Перейти к содержанию

Рекомендуемые сообщения

Опубликовано (изменено)

Здравствуйте! Сегодня обнаружил сработку c помощью KES 12.5. Объект lsass.exe. При нажатии "Устранить" ничего не происходит, лишь меняется время сработки. Полагаю, где-то есть .exe, который перезапускает этот процесс, но не нашел его. Файл образа автозапуска из Uvs прилагаю.

Снимок.PNG

2025-04-11_16-52-36_v4.99.12v x64.7z

Изменено пользователем Kapibara
Опубликовано

Логи сделаны в терминальной сессии, сделайте их из консоли, т.е. непосредственно на самом компьютере.
Об этом вас Автологер и предупредил.

Опубликовано

Цитата из лога AVZ

Цитата

AVZ is run under terminal session (RDP-Tcp#0)

 

Опубликовано

Так это сервер, не локальный комп. По-другому не получится.

Опубликовано

Судя по первому образу автозапуска вы перед созданием образа выполнили два скрипта для лечения из других тем.

Сейчас детекты SEPEH продолжаются, или все закончилось 11.04.2025?

Можно так же добавить отчет о проверке обнаружений и сканированию из антивируса Касперского.

Опубликовано (изменено)
Цитата

Сегодня, 14.04.2025 9:17:35    pmem:\C:\Windows\System32\lsass.exe    lsass.exe    pmem:\C:\Windows\System32    Файл    Не обработано    Объект не обработан    Не обработано    MEM:Trojan.Win32.SEPEH.gen    Троянское приложение    Высокая    Точно        avp.exe    C:\Program Files (x86)\Kaspersky Lab\KES.12.5.0\avp.exe    C:\Program Files (x86)\Kaspersky Lab\KES.12.5.0        TEST\Administrator    Активный пользователь    Файл не найден

 

Создайте новый образ автозапуска с отслеживанием процессов и задач:

 

1. Скачайте архив с актуальной версией утилиты uVS c зеркала программы отсюда (1) (здесь дополнительно встроен архиватор 7zip), распакуйте данный архив с программой в отдельный каталог.

2. запустите из каталога с модулями uVS файл Start.exe
(для Vista, W7- W11 выберите запуск от имени Администратора)
3. В стартовом окне программы - нажать "запустить под текущим пользователем". (если текущий пользователь с правами локального администратора)

3.1 Если запросили обычный образ автозапуска, переходим сразу к п.4
Если запросили образ автозапуска с отслеживанием процессов и задач:
В главном меню выбираем "Дополнительно" - Твики" - нажимаем "твик 39" и перегружаем систему. После перезагрузки переходим к п.2 и выполняем все действия из 2, 3, 4, 5, 6. (без 3.1)
4. Далее, меню "Файл" / Сохранить Полный образ автозапуска.

5. Дождитесь, пока процесс создания файла образа завершится.
Сохраненный файл образа автозапуска (с именем Ваш_компьютер_дата_время*.txt) автоматически добавится в архив 7z. (если используется uVS из зеркала со встроенным архиватором 7z)
6. Файл архива с образом автозапуска прикрепите к вашему сообщению на форуме.

Изменено пользователем safety
Опубликовано (изменено)

Срабатывание антивируса на процесс LSASS.exe было при загрузке системы? Как на вашем верхнем скрине?

Изменено пользователем safety
Опубликовано

Да, сработал также после перезагрузки

Опубликовано (изменено)

Вы нажали действие устранить?

Пробуйте переделать образ без устранения проблемы с детектом, чтобы можно было увидеть (в образе) родительский процесс, который нагружает что-то в lsass.exe

Второй раз отслеживание процессов и задач не надо включать. Оно уже включено.

После создания образа автозапуска, можно будет в антивирусе выполнить действие -устранить.

Изменено пользователем safety
Гость
Эта тема закрыта для публикации ответов.
×
×
  • Создать...