robocopy и Антивирусные базы данных

[Sanke]

Добрый день, недавно узнал про такой вид копирования встроенной функции Windows как robocopy, это упростило бы мне задачу на офлайн машины копировать антивирусные базы, но столкнулся с такой проблемой, раньше я копировал обычным переносом папки, но вот я решил попробовать копирование через robocopy и мои несколько машин (не все что самое интересное а выборочно) начали ругаться на базы антивирусов (скриншоты прилагаю), я попробовал другой антивирус он кстати тоже выдал но уже другую ошибку именно в сторону robocopy, в общем то что там нет вирусов это 100%, и даже не обсуждается наличие в нем заразы, но вот почему себя так ведет антивирус это вопрос?

Спойлер

[mike 1]

2 часа назад, Sanke сказал:

и даже не обсуждается наличие в нем заразы, но вот почему себя так ведет антивирус это вопрос?

А почему расширение у файлов тогда меняется?

[andrew75]

2 часа назад, Sanke сказал:

недавно узнал про такой вид копирования встроенной функции Windows как robocopy, это упростило бы мне задачу на офлайн машины копировать антивирусные базы

возможно существование Kaspersky Update Utility для вас тоже будет новостью. Тогда почитайте. Она больше подходит для ваших целей.

2 часа назад, Sanke сказал:

то что там нет вирусов это 100%

это утверждение, исходя из ваших скриншотов, вызывает сомнение. Как выше написали есть подозрение на работу шифровальщика.

 

[Sanke]

7 минут назад, andrew75 сказал:

возможно существование Kaspersky Update Utility для вас тоже будет новостью. Тогда почитайте. Она больше подходит для ваших целей.

это утверждение, исходя из ваших скриншотов, вызывает сомнение. Как выше написали есть подозрение на работу шифровальщика.

 

 Kaspersky Update Utility  у нас нельзя стороннее ПО устанавливать, а только разрешенное тем более нет связи на этих машинах они без внешней сети,

По поводу то что там нет вирусов, так как изначально базы выкладываются на сервер на котором уже есть Антивирус Касперского, после я копирую эти базы на свой комп, на котором тоже есть Антивирус Касперского обновленный, после чего я копирую эти базы на флешку которая используется только на машинах без сети, после чего я копирую эти базы на одну из машин на которых стоит Касперский но правда не с последними обновлениями и уже раскидываю по машинам которые находятся во внутренней сети.

[Sanke]

Компонент: Анализ поведения
Описание результата: Запрещено
Тип: Троянское приложение
Название: HEUR:Trojan.Multi.Crypren.gen
Степень угрозы: Точно
Точность: Высокая
Тип объекта: Процесс
Путь к объекту: D:\Distrib\udp\Updates\updates\adb
Название объекта: el0019.txt.ENCRYPTED
Причина: Опасное действие
Дата выпуска баз: 25.11.2025 4:36:00

 

А потом пишет 

 

Компонент: Анализ поведения
Описание результата: Откат действий приложения
Тип: Троянское приложение
Название: HEUR:Trojan.Multi.Crypren.gen
Степень угрозы: Точно
Точность: Информация
Тип объекта: Процесс
Путь к объекту: D:\Distrib\udp\Updates\updates\adb
Название объекта: el0019.txt.ENCRYPTED

 

 

Это просто Текстовый файл 

Edited 2 hours ago by Sanke

[andrew75]

Расширение .ENCRYPTED откуда берется?

[Sanke]

Только что, andrew75 сказал:

Расширение .ENCRYPTED откуда берется?

Антивирус при копировании помечает так файлы 

[andrew75]

Антивирус не переименовывает файлы в текущем местоположении.

Они у вас копируются в таком виде и антивирус на них реагирует.

[Sanke]

10 минут назад, andrew75 сказал:

Антивирус не переименовывает файлы в текущем местоположении.

Они у вас копируются в таком виде и антивирус на них реагирует.

