[Как удалить ВПО?]

Здравствуйте!

Все нормально. После перезагрузки компьютера файл не восстановился. Сообщение о том, что для лечения необходимо перезагрузить компьютер долго не замечал... 😞

Спасибо.

[Как удалить ВПО?]

17 часов назад, Demiad сказал:

Тогда если файл C:\Program Files\Google\Chrome\updater.exe всё-таки существует в указанной папке, то приложите его к запросу в архиве с паролем: infected

К запросу в поддержку?

 

[Как удалить ВПО?]

Дело в том, что Chrome там вообще не установлен...

[Как удалить ВПО?]

Здравствуйте!

При развертывании антивируса KES 12.3 на рабочих станциях на некоторых компьютерах (Windows 10) при принудительной проверке находит ВПО:

Событие "Обнаружен вредоносный объект" произошло на устройстве XXXXXX
Описание результата: Обнаружено
Тип: Троянское приложение
Название: HEUR:Trojan.Win64.Miner.pef
Объект: C:\Program Files\Google\Chrome\updater.exe
Причина: Машинное обучение
Дата выпуска баз: 11.01.2024 10:32:00

После этого выдает сообщения, что вроде бы все удалил, но в итоге антивирус опять его находит, начинает лечить и т.д. по кругу. Что-то можно сделать, чтобы его удалил антивирус или потребуется вычищать вручную?

----

Событие "Объект удален" произошло на устройстве XXXXXX
Описание результата: Удалено
Тип: Троянское приложение
Название: HEUR:Trojan.Win64.Miner.pef
Объект: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Boot\{C1690221-4E76-405C-B71A-E78DE3C98AEB}

----

Событие "Объект удален" произошло на устройстве XXXXXX
Описание результата: Удалено
Тип: Троянское приложение
Название: HEUR:Trojan.Win64.Miner.pef
Объект: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\GoogleUpdateTaskMachineQC

----

Событие "Объект удален" произошло на устройстве XXXXXX
Описание результата: Удалено
Тип: Троянское приложение
Название: HEUR:Trojan.Win64.Miner.pef
Объект: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{C1690221-4E76-405C-B71A-E78DE3C98AEB}

----

Событие "Объект удален" произошло на устройстве XXXXXX
Описание результата: Удалено
Тип: Троянское приложение
Название: HEUR:Trojan.Win64.Miner.pef
Объект: C:\Windows\System32\Tasks\GoogleUpdateTaskMachineQC

----

Событие "Объект удален" произошло на устройстве XXXXXX
Описание результата: Удалено
Тип: Троянское приложение
Название: HEUR:Trojan.Win64.Miner.pef
Объект: C:\Program Files\Google\Chrome\updater.exe

----

Событие "Лечение невозможно" произошло на устройстве XXXXXX
Описание результата: Не обработано
Тип: Троянское приложение
Название: HEUR:Trojan.Win64.Miner.pef
Объект: C:\Program Files\Google\Chrome\updater.exe
Причина: Обработка уже выполнена

----

 

Спасибо.

[Не запускается Агент администрирования на Windows 7]

Большое спасибо! Заработало!

[Не запускается Агент администрирования на Windows 7]

Здравствуйте!

На Windows 7 агент администрированяия 14.2.0.26967 не запускается:

Ошибка 1053: Служба не ответила на запрос своевременно

 

Кажется, я с таким сталкивался, не установлено какое-то обновление Windows. Но вот какое не помню. Подскажите, пожалуйста.

 

Спасибо.

 

 

 

[KSWS 11.0.1.897. Объект не помещен на карантин. Причина: действие не поддерживается]

Вопрос решил.

Поставил в настройках действий "Выполнять рекомендуемое действие" и заработало как надо.

Спасибо.

[KSWS 11.0.1.897. Объект не помещен на карантин. Причина: действие не поддерживается]

Здравствуйте!

