Jump to content

Угроза klBackupDepository.dat


Go to solution Solved by Danila T.,

Recommended Posts

На одной из 300 машин со вчерашнего KES11.0.1.90 со вчерашнего дня отлавливает HEUR:Trojan.Win32.Generic C:\System Volume Information\klBackupDepository.dat. Файл вроде бы самого Касперского, лечть не лечит и не удаляет, руками удалить тоже невозможно, кто нибудь знает как с таким бороться?
Link to comment
Share on other sites

Приветствую, Alloha , Можно попробовать следующее:
  1. Очистить отчеты.
  2. Отключить восстановление системы, перезагрузить компьютер и включить снова: https://support.kaspersky.ru/common/windows/3340
  3. Обновить Kaspersky Endpoint Security до 11.1.1.126
  4. Загрузиться с помощью Kaspersky Rescue Disk 18 и удалить руками.
  5. Обновить базы и выполнить полную проверку.
Link to comment
Share on other sites

Файл 100МБ скопировать на дает поскольку залочен Касперским и как я подозреваю он динамический. Поскольку комп удаленный скопировать затруднительно для проверки, да и 100 мб вряд ли влезет в Kaspersky VirusDesk, По крайней мере на моем компьютере он то появляется то пропадает. Возможно временами он становится доступен для удаления поскольку было Результат: Удалено: HEUR:Trojan.Win32.Generic Пользователь: WS-****\****(Активный пользователь) Объект: C:\System Volume Information\klBackupDepository.dat Но на следующий день он снова появился и с той же проблемой. Обновлятся до 11.1.1.126 нет желания поскольку эта версия проблемная, блокирует запуск ПО ссылаясь на проблемы с сертификатами. И есть опасения что если все таки сидит зараза, то вылезет в момент переустановки. Сделал запрос в поддержку Касперского.
Link to comment
Share on other sites

  • 2 years later...

Вероятно вместе с трояном подхватили и рут-кит. Можно отловить в защищённом режиме загрузки системы утилитой Касперского лечения руткит. Потом KRD18, полный проход.

сочувствующий пользователь продуктов Касперского (и не только).

Link to comment
Share on other sites

  • 1 month later...

Получит такой же алерт. Размер файла тоже около 100М.

Событие: "Обнаружен вредоносный объект".
Результат: Обнаружено: HEUR:Trojan.Win32.Generic
Пользователь: NT AUTHORITY\система (Системный пользователь)
Объект: C:\System Volume Information\klBackupDepository.dat
Причина: Экспертный анализ

Выгрузил этот файл и посмотрел содержимое. Внутри что-то типа кэша или бэкапа firefox. Закладки, журнал посещений, нечто, похожее на скаченные файлы и т.д.

Если этот файл действительно генерирует Каспер, то возникают вопросы. Куда эти данные Каспер хотел слить? Я конечно подозреваю, что в кэш могла попасть завирусованная страница, а KES таким образом сформировал резервную копию удалённого файла кэша, но почему тогда нельзя было сразу сказать, что в файлы с подобными именами кладётся бэкап и возможно это он.

Так что хотелось бы всё таки услышать, может ли KES создавать файлы с таким именем или нет. Если не может, то явно кто-то под KES косит и это надо искать.

Link to comment
Share on other sites

  • 6 months later...

ребятки, история такая - подключил жёсткий диск со старого компа - начал перекидывать всё дабы объединить 2 локальных диска в 1.

Там была походу 7 и касперский

Так вот в папке вот такие интересные файлы 

ISwift3.dat

klBackupDepository.dat

kliddb.dat

klmeta.dat

klobjdb.dat

как вы понимаете файлы на букву К - это касперский, насчёт I - не знаю.

далее я захотел скопировать их на другой носитель (напоминаю это жёсткий диск не системный основной, а дополнительный - там уже даже винды нет)- что я только не делал. Но вот 2 файла я так и не смог скопировать это:

klBackupDepository.dat

klobjdb.dat

Вот вам ещё статейка на английском для размышления

https://- - -.ru/2019/03/25/forensic-analysis-of-disclosed-uninitialized-kernel-memory/

Удачи. Пользуйтесь дальше на здоровье сие продуктом

Снимок экрана 2022-08-29 205124.jpg

Link to comment
Share on other sites

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share



×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.