Jump to content
Kaspersky Support Forum

Michael_Eil

Members
 View Profile  See their activity

  • Posts

    9

  • Joined

  • Last visited

    Never

 Content Type 

Posts posted by Michael_Eil

    卡巴斯基全方位安全软件,系统监控组件检测到木马程序;但是貌似卡巴斯基被服务被停止,后放过。

    in 家用产品支持

    Posted

    尊敬的用户您好:

    “新建文件夹”中只是保护组件状态的常规信息记录,对您的问题分析很有限,具体分析还需要更加详细的报告文件。

     

    谢谢

    自从设置卡巴斯基密码保护,查询报告没有异常。如果以后出现异常,我再进行报告文件分析上传。

    谢谢。

    卡巴斯基全方位安全软件,系统监控组件检测到木马程序;但是貌似卡巴斯基被服务被停止,后放过。

    in 家用产品支持

    Posted

    尊敬的用户您好:

    首先, 请您先为卡巴斯基程序设置一个密码保护.观察一下是否还会出现组件”停止\开启”的现象,如果依然出现的话, 请您收集卡巴斯基跟踪文件来进行分析.

    第一步.

    如果您的计算机上有安装其它安全软件,建议您先临时卸载它们,然后重启计算机执行下面的步骤:

    请按照下列步骤进行操作:

    1.请先下载GSI分析工具:
    下载地址:
    https://media.kaspersky.com/utilities/ConsumerUtilities/GetSystemInfo6.2.2.15.exe
    备用下载地址:
    https://share.weiyun.com/F9WogJV2
    2.使用鼠标右键点击GetSystemInfo.exe,选择“以管理员身份运行”
    3.工具运行后,在英文窗口下方点击“Accept”进入程序主界面
    4.在程序主界面勾选“Include Windows Event logs” ,然后点击下面的“Start”按钮,程序开始进行扫描工作
    5.等待扫描工作结束 (大约需要10分钟左右)
    6.扫描结束后会会显示"Resart",然后直接关闭 GSI 工具窗口(点击右上角的 X)
    7.这时,在您计算机桌面上找到生成的报告文件(文件命名格式:GSI6_xxxxxxxxxx.zip)

     

    第二步.

    首先,通过您的使用观察是否可以在一段固定的时间里复现这个问题吗? 建议时间控制在半小时以内

    如果可以的话,请根据下面的步骤操作, 如果无法固定时间请告知我们,
    1.打开卡巴斯基程序主界面
    2.请点击卡巴斯基主界面左下角的“支持”(一个带耳机的头像)  
    3.点击---支持工具(在界面最下方)
    4.在“支持工具”界面最下方,点击一次---删除所有服务数据和报告
    5.回到“支持工具”界面上方,开启第一项---启用应用程序跟踪,点击保存
    6.请手动重启一次计算机,等待卡巴斯基程序启动
    7.重新复现问题
    8.根据上面的步骤,把“启用应用程序跟踪”关闭
    9.继续在当前界面最下面,点击“将报告发送给技术支持”
    10.确认最上面两项都已打√,然后点击“在您的计算机上保存报告”
    11.任意输入一个名字,选择位置保存,最后将报告发送给我即可

    注:文件发送之后,请根据步骤4,点击一次---删除所有服务数据和报告

     

    谢谢
     

    密码保护设置后,未出现(不是由我操作)停止现象。以后出现类似问题我再上传。

    我上方 上传新建文件夹.zip附件,是发现问题两天的日志。可以帮我分析一下吗?

    谢谢。

    卡巴斯基全方位安全软件,系统监控组件检测到木马程序;但是貌似卡巴斯基被服务被停止,后放过。

    in 家用产品支持

    Posted

    尊敬的用户您好:

    关于您描述的问题,

    首先, 卡巴斯基检测了相关威胁并将其处理, 您可以在”隔离区”中查看被处理的文件

    卡巴斯基主界面中间下方点击”更多工具”-”隔离”

    然后, 请进入卡巴斯基设置界面, 在保护右边点击”应用程序控制” , 点击”管理应用程序”, 在列表中找到”锁屏广告”相关程序文件, 鼠标右键点击”它”,选择”限制”-”不信任组”, 如有多个请重复此操作.

