Alexander_KZ Опубликовано 17 июля, 2017 Опубликовано 17 июля, 2017 Всем доброго настроения! Давненько не было слышно про Xaler и вот "счастье" случилось Исходные данные. Есть сервер 2008R2SP1 на которой поднял сервер LOTUS На сервере установлен Endpoint Security 10 ver. 10.3.0.6294 с актуальными базами. Все настройки по умолчанию. Последнюю неделю стал ловить и давить вирус Xaler. Полная проверка ничего не показывает. Установлен Office 2010. Удалил ручками normal.dotm и normalEmail.dotm. Запустил Word и пересоздал эти шаблоны. Результат. Всё равно периодически вновь и вновь появляется Xaler который Касперский находит в папке C:\Windows\Temp и обезвреживает. Уточняю - версия Xaler.f так как на форуме про Xaler раньше писали, но другой модификации. Пробовал проверить утилитой KVRT, пробовал DrWeb - чисто. А вирус регулярно появляется. Понимаю, что в папке TЕMP уже очищенные лохмотья. Где найти сам вирус и удавить его. Буду благодарен за помощь. P.S. Касперский - официальная корпоративная лицензия.
Sandor Опубликовано 17 июля, 2017 Опубликовано 17 июля, 2017 Здравствуйте! Соберите и прикрепите CollectionLog с помощью Autologger.
regist Опубликовано 17 июля, 2017 Опубликовано 17 июля, 2017 (изменено) В дополнение первого поста оставлю ссылку https://forum.kaspersky.com/index.php?/topic/373316-virusmswordhalerf/ Изменено 17 июля, 2017 пользователем regist
Alexander_KZ Опубликовано 17 июля, 2017 Автор Опубликовано 17 июля, 2017 Прикладываю лог. CollectionLog-2017.07.17-14.32.zip
Sandor Опубликовано 17 июля, 2017 Опубликовано 17 июля, 2017 Логи сделаны в терминальной сессии, сделайте их из консоли.
Alexander_KZ Опубликовано 17 июля, 2017 Автор Опубликовано 17 июля, 2017 Сделал с консоли. При работе Autologger сервер перестаёт отзываться, хотя и пингуется. CollectionLog-2017.07.17-14.32.zip
Alexander_KZ Опубликовано 17 июля, 2017 Автор Опубликовано 17 июля, 2017 Упсссссссссссс....... Извините. CollectionLog-2017.07.17-15.58.zip
Sandor Опубликовано 17 июля, 2017 Опубликовано 17 июля, 2017 стал ловить и давить вирус XalerВ каком файле обнаруживает? Отчет можете показать?
Alexander_KZ Опубликовано 17 июля, 2017 Автор Опубликовано 17 июля, 2017 (изменено) Скрин Проверка этого файла как и всего сервера показывает что всё ОК. Я приложил картинку скрин, но почему то сам не могу её открыть и посмотреть.... Это ошибка или я что-то не так делаю? Изменено 17 июля, 2017 пользователем Alexander_KZ
Sandor Опубликовано 17 июля, 2017 Опубликовано 17 июля, 2017 Нажмите "Сохранить отчет" и прикрепите его. Это ошибка или я что-то не так делаю?Нет, не ошибка. Вложения в этом разделе могут смотреть только участники из группы Консультанты и выше.
Alexander_KZ Опубликовано 17 июля, 2017 Автор Опубликовано 17 июля, 2017 То есть Вы лог-файл и файл-скрин нормально увидели ??? Что то я запутался слегка....
Sandor Опубликовано 17 июля, 2017 Опубликовано 17 июля, 2017 Да, нормально. Но сейчас я прошу лог (отчет) самого KES сохранить и прикрепить к следующему сообщению.
Alexander_KZ Опубликовано 17 июля, 2017 Автор Опубликовано 17 июля, 2017 (изменено) Лог Касперского Otchet.txt Otchet file protect.txt Изменено 17 июля, 2017 пользователем Alexander_KZ
Sandor Опубликовано 17 июля, 2017 Опубликовано 17 июля, 2017 Сейчас обнаружения уже не происходит? Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве.
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти