Перейти к содержанию

Антивирус дружит с вирусами


Рекомендуемые сообщения

Есть антивирус endpiont Security 10 установленный на windows server2012 R2 standart. Все находится в сети под доменом за фаирволом TMG.

При подключении к ресурсам сети ноутбука с антивирусом аваст, он сразу начал ругаться на троянов, Была запущена полная проверка всего что есть в сети, ничего не обнаружилась кроме кейгенов на флешке. Пришло спокойствие от понимания защищенности, пока не зашифровались файлы на одном из компов, тут то и подозрение закралось в том что антивирусник пропускает вирусы( ну или дружит сними). Начал проверку серверов и оказалось что антивирус видит в кучу вирусов но ничего не делает пока не пнешь его конкретно напроверку зараженного файла. Если проверять папку с файлом то ему пофигу что там вирус.

 

Картинки с этим безобразием прикрепил.

 

Теперь вопрос как с этим бороться?

post-48983-0-91977000-1518584826_thumb.png

post-48983-0-20337900-1518584827_thumb.png

post-48983-0-45516900-1518584827_thumb.png

post-48983-0-70731400-1518584827_thumb.png

post-48983-0-60633100-1518584828_thumb.png

post-48983-0-92673500-1518584828_thumb.png

post-48983-0-26494600-1518584829_thumb.png

Ссылка на сообщение
Поделиться на другие сайты

@berserkerkz, не совсем понятно: проверяете папку Fonts, вирусы обнаруживаются в system32.

И по вердиктам: это майнеры.

Галочка стоит в: Антивирусная защита - в разделе Объекты - Настройка - Другие объекты?

 

Для серверов есть специальный продукт, если вам сетевой фаерволл не нужен:

https://support.kaspersky.ru/ksws10

https://support.kaspersky.ru/wsee8

Ссылка на сообщение
Поделиться на другие сайты

@berserkerkz, не совсем понятно: проверяете папку Fonts, вирусы обнаруживаются в system32.

И по вердиктам: это майнеры.

Галочка стоит в: Антивирусная защита - в разделе Объекты - Настройка - Другие объекты?

 

Для серверов есть специальный продукт, если вам сетевой фаерволл не нужен:

https://support.kaspersky.ru/ksws10

https://support.kaspersky.ru/wsee8

Галка не стояла. Просто я сделал картинку с тем что успел удалить, а остальные это проверка папки C:\Windows\Fonts из контекстного меню. И вирусы прописались в доверенные для антивирусника.

SNIMOK7.th.png

Ссылка на сообщение
Поделиться на другие сайты

Мне одному кажется что тут нужно искать человека внутри компании, который имеет доступ к настройкам антивируса? Похоже кто то решил подзаработать, это не первый случай.

Ссылка на сообщение
Поделиться на другие сайты

Мне одному кажется что тут нужно искать человека внутри компании, который имеет доступ к настройкам антивируса? Похоже кто то решил подзаработать, это не первый случай.

Все бы ничего, но контроллер домена и файловый сервер есть только у меня одного доступ, да и недавно бухгалтерия поймала id-4AE3851F.[HelpBTC@cock.li].java, при включенном антивируснике

Ссылка на сообщение
Поделиться на другие сайты

Все бы ничего, но контроллер домена и файловый сервер есть только у меня одного доступ, да и недавно бухгалтерия поймала id-4AE3851F.[HelpBTC@cock.li].java, при включенном антивируснике

А какая связь этого события с предыдущими?

 

Вы сами показали скриншот с исключениями - javacu.exe и fontdrvhost.exe туда же не сами попали. Кто-то их добавил в исключения.

Изменено пользователем andrew75
Ссылка на сообщение
Поделиться на другие сайты

Либо ваши логин\пароль слили и под ними кто-то заходил либо вы конфигу такую загрузили. Привяжите сервер к KSC и в верных политиках запретите делать изменения (закройте замочек)

Ссылка на сообщение
Поделиться на другие сайты

@berserkerkz, восстановите настройки продукта по умолчанию, потом перенастройте его как вам нужно. Желательно в настройках включить детектирование всех угроз.

Установите сложный пароль, поменяйте все пароли к учетным записям администратора: https://support.kaspersky.ru/common/windows/7951

Почитайте статьи против шифровальщиков:
1. https://support.kaspersky.ru/10952

2. https://support.kaspersky.ru/10905

Ссылка на сообщение
Поделиться на другие сайты

 

Все бы ничего, но контроллер домена и файловый сервер есть только у меня одного доступ, да и недавно бухгалтерия поймала id-4AE3851F.[HelpBTC@cock.li].java, при включенном антивируснике

А какая связь этого события с предыдущими?

 

Вы сами показали скриншот с исключениями - javacu.exe и fontdrvhost.exe туда же не сами попали. Кто-то их добавил в исключения.

 

Я же сам себе не враг, я так понял что и в рееств внисены изменения, только я не могу поменять или удалить ключ из реестра нет прав, скорее всего запись сделана от учетки system

Ссылка на сообщение
Поделиться на другие сайты

@berserkerkz,

 

*посмотирте через монитор ресурсов во вкладке сеть: процесс svchost на неизвестный вам адрес куда стучиться

в диспетчере задач добавьте Командную строку и посмотрите по найденному PID в какой он папке находится

грохнуть процесс можно через process explorer

через power shell удалять, запущенного от имени system


и еще: если папки не видно, значит нужно искать папку, где нибудь в CommonFiles или ProgramFiles или в system32

там же можно посмотреть в папках dat, кто поставил

потом в логах evtx ищите нестандартные подключения по RDP

Изменено пользователем oit
Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...