ENCRYPTED возможно робокопи помечает так файлы и Антивирус их подозревает

в общем мне сейчас скинули показали ребята файлы в папке в которой якобы были все файлы помечены ENCRYPTED , но там все файлы в нормальном состоянии я не пойму откуда антивирус взял эту пометку у меня на всех машинах нет таких расширений

[Friend]

Добрый день,

3 часа назад, Sanke сказал:

скриншоты прилагаю

Как правильно делать скриншоты: https://support.kaspersky.ru/common/diagnostics/492#block1, можно воспользоваться ножницами.

59 минут назад, Sanke сказал:

Kaspersky Update Utility  у нас нельзя стороннее ПО устанавливать

Так это не стороннее ПО, продукт Лаборатории Касперского.
Kaspersky Update Utility не устанавливается, достаточно распаковать архив и запустить программу.

15 минут назад, Sanke сказал:

ENCRYPTED возможно робокопи

Так убедитесь в этом, точно ли Robocopy этим занимается или же у вас сидит вирус, который антивирус не видит. 

16 минут назад, Sanke сказал:

откуда антивирус взял эту пометку у меня на всех машинах нет таких расширений

С подробным описанием, трассировками и отчетом о системе обратитесь в поддержку: https://support.kaspersky.ru/b2b/ru#contacts, возможно ложное срабатывание эвристического анализатора.

[andrew75]

45 минут назад, Sanke сказал:

ENCRYPTED возможно робокопи помечает так файлы

robocopy тоже ничего не переименовывает.

Вообще обсуждать логи такого качества и недельной давности достаточно бессмысленно. Особенно не понимаю что, откуда, куда и с какими параметрами копируется.

Но то что:

45 минут назад, Sanke сказал:

мне сейчас скинули показали ребята файлы в папке в которой якобы были все файлы помечены ENCRYPTED , но там все файлы в нормальном состоянии

это не показатель. Антивирус просто не дал скопировать эти файлы в папку назначения. У вас там старые базы сейчас лежат скорее всего. И они разумеется чистые.

Мы здесь все равно не можем запрашивать у вас то что хотя бы теоретически может содержать персональные данные. 

Поэтому либо разбирайтесь сами, либо с техподдержкой. Но тогда все-таки подготовьте им нормальные логи, а не то что нам показали.

Я бы посоветовал вам для начала посмотреть исходные базы - те откуда вы их копировали в эту папку. А потом проверить машину, откуда вы запускали robocopy. Есть вероятность, что она заражена.

[Sanke]

12 минут назад, andrew75 сказал:

 

Копировалось что то типа такого"robocopy I:\Updates C:\Updates /E /MIR /R:3 /W:5" это все через командную строку, все базы сейчас актуальны и обновленные, по крайней мере антивирус говорит что все обновилось как и всегда, файлы которые мы видим в логах с пометкой ENCRYPTED  их просто нет, я не знаю куда они делись, но антивирус ничего не удалял и в карантин не помещал, Из всего из этого меня беспокоит только отчет который Антивирус теперь хранит и за который мне пришлось отчитаться. 

Edited 1 hour ago by Sanke

[andrew75]

Отчет надо было смотреть 13-14-го числа ) Сейчас это уже гораздо сложнее. Либо надо смотреть какие-то дополнительные логи.

Вобщем информации явно недостаточно. А гадать дело неблагодарное.

Вообще robocopy замечательная утилита, которая стабильно работает. Никаким переименованием файлов она не занимается. По крайней мере ничего подобного из того что вы рассказали она делать не может. И антивирусы на нее конкретно никогда не ругаются.

[kmscom]

хотелось бы нормальные скриншоты посмотреть, а то глаза сломать можно.

[Sanke]

1 минуту назад, kmscom сказал:

хотелось бы нормальные скриншоты посмотреть, а то глаза сломать можно.

Ну фото мне прислали такие только есть

[andrew75]

Там все равно информации недостаточно. Это срабатывание антивируса на машине, куда копировались базы.

При том что базы у антивируса там были от 25.11.2025

Если бы не расширение у копируемых файлов .ENCRYPTED можно было бы считать что это ложное срабатывание. Но расширение сильно настораживает.

Может там был шифровальщик, но с тех пор антивирус его уже убил.
Я бы посмотрел хотя бы остальные логи антивируса на этой машине.