durtuno
-
Posts
423 -
Joined
-
Last visited
Posts posted by durtuno
-
-
В 06.01.2023 в 08:58, Roman Polo сказал:
К сожалению, не завелось так как надо
Агенты администрирования извлечённые из "ksc_13_13.0.0.11247_full_ru.exe" и "ksc_13_13.1.0.8324_full_ru.exe".
-
1
-
-
24 минуты назад, a367112 сказал:
Вопрос в том, как отключить создание этой папки.
Как один из вариантов, попробовать отключить вышеупомянутые технологии:
-
А в чём собственно заключается вопрос?
"System Volume Information" - это служебная директория, куда система и программы могут писать файлы.
Могу смело предположить, что указанная Вами директория требуется для работы следующих фич - поиск по базе знаний.
-
Извлечь из соответствующего дистрибутива?
12.08.2021 11:46 453 139 792 ksc_13_13.1.0.8324_full_ru.exe 04.10.2021 17:14 470 150 736 ksc_13_13.2.0.1511_full_ru.exe -
8 минут назад, kalibr-10 сказал:
Может устроиться туда и навести порядок)))
Попробуйте ?
-
18 минут назад, Alma сказал:
В чём проблема и как решить, помогите...
Защитное ПО, скорее всего, у Вас находится под политикой, в таком случае и следует настраивать эту политику для возможности управления программой локально.
-
11 часов назад, kalibr-10 сказал:
странно что файл называется Kaspersky Security Center 13.msc
Переименуйте файл ?
-
49 минут назад, kalibr-10 сказал:
Подскажите как восстановить оснастку MMC?
>dir "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Security Center\" | findstr /c:msc 27.07.2022 02:18 133 730 Kaspersky Security Center 14.msc -
1 час назад, rand.olf сказал:
Исполняемые файлы дропнулись по пути "C:\Windows\System32\config\systemprofile\AppData\Local\UNPManager",
Вы пытались использовать переменные окружения?
Если да, то не все эти переменные применимы в задачах "KSC", т.к. они исполняются от имени "СИСТЕМА".
Если Вам нужен именно профиль активного пользователя, то пишите командный сценарий с определением оного.
Сейчас поищу, где-то лежал готовый.
Например, один из вариантов, в командном сценарии в переменную %user% поместит залогиненного пользователя в пользовательской системе:
@for /f "tokens=2 delims=\" %%u in ('wmic computersystem get username^|find "\"') do @set "user=%%u"после эту переменную можно использовать для составления путей.
Но и это конечно тоже не вариант, т.к. профиль не обязан соответствовать имени пользователя, поэтому можно рассмотреть др. вариант, сейчас тоже его поищу.
Нижеуказанный сценарий перечислит директории всех, за некоторым исключением (исключения можете добавить), пользователей, в которые разворачивается переменная %appdata% для каждого пользователя:
@echo off SetLocal EnableExtensions For /F "Tokens=2*" %%I In ('Reg Query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList" /V ProfilesDirectory') Do Set Profiles=%%J Call Set Profiles=%Profiles% For /F "Delims=" %%I In ('Dir /B /AD-S-H "%Profiles%" ^| FindStr /V /B /I /C:"All Users" /C:"Public"') Do ( echo."%Profiles%\%%I\AppData\Roaming\" )Если сложить оба сценария, то можно получить %appdata% текущего пользователя:
@echo off SetLocal EnableExtensions @for /f "tokens=2 delims=\" %%u in ('wmic computersystem get username^|find "\"') do @set "user=%%u" @for /f %%s in ('wmic useraccount where name^='%user: =%' get SID^|find "-"') do @set SID=%%s For /F "Tokens=2*" %%I In ('Reg Query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\%SID%" /V ProfileImagePath') Do Set Profiles=%%J echo."%Profiles%\AppData\Roaming\" -
22 часа назад, енот сказал:
Возможно запретить обновления продуктов microsoft средствами endpoint security?
Задача со сценарием, который прописывает в групповую политику системы несуществующий локальный WSUS.
Такая политика защитит от автоматического обновления системы, правда останется возможность ручного обновления.
22 часа назад, енот сказал:Пришло письмо из министерства образования с рекомендацией закрыть обновления продуктов США и ЕС.
Если не коммерческая тайна - можете таким письмом поделиться?
Нашим в образовании ничего не приходило, но у Нас среднее и дошкольное.
-
1
-
-
Да, с задачей ошибся - Я отвечал на скрин утилиты, где описана ошибка подключения к базе "KAV".
В задаче у Вас ошибка остановки какой-то службы, можно полагать самого "KSC" - как вариант можно глянуть системные журналы, возможно в это время в него пишутся дополнительные, с расширенным описанием, события.
-
А из под какого пользователя у Вас запускается задача резервного копирования?
Имеется ли у этого пользователя доступ к БД?
-
38 минут назад, jinn0006 сказал:
Ну вот же!
-
2 часа назад, lkz_07 сказал:
На скриншоте - ОК. Служба запущена - Работает
Там ни слова про службу.
-
20 часов назад, Soket555 сказал:
Ветки реестра пустые
Сиди гадай - есть и пустые или ещё чего.
Вывод указанной команды привести можете ли?
-
3 часа назад, Soket555 сказал:
Ветки реестра пустые
Система 32х-разрядная?
-
5 минут назад, Soket555 сказал:
Ремувером проходился.
Все безрезльтатно(
В безопасном режиме?
А указанный на скрине ключ в реестре действительно присутсвует?
Что вернут команды?
reg query HKLM\SOFTWARE\WOW6432Node\KasperskyLab reg query HKLM\SOFTWARE\WOW6432Node\KasperskyLab\protected -
Я не вижу на скрине проверки соединения с сервером.
В каком статусе у Вас находится служба агента?
-
У Вас это новая установка или ранее Касперский уже присутствовал в системе ранее?
Попробуйте предварительно пройтись klremover.
-
1 час назад, kamil сказал:
а "backdoor.python.rshell.d" это конкретный бакдор с одной сигнатурой или может быть куча разновидностей?
Вот это и проясните в тех.поддержке;
1 час назад, kamil сказал:т.е. могло быть такое, что вирус был в системе давно, базы антивируса регулярно обновлялись. Каспер не обнаруживал его. Тут наступает день Х, базы обновляются (2 недели назад), в базе антивируса появляется конкретно его сигнатура и каспер его находит?
Могло и быть.
-
Если "расшифровать" Своими словами, то:
backdoor - предоставляет удалённый доступ к системе;
python - написан на одноимённом ЯП ;
rshell - это "Remote Shell", т.е. в переводе "удалённая оболочка", можно понимать как удалённый доступ с помощью той же, например, командной строки с выполнением каких-либо команд: скачать, загрузить, скопировать, выполнить и пр.;
d - одна из разновидностей подобного рода/ функционала малвари.
Если Вам нужен официальный ответ, то попробуйте обратиться в официальную тех.поддержку Kaspersky.
-
Какие настройки заданы у вас в этом разделе?
-
Какие настройки исключений проверки SSL-трафика и в каких разделах Вы задавали?
-
Ага, отозвали из-за выявленных ошибок в политиках исключений.
Ждём корректирующий релиз.
//Обновленный релиз выпущен. / @Demiad
KSC 14. Статус управляемого устройства в MMC
in Kaspersky Security Center
Posted · Edited by durtuno
А об этом, где-нибудь, в документации упоминается ли?
А то, что-то Я такое и не встречал.