berserkerkz 0 Опубликовано 14 февраля, 2018 Share Опубликовано 14 февраля, 2018 Есть антивирус endpiont Security 10 установленный на windows server2012 R2 standart. Все находится в сети под доменом за фаирволом TMG. При подключении к ресурсам сети ноутбука с антивирусом аваст, он сразу начал ругаться на троянов, Была запущена полная проверка всего что есть в сети, ничего не обнаружилась кроме кейгенов на флешке. Пришло спокойствие от понимания защищенности, пока не зашифровались файлы на одном из компов, тут то и подозрение закралось в том что антивирусник пропускает вирусы( ну или дружит сними). Начал проверку серверов и оказалось что антивирус видит в кучу вирусов но ничего не делает пока не пнешь его конкретно напроверку зараженного файла. Если проверять папку с файлом то ему пофигу что там вирус. Картинки с этим безобразием прикрепил. Теперь вопрос как с этим бороться? Цитата Ссылка на сообщение Поделиться на другие сайты
oit 2 135 Опубликовано 14 февраля, 2018 Share Опубликовано 14 февраля, 2018 @berserkerkz, не совсем понятно: проверяете папку Fonts, вирусы обнаруживаются в system32. И по вердиктам: это майнеры. Галочка стоит в: Антивирусная защита - в разделе Объекты - Настройка - Другие объекты? Для серверов есть специальный продукт, если вам сетевой фаерволл не нужен: https://support.kaspersky.ru/ksws10 https://support.kaspersky.ru/wsee8 Цитата Ссылка на сообщение Поделиться на другие сайты
berserkerkz 0 Опубликовано 14 февраля, 2018 Автор Share Опубликовано 14 февраля, 2018 @berserkerkz, не совсем понятно: проверяете папку Fonts, вирусы обнаруживаются в system32. И по вердиктам: это майнеры. Галочка стоит в: Антивирусная защита - в разделе Объекты - Настройка - Другие объекты? Для серверов есть специальный продукт, если вам сетевой фаерволл не нужен: https://support.kaspersky.ru/ksws10 https://support.kaspersky.ru/wsee8 Галка не стояла. Просто я сделал картинку с тем что успел удалить, а остальные это проверка папки C:\Windows\Fonts из контекстного меню. И вирусы прописались в доверенные для антивирусника. Цитата Ссылка на сообщение Поделиться на другие сайты
Денис-НН 1 224 Опубликовано 14 февраля, 2018 Share Опубликовано 14 февраля, 2018 Мне одному кажется что тут нужно искать человека внутри компании, который имеет доступ к настройкам антивируса? Похоже кто то решил подзаработать, это не первый случай. 3 Цитата Ссылка на сообщение Поделиться на другие сайты
berserkerkz 0 Опубликовано 14 февраля, 2018 Автор Share Опубликовано 14 февраля, 2018 Мне одному кажется что тут нужно искать человека внутри компании, который имеет доступ к настройкам антивируса? Похоже кто то решил подзаработать, это не первый случай. Все бы ничего, но контроллер домена и файловый сервер есть только у меня одного доступ, да и недавно бухгалтерия поймала id-4AE3851F.[HelpBTC@cock.li].java, при включенном антивируснике Цитата Ссылка на сообщение Поделиться на другие сайты
andrew75 1 406 Опубликовано 14 февраля, 2018 Share Опубликовано 14 февраля, 2018 (изменено) Все бы ничего, но контроллер домена и файловый сервер есть только у меня одного доступ, да и недавно бухгалтерия поймала id-4AE3851F.[HelpBTC@cock.li].java, при включенном антивируснике А какая связь этого события с предыдущими? Вы сами показали скриншот с исключениями - javacu.exe и fontdrvhost.exe туда же не сами попали. Кто-то их добавил в исключения. Изменено 14 февраля, 2018 пользователем andrew75 Цитата Ссылка на сообщение Поделиться на другие сайты
oit 2 135 Опубликовано 14 февраля, 2018 Share Опубликовано 14 февраля, 2018 Либо ваши логин\пароль слили и под ними кто-то заходил либо вы конфигу такую загрузили. Привяжите сервер к KSC и в верных политиках запретите делать изменения (закройте замочек) Цитата Ссылка на сообщение Поделиться на другие сайты
Friend 1 235 Опубликовано 14 февраля, 2018 Share Опубликовано 14 февраля, 2018 @berserkerkz, восстановите настройки продукта по умолчанию, потом перенастройте его как вам нужно. Желательно в настройках включить детектирование всех угроз. Установите сложный пароль, поменяйте все пароли к учетным записям администратора: https://support.kaspersky.ru/common/windows/7951 Почитайте статьи против шифровальщиков:1. https://support.kaspersky.ru/10952 2. https://support.kaspersky.ru/10905 Цитата Ссылка на сообщение Поделиться на другие сайты
berserkerkz 0 Опубликовано 15 февраля, 2018 Автор Share Опубликовано 15 февраля, 2018 Все бы ничего, но контроллер домена и файловый сервер есть только у меня одного доступ, да и недавно бухгалтерия поймала id-4AE3851F.[HelpBTC@cock.li].java, при включенном антивируснике А какая связь этого события с предыдущими? Вы сами показали скриншот с исключениями - javacu.exe и fontdrvhost.exe туда же не сами попали. Кто-то их добавил в исключения. Я же сам себе не враг, я так понял что и в рееств внисены изменения, только я не могу поменять или удалить ключ из реестра нет прав, скорее всего запись сделана от учетки system Цитата Ссылка на сообщение Поделиться на другие сайты
oit 2 135 Опубликовано 15 февраля, 2018 Share Опубликовано 15 февраля, 2018 (изменено) @berserkerkz, *посмотирте через монитор ресурсов во вкладке сеть: процесс svchost на неизвестный вам адрес куда стучиться в диспетчере задач добавьте Командную строку и посмотрите по найденному PID в какой он папке находится грохнуть процесс можно через process explorer через power shell удалять, запущенного от имени system и еще: если папки не видно, значит нужно искать папку, где нибудь в CommonFiles или ProgramFiles или в system32 там же можно посмотреть в папках dat, кто поставил потом в логах evtx ищите нестандартные подключения по RDP Изменено 15 февраля, 2018 пользователем oit Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.