HEUR:Generic.Unknown.Cryptor

[AkunaDooM]

Кто то сталкивался с подобным?

Событие "Обнаружен зараженный объект или объект другого типа" произошло на компьютере ...... в домене ...... 4 апреля 2017 г. 9:51:14 (GMT+03:00) Обнаружен объект:  HEUR:Generic.Unknown.Cryptor. Имя объекта: D:\Base_1C\...\....\....\........txt (папка в общем полном доступе)

 

После этого комп, который создает этот файл, блокируется антивирусом на сервере на 30 минут.

Появилось это в понедельник.... Вирусов на клиенте и сервере не обнаружено при полной проверке.

 

Так же появилось такое же оповещение при обращении к базе данных "Консультанта", причем на другом компе. Пока таких компов 2 шт.

 

Что за зверь HEUR:Generic.Unknown.Cryptor?

 

 

[regist]

Порядок оформления запроса о помощи

 

Upd. извиняюсь, подумал, что тема создана в разделе Уничтожение вирусов.

В общем если захотите провериться на вирусы, то ссылка выше.

 

Изменено 4 апреля, 2017 пользователем regist

[oit]

 

 

Вирусов на клиенте и сервере не обнаружено при полной проверке.

какое антивирусное по стоит и какой версии?

[AkunaDooM]

На сервере Kaspersky Security 10 для Windows Server 10.0.0.486

На клиентах Kaspersky Endpoint Security 10 Service Pack 1 Maintenance Release 2 для Windows 10.2.5.3201

[ska79]

Что за зверь HEUR:Generic.Unknown.Cryptor?

эвристика заподозрила неизвестного шифратора, имхо. Отправьте файл в вирлаб

 

 

Пока таких компов 2 шт.

Возможно пк заражены. Изменено 4 апреля, 2017 пользователем ska79

[regist]

@AkunaDooM, а ссылку на отчёт проверки на вирустотал файла на который ругается можете дать?

[oit]

проверьте здесь файл проверить: https://virusdesk.kaspersky.ru/

[AkunaDooM]

Результат проверки

 

файл безопасен

Размер файла

 

6,04 КБ

Тип файла

 

BIN/DATA

Дата проверки

 

2017 апр 04 17:18:42

Дата выпуска баз

 

2017 апр 04 13:32:48 UTC

MD5

 

d2e6fb30856df5bdd68ba3a42cb1f423

SHA1

 

5946642ef83bafbaa48c37c29f5639fba8f6d348

SHA256

 

cc1a00393ace5434629c31f5c01bd93dccfda2077114b7965215bb994091fe68

[regist]

@AkunaDooM, на вирустотал он не проверялся. В базе касперского тоже такого нет, даже в облаке (может правда ещё не успел появиться).

Можете всё-таки проверить его на https://virustotal.com/ и дать ссылку? И вы уверены, что отправляли в вирусдеск именно тот файл на который ругается касперский?

Изменено 4 апреля, 2017 пользователем regist

[AkunaDooM]

https://virustotal.com/ru/file/cc1a00393ace5434629c31f5c01bd93dccfda2077114b7965215bb994091fe68/analysis/1491320409/

 

Это файл из Консультанта

https://virustotal.com/ru/file/a66c8b7bc4bf06846f1fa66448df8e4dba5d4ac037d778953f04537a732c72e5/analysis/1491320521/

 

Похоже на какое то ложное срабатывание... Но тенденция не здоровая.

Текстовый файл генерируется каким то старым модулем из 1С 7.7, он вроде самописный. Ну так работало лет 15.

Кстати поменял ключик лицензионный как раз в понедельник, может эта функция на серваке просто ВКЛЮЧИЛАСЬ, а до этого выключена была (хотя вроде функционал полный)

[ska79]

@AkunaDooM, в таком случае вы можете отправить запрос в техподдержку лаборатории Касперского,  с пометкой ложное срабатывание. http://my.kaspersky.ru

[regist]

@ska79, вы по ссылкам смотрели? На эти файлы нет никакого срабатывания ни у кого. Один вообще просто текстовый документ. Так что если он отправит эти файлы как фолс, то получит ответ, что детекта нет и если он у вас остался, то обновите свои антивирусные базы.

 

@AkunaDooM,

 

Скачайте, распакуйте и запустите GetSystemInfo (GSI). Прочтите и согласитесь с лицензионным соглашением программы нажав кнопку Accept. Нажмите на кнопку старта в правой части окна утилиты (приблизительное время сбора отчета составляет 10 минут). После окончания сканирования выйдет уведомление о сохранении лога (файл с расширением zip), полученный файл загрузите загрузите на страницу автоматического анализатора. Для этого откройте страницу автоматического анализатора протокола утилиты, нажмите кнопку "Обзор" и выберите файл отчета GetSystemInfo_Имя компьютера_Ваше_имя_пользователя_Дата_сканирования.zip, нажмите "Отправить". Дождитесь окончания работы автоанализатора, затем скопируйте ссылку на отчет и опубликуйте ее в Вашей теме на форуме.
Подробнее читайте в руководстве.
 

[ska79]

@regist, тогда предположу так как файл на сервере, то на пк возможно присутствует шифровальщик при попытке зашифровать файл на сервере, kes пресекает это действие.

[Friend]

@ska79, зачем ссылку даете для технической поддержки домашних продуктов? Пользователю нужна корпоративная поддержка: http://support.kaspersky.ru/b2b

[ska79]

@Friend, Не знал, я не пользуюсь корпоративными продуктами https://companyaccount.kaspersky.com/account/login