Неизвестный источник вируса HEUR:Trojan.Multi.Crypmod.gen

[usz]

Здравствуйте. В журнале KES 11.0.1.90 на файловом сервере появилось событие вида: Результат: Обнаружено: HEUR:Trojan.Multi.Crypmod.gen Пользователь: (Активный пользователь) Объект: Внешняя программа Причина: Поведенческий анализ Дата выпуска баз: 03.04.2019 11:29:00 Удаленная сессия: 0x17a65ea Есть какая-то возможность узнать на какой именно файл сработал поведенческий анализ, т.к. объект указан просто как "внешняя программа"?

[Dmitry Parshutin]

Здравствуйте. В журнале KES 11.0.1.90 на файловом сервере появилось событие вида: Результат: Обнаружено: HEUR:Trojan.Multi.Crypmod.gen Пользователь: (Активный пользователь) Объект: Внешняя программа Причина: Поведенческий анализ Дата выпуска баз: 03.04.2019 11:29:00 Удаленная сессия: 0x17a65ea Есть какая-то возможность узнать на какой именно файл сработал поведенческий анализ, т.к. объект указан просто как "внешняя программа"?

Добрый день! Попробуйте воспользоваться отчетом об угрозах на KSC

[usz]

Отчет об угрозах ничего не проясняет, там вся таже информация по сути, в поле "Путь к файлу" указано "system" и всё

[Nikolay Arinchev]

Здравствуйте, Уточните, пожалуйста, в локальном интерфейсе KES на афйловом сервере содержится информация о пути к зараженному файлу?

[usz]

Здравствуйте, Уточните, пожалуйста, в локальном интерфейсе KES на афйловом сервере содержится информация о пути к зараженному файлу?

Здравствуйте. Нет, такой информации там не содержится, собственно в этом у меня и вопрос, как узнать на какой процесс сработала защита. Выглядит так, как будто с какой-то из сетевых машин начали происходить некие манипуляции с файлами на общем сетевом ресурсе, он заблокировал задачу и откатил действия программы, восстановив ряд файлов формата *.xls, *.xlsx и *.jpeg. Это все что я могу понять из отчетов.

[usz]

И еще вопрос, уж простите за оффтоп. Я правильно понял что аккаунт здесь, kaspersky my account и kaspersky company account это три разных учетки, и что бы написать допустим в техподдержку для корпоративных пользователей мне надо там еще один аккаунт создать? Я сначала тут вопрос задал, а потом подумал может надо было в техподдержку корп. пользователей писать...

[dvz]

И еще вопрос, уж простите за оффтоп. Я правильно понял что аккаунт здесь, kaspersky my account и kaspersky company account это три разных учетки, и что бы написать допустим в техподдержку для корпоративных пользователей мне надо там еще один аккаунт создать? Я сначала тут вопрос задал, а потом подумал может надо было в техподдержку корп. пользователей писать...

УЗ от MK и этого форума подходят, а в CA отдельную УЗ требуется создать. Для гарантированной помощи просят писать в СА.

[Ivan Megulin]

В 10.04.2019 в 12:36, usz сказал:

Здравствуйте. В журнале KES 11.0.1.90 на файловом сервере появилось событие вида: Результат: Обнаружено: HEUR:Trojan.Multi.Crypmod.gen Пользователь: (Активный пользователь) Объект: Внешняя программа Причина: Поведенческий анализ Дата выпуска баз: 03.04.2019 11:29:00 Удаленная сессия: 0x17a65ea Есть какая-то возможность узнать на какой именно файл сработал поведенческий анализ, т.к. объект указан просто как "внешняя программа"?

Добрый день. Как то тема заглохла. А решения как не было так и нет. У меня такая же история как у USZ. На файловом сервере по 8-10 подобных сообщений. Информации о данном вирусе в сети нет абсолютно. Помогите пожалуйста, как с этим бороться.

[vad1m]

Такая же проблема. Решения как понимаю нет

[durtuno]

В 10.04.2019 в 10:36, usz сказал:

Удаленная сессия: 0x17a65ea

1 час назад, vad1m сказал:

Такая же проблема. Решения как понимаю нет

Какая именно проблема и какое решение Вы ожидаете увидеть?

Смотрите системный журнал безопасности, кто и откуда с указанной сессией пытается подключиться к серверу.