На сервере настроена периодическая проверка каталога с электронной почтой.
Иногда при проверке находится почта с опасными вложениями, на что в журнале есть события вроде таких:

Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.MSOffice.CVE-2018-0802.gen
Имя объекта: C:\...\test\28\{2867C7B2-E0A2-4F65-B6C0-09E4FDF8707F}.eml/FILE-4291937.doc//equation

Обнаружен возможно зараженный объект: Троянская программа HEUR:Exploit.MSOffice.CVE-2018-0802.gen
Имя объекта: C:\...\test\28\{2867C7B2-E0A2-4F65-B6C0-09E4FDF8707F}.eml/FILE-4291937.doc

Объект не помещен на карантин. Причина: действие не поддерживается
Имя объекта: C:\...\test.ru\test\28\{2867C7B2-E0A2-4F65-B6C0-09E4FDF8707F}.eml/FILE-4291937.doc//equation

Настройки у антивируса такие:

Действия над зараженными объектами:
Лечить. Удалять, если не удалось

Действия  над возможно зараженными объектами:
Помещать на карантин

 

Почему эти объекты не удаляются и не помещаются в карантин?

Спасибо.

[KSWS 11.0.1.897]

Дистрибутив у меня есть. Просто я не понял почему его оттуда убрали... Думал увижу более новую версию, а увдиле старую... Подумал, что может отозвали или еще что...

Но за ссылку большое спасибо! Полезная вещь!

[KSWS 11.0.1.897]

Здравствуйте!

Хотел посмотреть что нового по версиям для серверных ОС WIndows и  не нашел 11.0.1.897. До этого скачивал, а теперь нет, только 10.1.2.996.

Куда делась версия 11.0.1.897?

Спасибо.

[KSC- Контроль приложений]

Заработало. Оказывается, на тестируемом компьютере от предыдущих экспериментов применялся профиль, где этот каталог не был запрещен.

Вопрос снят.

Большое спасибо.

[KSC- Контроль приложений]

Здравствуйте!

Пробую настроить через KSC запрет запуска некоторых приложений (например, программ удаленного доступа).

В КSC cоздал категорию программ "Запрет", в которую включил перечень запрещаемых программ. Пока для отладки указал одну конкретную папку.
В политике в разделе "Контроль безопасности -> Контроль приложений" создал правило контроля, где указал созданную ранее категорию "Запрет", выставил "Запрещено" пользователям "Все".

Режим контроля "Список запрещенных", Действие "Применять правила".
Почему то запрет не срабатывает. И в событиях ничего не отображается.

Подскажите, пожалуйста, в чем может быть дело? Что я упустил из виду?

Используется
KSC 13.2
KES 11.11.0.452

Спасибо.

P.S. В событиях при первом запуске все-таки появляется запись вида:

Тип события: Приложение помещено в группу с ограничениями
Название: AA_v3.exe
Путь к приложению: C:\temp
ID процесса: 9624
Пользователь: XXXXXXXXXXXXXX
Компонент: Предотвращение вторжений
Точность: Низкая
Тип объекта: Группа приложений
Название объекта: KLAppRestrictedHi
Причина: Не удалось определить группу доверия

 

 

[KSC Database error occurred: #1950]

Спасибо. Обращусь в ТП.

[KSC Database error occurred: #1950]

Здравствуйте!

На сервере администрирования с частотой 15 сек. появляются сообщения об ошибке:

=========
Ошибка времени выполнения: Database error occurred: #1950 (8115) Generic db error: "8115 'Ошибка арифметического переполнения при преобразовании expression к типу данных datetime.{22003};' LastStatement='batch_xmlinsert'"

Информация об ошибке: 1950/8115 (Generic db error: "8115 'Ошибка арифметического переполнения при преобразовании expression к типу данных datetime.{22003};' LastStatement='batch_xmlinsert'"), c:\a\b\a_6vlf7p9h\s\csadminkit\development2\server\db\ado\db_adoprepstmtimpl.cpp, 408.
=========

Windows 2016 Std

Сервер администрирования Kaspersky Security Center
Версия: 13.0.0.11247

Подскажите, пожалуйста, что можно посмотреть.

