Угроза klBackupDepository.dat

[Alloha]

На одной из 300 машин со вчерашнего KES11.0.1.90 со вчерашнего дня отлавливает HEUR:Trojan.Win32.Generic C:\System Volume Information\klBackupDepository.dat. Файл вроде бы самого Касперского, лечть не лечит и не удаляет, руками удалить тоже невозможно, кто нибудь знает как с таким бороться?

[mvsvit]

Какого размера файл? отправьте на анализ через https://virusdesk.kaspersky.ru/

[Friend]

Приветствую, Alloha , Можно попробовать следующее:

1. Очистить отчеты.
2. Отключить восстановление системы, перезагрузить компьютер и включить снова: https://support.kaspersky.ru/common/windows/3340
3. Обновить Kaspersky Endpoint Security до 11.1.1.126
4. Загрузиться с помощью Kaspersky Rescue Disk 18 и удалить руками.
5. Обновить базы и выполнить полную проверку.

[Alloha]

Файл 100МБ скопировать на дает поскольку залочен Касперским и как я подозреваю он динамический. Поскольку комп удаленный скопировать затруднительно для проверки, да и 100 мб вряд ли влезет в Kaspersky VirusDesk, По крайней мере на моем компьютере он то появляется то пропадает. Возможно временами он становится доступен для удаления поскольку было Результат: Удалено: HEUR:Trojan.Win32.Generic Пользователь: WS-****\****(Активный пользователь) Объект: C:\System Volume Information\klBackupDepository.dat Но на следующий день он снова появился и с той же проблемой. Обновлятся до 11.1.1.126 нет желания поскольку эта версия проблемная, блокирует запуск ПО ссылаясь на проблемы с сертификатами. И есть опасения что если все таки сидит зараза, то вылезет в момент переустановки. Сделал запрос в поддержку Касперского.

[Alexandr V]

Вероятно вместе с трояном подхватили и рут-кит. Можно отловить в защищённом режиме загрузки системы утилитой Касперского лечения руткит. Потом KRD18, полный проход.

сочувствующий пользователь продуктов Касперского (и не только).

[lonersgun]

Есть ли какие сдвиги по определению природы этого файла?

[Berckut]

Получит такой же алерт. Размер файла тоже около 100М.

Событие: "Обнаружен вредоносный объект".
Результат: Обнаружено: HEUR:Trojan.Win32.Generic
Пользователь: NT AUTHORITY\система (Системный пользователь)
Объект: C:\System Volume Information\klBackupDepository.dat
Причина: Экспертный анализ

Выгрузил этот файл и посмотрел содержимое. Внутри что-то типа кэша или бэкапа firefox. Закладки, журнал посещений, нечто, похожее на скаченные файлы и т.д.

Если этот файл действительно генерирует Каспер, то возникают вопросы. Куда эти данные Каспер хотел слить? Я конечно подозреваю, что в кэш могла попасть завирусованная страница, а KES таким образом сформировал резервную копию удалённого файла кэша, но почему тогда нельзя было сразу сказать, что в файлы с подобными именами кладётся бэкап и возможно это он.

Так что хотелось бы всё таки услышать, может ли KES создавать файлы с таким именем или нет. Если не может, то явно кто-то под KES косит и это надо искать.

[Danila T.]

Добрый день,

Пожалуйста свяжитесь со службой поддержки: https://support.kaspersky.com/b2b#contacts

[SlalomJohn]

Кстати - аналогичная ситуация - такой же файл детектит. Файл не могу получить ну просто никакими средствами...

[Berckut]

Кстати - аналогичная ситуация - такой же файл детектит. Файл не могу получить ну просто никакими средствами...

Загрузиться с live-cd.

[LoseMan_IKI]

ребятки, история такая - подключил жёсткий диск со старого компа - начал перекидывать всё дабы объединить 2 локальных диска в 1.

Там была походу 7 и касперский

Так вот в папке вот такие интересные файлы 

ISwift3.dat

klBackupDepository.dat

kliddb.dat

klmeta.dat

klobjdb.dat

как вы понимаете файлы на букву К - это касперский, насчёт I - не знаю.

далее я захотел скопировать их на другой носитель (напоминаю это жёсткий диск не системный основной, а дополнительный - там уже даже винды нет)- что я только не делал. Но вот 2 файла я так и не смог скопировать это:

klBackupDepository.dat

klobjdb.dat

Вот вам ещё статейка на английском для размышления

https://- - -.ru/2019/03/25/forensic-analysis-of-disclosed-uninitialized-kernel-memory/

Удачи. Пользуйтесь дальше на здоровье сие продуктом