    最后, 您看到一些保护组件”停止\启动”, 这种情况一般发生在”系统休眠待机”或”卡巴斯基游戏模式”原因

    您也可以再使用观察一下,是否可以找到一些事件规律,我们需要收集卡巴斯基跟踪文件来进一步研究分析。

     

    谢谢

    你好:

    我之前检查过隔离区:没有这几个锁屏广告文件;

    我在发现锁屏广告后,就将它们全部放入不信任组;

    设置中没有勾选启动游戏模式,并且没有使用电脑玩过游戏,和下载游戏程序;并且由于启动反锁屏保护,电脑不会睡眠(现在合上笔记本盖子,除了屏幕关闭,不会睡眠,不会暂停任务。)

    1.我观察这几个组件基本同时停止,并且大部分8秒以内,但是有的组件有时长达4分钟,再启动;被安装锁屏广告软件时间段,系统监控组件停止,其他组件反而没停止。

    2.这几个组件停止 系统用户:NT AUTHORITY\SYSTEM 和 活动用户:DESKTOP 触发
    我现在设置了密码保护:暂时正常同时电脑可能内置残余厂商流氓软件,有可能是一种原因;我再分析一下,其他电脑的卡巴斯基报告。

    3.我把日志上传到上方 1 Attachment新建文件夹.zip

    4.这个是我检索的相关网页:关于某品牌笔记本国行预装系统中内置隐藏软件

                                  我的卡巴斯基老是被nt authority\system暗中停止任务,请问是不是中了木马了?

    谢谢

    卡巴斯基全方位安全软件,系统监控组件检测到木马程序;但是貌似卡巴斯基被服务被停止,后放过。

    in 家用产品支持

    Posted

    您好

    我的应用程序版本 21.2.16.590(c)

    10月13日18:00,突然产生锁屏广告,根据相关网页,找到原因:锁屏画报相关程序并卸载,删除 WinAppMgmt服务
    后检索卡巴斯基报告发现:
    系统监控2021/10/12 18:35:56 ):检测到恶意3个名为Update Module的木马,但是我的电脑没有弹窗提醒和后续记录
    我的卡巴斯基系统监控设置为:检测到恶意软件或其他活动时终止应用程序检测到威胁时的操作阻止操作回滚

    我看报告发现:
    Starsoftcomm公司软件(电脑内置) 执行的Update Module软件产生一系列程序
    应用程序名称:
     【StarSoftComm SafeBox Service Application、
    锁屏画报 服务组件 、
     ls_setup.exe、
    LSSetup.exe、LSSetup5.exe、
    HuiGuanJiaDisableAssistantAutoRun.exe、
    CooCare Assistant、
    360安全浏览器
    Update Module
    cchelperBI9MQTXI.exe
    Update Module
    cchelper6NTWRBEC.exe】(软件主要位于C:\ProgramData\WinAppMgmt文件夹)

    结果:导致卡巴斯基反锁屏保护失效,貌似卡巴斯基相关服务组件也被停止

    同时查看之前的报告:发现【文件反病毒组件】:莫名奇妙 停止再启动处理错误一些文件损坏
    其他组件(防火墙、ASMI、邮件反病毒、网页反病毒)都有莫名停止,再启动现象。

     

    我想知道:(1)我的分析是否正确,同时木马被放过的原因

                  (2)卡巴斯基组件,停止再启动的原因

    关于某品牌笔记本国行预装系统中内置隐藏软件

    建议:全盘扫描等扫描设置,能否整合在总设置中

     