Спасибо.

[Что значит VHO в названии вредоносного ПО?]

@andrew75 Спасибо.

[Что значит VHO в названии вредоносного ПО?]

@Goddeimos13 Спасибо, посмотрю. Но мне интересно, что означает "VHO". Например, "HEUR", кажется означает эвристику, а "VHO"?

[Что значит VHO в названии вредоносного ПО?]

Здравствуйте!

При очередной еженедельной полной проверке KES 11.8 в дистрибутивах драйверов, которые лежат на компьютере уже несколько лет, нашел и удалил файл ACFINST.dll с вердиктом

VHO:Trojan.Win32.Sdum.gen

Подскажите, пожалуйста, что означает VHO (раньше мне такое не попадалось)? Может где нибудь можно посмотреть полный перечень этих обозначений?

Спасибо.

[Как заблокировать список IP адресов]

Прокси есть. Действительно, лучше, пожалуй там реализовать.

Спасибо за идею!

[Как заблокировать список IP адресов]

Это внешние IP. У snort есть на сайте черный список. Хочу его добавить. Я думаю, что должен блокироваться любой трафик, а не только WEB.

[Как заблокировать список IP адресов]

Здравствуйте!

Подскажите, пожалуйста, как можно заблокировать список IP адресов в KES? В политиках в сетевом экране нашел, но там надо добавлять по одному, а мне надо добавить 800 штук, да еще обновлять периодически. Можно как то добавить списком или скопировать/вставить?

Спасибо.

[Защита от сетевых угроз KSWS 11.0.0.480]

Большое спасибо, теперь понятно!

[Политики для KES 11]

Здравствуйте!

Попробуйте создать профиль, где контроль устройств отключен.

[Защита от сетевых угроз KSWS 11.0.0.480]

Здравствуйте!

Продолжение темы.
Пока проверяю на одном сервере Windows 2008R2.
Включил брандмауэр и СБФ, задача "Защита от сетевых угроз" стала запускаться.
Но при сканировании портов никаких действий не происходит и никакие события не регистрируются.
Хотя при сканировании портов сервера Windows 2012R2 с такой же версией антивируса и с этой же политикой попытка сканирования портов определяется практически сразу и атакующий хост блокируется:

Обнаружен объект:  Scan.Generic.PortScan.TCP. Имя объекта: XXX.XXX.XXX.XXX:XXXXX. Протокол: TCP. Отправитель: XXX.XXX.XXX.XXX:XXXXX. Получатель: YYY.YYY.YYY.YYY:YYYYY
Компьютер добавлен в список недоверенных до 07/06/22 11:49:10, источник: . Компьютер: XXX.XXX.XXX.XXX:XXXXX.

Так должно быть или что-то надо донастроить?

Спасибо.

[Защита от сетевых угроз KSWS 11.0.0.480]

Спасибо! Значит включу на серверах СБФ.

[Защита от сетевых угроз KSWS 11.0.0.480]

Здравствуйте!
На некоторых серверах Windows 2008R2 не запускается задача "Защита от сетевых угроз". При попытке запустить завершается с ошибкой:

Внутренняя ошибка. Код ошибки: 0x0007. Код подсистемы: 0x6 (WP). Дополнительные сведения можно найти на сайте Службы технической поддержки "Лаборатории Касперского": https://click.kaspersky.com/?hl=ru-RU&link=error&pid=wsee&version=11.0.0.0&error=B6X7X

По ссылке  никакой информации нет.

Обратил внимание, что там, где задача "Защита от сетевых угроз" нормально работает, служба базовой фильтрации включена, а там где не запускается - служба базовой фильтрации выключена.

Связан ли сбой при запуске "Защиты от сетевых угроз" с тем, что на этих серверах служба базовой фильтрации отключена или искать другую причину? 
На действующем сервере не хочется экспериментировать.

Спасибо.