Автор
Sergiyssv
в Помощь в удалении вирусов
-
Похожий контент
-
Автор IvanMel
Где то в начале января 2025 подцепил майнер cpu. Путем нахождения процесса через процесс хакер, по классике при запуске любого мониторинга по типу диспетчера основной процесс майнера тухнет и теряется из процессов, но осставляет за собой левый процес updater, по нему вычислил где лежит зараза. Маскируется отовсюду либо за updater либо за edge браузером. Путем разных манипуляций пробовал чистить его майнер clean прогами, очисткой левых задач в винде, через CCleaner автозапуски и задачи, чистил реестр на сколько смог, через утилиты. Проблема решается на неделю, а именно до среды, в среду он как ни в чем не было восстанавливается отовсюду. Последняя надежда этот форум, не очень хочется ребутать винду. Где обитает:
1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
2 - C:\Users\cinem\AppData\Roaming\driverUpdate тоже в такой же скрытой папке, ну уверен что это тоже от этого вируса но утилита его нашла и пометила;
3 - в планировщике задач;
4 - в установленных прогах второй edge, находится только через ccleaner; 5 - в Ccleanere в запуске тоже есть от edge какой то автозапуск.
Через утилиту находит только в безопасном режиме по обоим путям файлы (1 и 2 пункт выше) но при чистке в первой папке не удаляет все файлы, а только лишь один, оставшийся файлы в папке удалил вручную. Из найденных вирусов на скрине - онлайн фиксы для игры, dpi очевидно тоже считается вирусом, но этим программам уже много месяцев и они работают нормально, ну и процесс хакер это тот же диспетчер задач.
Логи в архиве.
CollectionLog-2025.02.19-15.12.zip
-
Автор Mirael
Добрый день!
Подсажите в какую сторону копать
по процесам kesl нагружается CPU Ubuntu 20-22 в организации под 99% тем самым быстро разряжается ноутбук
-
Автор Дед
Добрый день, коллеги.
Написал обращение в СТП Касперского, пока все зависло на анализе. По серверам ребята скинули патч но он не везде ставится.
Сервера:
на серверах стоит KEDR 3.14\3.15 - на каких-то работает нормально, на каких-то CPU грузит до 100%.
Коллеги из СТП Касперского дали фикс который включает т.н., серверный профиль. Увы он не везде работает. В процессе изменения настроек в реестре пишет что нет доступа.
При этом не совсем понятно, работает ли фикс с вкл. серверного профиля или нет, так как KEDR не всегда сразу грузит CPU на с100%, ему надо поработать пару недель.
На АРМ пользователей:
1) столкнулись с массовой проблемой что после обновления с 12.1. до 12.2 на некоторых АРМ установлено по 2 KES. В KSC показывает что установлен один KES 12.2. но если открыть ресстер программ, то показывает что стоит обе версии.
При этом реально работает только 12.1 если открыть KES на рабочем столе.
При этом ещё стоит KEDR и удалить KES 12.1 и 12.2 штатными средствами не представляется возможным. KEDR удалить можно. Сделал вывод что перед обновлением надо удалять старую версию KES. Поверх ставить нельзя. Но компьютеров с двумя KES которые удалить нельзя вышло довольно много и каждый переустанавливать это целая проблема, так как есть ещё филиалы.
2) После того как перешли на 12.2 версию, стали массово внедрять компоненту KEDR для интеграции с KATA. Так как продукты KES 12 серии и KEDR оказались несовместимы.
Массово на АРМ не работает пуск, поиск, не работает поиск и в Outlook, не открываются файлы из Outlook, не открываются файлы по сети, при попытке с такого узла зайти на терминалку по RDP, сверху висит синяя плашка куда подключился и просто показывает черный экран.
СТП касперского предложило установить патч "pf14017", не помогло, затем предложили отключить перехват консольного ввода, я честно говоря не нашёл такой опции ни в KEDR ни в KES.
В событиях и логах ничего криминального на нашёл. Со стороны кажется что всё работает.
Подскажите кто-нибудь сталкивался с таким набором проблем в работе KEDR и как это лечили?
Буду весьма признателен за помощь.
-
Автор KL FC Bot
Тавис Орманди, исследователь безопасности из Google, опубликовал детали аппаратной уязвимости в процессорах AMD. Уязвимость актуальна для процессоров серии Zen 2, впервые они были представлены в 2019 году. Хотя это и уже устаревшая архитектура, процессоры на ее основе выпускались вплоть до начала 2021 года. В их число входят как модели для персональных компьютеров (например популярный Ryzen 5 3600), так и для ноутбуков, а самое главное — для серверов (процессоры AMD EPYC «Rome» ). Полный список серий процессоров подверженных Zenbleed есть в статье издания Ars Technica.
Уязвимость образовалась из комбинации достаточно безобидных особенностей работы процессоров AMD. Оказывается, определенный способ взаимодействия с процессорными регистрами и вполне нормальная система спекулятивного выполнения инструкций в комбинации могут приводить к утечке секретных данных. Теоретически кражу информации с использованием этой уязвимости (получившей универсальный идентификатор CVE-2023-20593) достаточно легко организовать, и происходить она будет с довольно высокой скоростью — до 30 килобайт в секунду для каждого из процессорных ядер. Случаев реальной эксплуатации проблемы пока не зафиксировано, но и патчи (обновления микрокода процессоров) пока доступны не для всех затронутых процессоров. AMD обещает полностью решить проблему до конца 2023 года.
View the full article
-
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти