтовое вложение
    Имя объекта: hidden
    Путь к объекту: [From:hidden]//
    SHA256 объекта: 6D15B76A1437A945AD822BB708B85F48D1EA02E789732B6AC1000E3AC8D08031
    MD5 объекта: 896A5C2A75DADA90F499A4F293C7E3BD
    Причина: Экспертный анализ
    Дата выпуска баз: Сегодня, 22.12.2022 11:09:00

    =

    Оба файла начинаются со строк <script language="JavaScript"> .

    Я их сохранил на диск и запустил команду "проверки из контекстного меню", затем "выборочная проверка" с настройками максимальной строгости. Однако эти компоненты вирусов не нашли. Также проверил с помощью avp.com с настройками максимальной строгости, но также ничего не было найдено.

     

  3. 7 часов назад, mike 1 сказал:

    А КриптоПро или Vipnet Client часом установлено не было на этом ПК? Менялся ли состав компонентов защиты в инсталляционном пакете?

    на все вопросы ответ "нет"

    Что заметил - на многих проблемных компьютерах (но не на всех), был включен UAC , как он идет по умолчанию после установки винды. Но сомневаюсь, что в этом проблема

  4. С KSC была запущена задача на обновление с версии 11.9.0.351 на версию 11.10.0.399

    На нескольких компьютерах обновление было завершено с ошибкой "Удаленная установка на устройстве завершена с ошибкой: В процессе установки произошла неисправимая ошибка. (Ошибка 27211. Ошибка при включении самозащиты.)"

    После этого эти компьютеры превратились в кирпич - клавиатура, мышка, сеть не работают, флешки не монтируются., невозможно обновить драйвера, новые устройства не определяются.

    На некоторых компьютерах проблема решилась через откат к предыдущей удачной загрузке. Но не на всех.

    Хорошо, что был разъем PS/2. Вначале подключил мышку - не работает. Подключил клавиатуру - заработала.

    С помощью kavremover удалил остатки программы и наконец-то компьютер ожил.

    Насколько я понял, при установке Касперский поменял драйвера некоторых устройств на свои, но из-за ошибки во время обновления были установлены не все компоненты. Сам windows уже не мог работать через эти драйвера, а Касперский не запускался.

    У меня убедительная просьба к разработчикам - сделайте процесс обновления более безопасным.

    Как пример - при установке первым делом ставится в автозагрузку маленькая программа, которая следит, что при включении компьютера службы касперского  запустились удачно, и компьютер нормально функционирует. Если этого не происходит, то через определенное время программа сама запускает kavremover  и откатывает все внесенные изменения. Если установка прошла штатно и компьютер после перезагрузки нормально функционирует, то программа удаляется из автозагрузки.

    Другой пример - перед установкой создать новый пункт в меню выбора системы для загрузки - "откатить установку программы KES".  Это также позволит быстро откатить внесенные изменения, если компьютер был превращен в кирпич неудачной установкой. Я бы даже оставил этот пункт на постоянной основе, чтобы можно было легко удалить неработающую программу.

    Скажу откровенно, для меня это было стрессовой ситуацией, когда одновременно несколько компьютеров оказались в нерабочем состоянии. Людям же надо работать! а тут - на ровном месте - такие проблемы.  Непередаваемое ощущение - когда вокруг тебя стоят несколько человек и каждый минуту спрашивают когда починят их компьютеры, потому что у них срочная работа.

    Я уже и так делаю обновление не более 10-ти компьютеров одновременно. Похоже настало время уменьшить это количество до 1-2.
    И конечно же - Rescue Disk - наше все. Это первое, что нужно сделать каждому админу

     

    • Like 1
×
×
  • Create New...