bat файл отображается как вирус

[artarik]

Добрый день.

Необходимо установить Sysinternals sysmon64 на пк пользователей.

на пк стоят KES версий от 10.2.6.3733 до 11.3.0.773

 

на KSC создал  инсталляционный пакет, туда добавил bat файл следующего содержания:

@echo off
mkdir C:\ProgramData\sysmon
copy sysmon* C:\ProgramData\sysmon /y
pushd "C:\ProgramData\sysmon\"
sysmon64.exe -accepteula -i sysmonconfig-export.xml
sc failure Sysmon64 actions= restart/10000/restart/10000// reset= 120
timeout /t 10
exit

 

Запустил на тестовом пк , все ок

Запустил на управляемые пк и получил вирусную атаку, пример события ниже:

Результат:     Обнаружено: PDM:Trojan.Win32.Generic
Пользователь:     EXPERTIZA\d.mashchenko (Активный пользователь)
Объект:     c:\windows\temp\kav remote installations\488fb64d-d072-4a9b-96a3-3e81337755fbadfebd7f-181d-4769-bb78-6989f6be2c4c\exec\install sysmon.bat
 

Почему так?

[MaxK]

Вот мне тоже интересно, почему касперский из под носа только что написаные батники тырит прям в процессе работы 🤦

ps: и смайлика с мужиком который за голову держится у вас тоже нету...