    卡巴斯基全方位安全软件,更多工具中的报告,事件显示不全 [ 已解决 / Solved ] [ 已关闭 / Closed ]

    in 家用产品支持

    Posted

    Hello,

    经过测试,我猜你遇到的是这个情况,是不是。更改 应用程序规则中的 排除 项目撤销所有排除项目后,本应该在 受信任应用程序 中应该删除相关规则的,但是相关项目残留了。

    https://cloud.qainfo.ru/s/2GhiWDQUted0dNr

    你好,疑问都解决了,非常感谢。

    看到视频中的操作我明白了。想起,之前因为程序无法登入,我按照搜索到的一个网页,把Services_Parameters创建权限开启,就把这个操作忘记了。

     

    卡巴斯基全方位安全软件,更多工具中的报告,事件显示不全 [ 已解决 / Solved ] [ 已关闭 / Closed ]

    in 家用产品支持

    Posted

    Hello,

     

    在 卡巴斯基 2020 以及之前的版本中存在这种信息吗?一般只是在 应用程序活动分析 中指出某个进程 不受控制 ,并没有具体日志记录。

    我之前没有把任何程序,放入 <指定受信任应用程序>;我也经常检查<排除项>、<指定受信任程序>.

    但是我前些天,通过{更多工具→管理应用程序→应用程序控制}将一些程序,放入高限制。这几天无意间发现,指定受信任应用程序 中有 一款软件的几个程序被放入。

    我又检查,发现被放入<指定受信任应用程序>的几个程序 仍然在 应用程序控制 的 高限制;但是 限制 这列 的图标变蓝,显示 自定义设置(用户定义)。其他高限制,还有一款已卸载的软件(不同公司),有相同情况。其他都显示 高限制(用户定义)。

    <指定受信任应用程序>中只有一个程序,我在放入高限制后,我设置了网络允许,没有其他任何操作。


    Hello,

    我之前没有把任何程序,放入 <指定受信任应用程序>;我也经常检查<排除项>、<指定受信任程序>.

    但是我前些天,通过{更多工具→管理应用程序→应用程序控制}将一些程序,放入高限制。这几天无意间发现,指定受信任应用程序 中有 一款软件的几个程序被放入。

    你这段话说了,具体想说明什么?你是不是在这里设置过什么?这里的设置与 指定受信任程序 规则是同步的,换句话说也是一样的。

    Regards.

    你好,

    我检查了我有疑问的程序 未在你图片显示的这项,勾选任何东西。

    1.我想问 我有几个程序显示 蓝色图标是什么意思,我只在(就是你的图片Manage applications这页)给一个程序设置了网络允许,没有其他任何设置。

    2.我之前那段话想表达的是:有几个程序,在我将他们列入高限制组之后,他们自动进入了<指定受信任应用程序>。

     

    卡巴斯基全方位安全软件,更多工具中的报告,事件显示不全 [ 已解决 / Solved ] [ 已关闭 / Closed ]

    in 家用产品支持

    Posted

    Hello,

     

    在 卡巴斯基 2020 以及之前的版本中存在这种信息吗?一般只是在 应用程序活动分析 中指出某个进程 不受控制 ,并没有具体日志记录。

    我之前没有把任何程序,放入 <指定受信任应用程序>;我也经常检查<排除项>、<指定受信任程序>.

    但是我前些天,通过{更多工具→管理应用程序→应用程序控制}将一些程序,放入高限制。这几天无意间发现,指定受信任应用程序 中有 一款软件的几个程序被放入。

    我又检查,发现被放入<指定受信任应用程序>的几个程序 仍然在 应用程序控制 的 高限制;但是 限制 这列 的图标变蓝,显示 自定义设置(用户定义)。其他高限制,还有一款已卸载的软件(不同公司),有相同情况。其他都显示 高限制(用户定义)。

    <指定受信任应用程序>中只有一个程序,我在放入高限制后,我设置了网络允许,没有其他任何操作。

×
×
  • Create New...