Oleg Bykov

Добрый день, Ответил Игорю личным сообщением, разбираемся.

Процесс терминирован: обнаружена попытка эксплуатации уязвимости. Причина: попытка загрузки запрещенного модуля. Имя объекта: C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE. Пользователь: xxx Добрый день. В настройках Exploit Prevention для процесса IExplore.exe по умолчанию указан список модулей, запрещённых к загрузке - в частности, это модули скриптовых движков типа vbscript.dll. Тем не менее, некоторые сайты построены так, что для их просмотра требуются эти модули. В этом случае нужно убрать такие модули из списка, если вы уверены, что эти сайты не вредоносные. К сожалению, в текущей версии KSWS нет технической возможности показать имя сработавшего модуля в событии. Можно выяснить этот модуль только перебором - или очистить весь список запрещённых модулей для IExplore.exe.

Здравствуйте, Проблема ещё актуальна? Напишу Вам личным сообщением, всё порешаем.

Добрый день и с праздниками всех! Виновник описанного выше поведения - наш компонент Application Control. Если вы не используете его на сервере, то просто деинсталлируйте этот компонент из состава продукта и всё наладится (если не наладится, то нужно ещё перегрузить ОС). Дело в том, что AppControl меняет группы загрузки для сервисов Windows Update (wuauserv) и Background Intelligent Transfer Service (bits) - вместо общей для них группы netsvcs антивирус прописывает у них кастомные группы. Сделано это для того, чтобы было сподручнее следить за деятельностью этих сервисов. На старых версиях Windows это работало нормально, но в новых версиях сервис Windows Update по каким-то причинам иногда отказывается работать не в своей группе. Если вам всё-таки нужен AppControl, то его деинсталлировать, конечно, не нужно, а можно выполнить такие команды: sc config bits binPath="C:\Windows\System32\svchost.exe -k netsvcs -p" sc config wuauserv binPath="C:\Windows\system32\svchost.exe -k netsvcs -p" Сейчас мы готовим Maintenance Release для KSWS 11.0 - должен выйти в ближайшие месяцы - там постараемся с этой проблемой разобраться наконец-то.

Добрый день, Эта ошибка исправлена в патче Core 2 для KSWS 11.0.0.480 - пожалуйста, запросите его у поддержки.

В релизе KSWS 11.1 добавим такую функциональность.

Добрый день, Действительно, не реализовали такую фичу в плагине KSC, извините. Надеюсь, в следующих версиях появится. Есть ещё один способ обновить базы в пакете - нужно в нём поменять файл bases.cab на более свежий. У нас есть скрипт, который формирует этот свежий CAB. Если хотите, могу его выслать в личную почту.

Здравствуйте, Установлен ли на машине Kaspersky Endpoint Agent?

Вроде разобрались - помог всё-таки MSIZap (уже немного с другими параметрами) + подчистка в реестре информации о коннекторе KSWS 10.0, которая осталась, по-видимому, после KAVRemover. Максим, надеюсь, на остальных серверах это тоже сработает. Если что, пишите (можно сразу мне в личную почту) - разберёмся.

@andrew75 Я согласен с Вами. Но не на всё мы можем повлиять, плюс в Компании есть и другие люди с другими взглядами на эту проблему.

Добрый день, KAVRemover, конечно, не нужно было использовать для сноса KSWS. Теперь ситуацию можно решить только через MSIZap - отправлю Максиму личным сообщением.

Патч Core11 в KB пока не выложен, его нужно запрашивать через обращение в поддержку.

Здравствуйте, Без трейсов не буду утверждать на 100%, но выглядит как ошибка 10.1.2, которая правилась в одном из патчей. Установите патч Core11 - должно помочь.

The article mentioned above will appear shortly at this URL: https://support.kaspersky.com/15639

James, do you have patches installed for your KSWS 10.1.2? If yes, which ones?

I’ll post a link to the article here as soon as it’s ready. As for version 11, the registry key is a bit different: [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\WSEE\11.0\Environment] "DontRestoreFileTimes"=dword:00000001

Как и для других релизов KSWS, это сообщение в 99% случаев можно игнорировать.

Hello James, You are right - there’s still no option to not restore filetime in the KSWS 11.0 UI. Sorry about that! Daft probably sounds appropriate in this case. This is what we’ll do - we’ll prepare a Knowledge Base article about how to avoid these problems via the “registry hack”, and meanwhile we’ll strive to add this option to the UI in the next release (11.1 or whatever). Thank you for using KSWS!

Разобрались в личной почте - кроме нового плагина, нужно ещё заменить один модуль в KSWS11. Если кто-то с этим столкнулся и хочет поправить, можно запросить эти артефакты у поддержки (новый плагин + патч Core 2). //ModNote: на 2021-04-06 уже доступен патч Core 6, запрашивать в CompanyAccount.

Действительно, пропустили этот момент в плагине KSWS 11. Мы подготовили новую версию плагина, её нужно установить вместо версии 11.0.0.480. Запросить новый плагин можно либо у поддержки, либо скачать тут (ссылка доступна временно): https://box.kaspersky.com/d/ced80e0610264c42961c/

Hello, Try removing the FireFox.exe from the list of the application protected by the Exploit Prevention component.

Спасибо, что сообщили - разбираемся в ситуации. Напишу сюда о результатах.

Hi Milan, No need to be nervous, if everything is working so far (except the Update task), then there’s nothing to worry about. The KSWS patches are not automatic, this is true, but if there’s something really critical, we’ll release it as an autopatch, of course. Still, I'd recommend getting the Core 10 patch and installing it. By the way, we’re preparing a new release - KSWS 11. So we also have some evolution going on. :)

Hello, Do you have any patches installed for KSWS 10.1.2? If not, I strongly recommend you to request and install the Core 10 patch from the Support.

Добрый день, Ошибка вот в чём: [13:54:49:613]: DisableWindowsDefender: Error: (_com_error): OpenLocalMachineGPO(GPO_OPEN_LOAD_REGISTRY) failed code=0x80004005 Для решения таких проблем мы рекомендуем удалить эту папку: C:\Windows\System32\GroupPolicy\Machine