Alexander_KZ 0 Опубликовано 17 июля, 2017 Share Опубликовано 17 июля, 2017 Всем доброго настроения! Давненько не было слышно про Xaler и вот "счастье" случилось Исходные данные. Есть сервер 2008R2SP1 на которой поднял сервер LOTUS На сервере установлен Endpoint Security 10 ver. 10.3.0.6294 с актуальными базами. Все настройки по умолчанию. Последнюю неделю стал ловить и давить вирус Xaler. Полная проверка ничего не показывает. Установлен Office 2010. Удалил ручками normal.dotm и normalEmail.dotm. Запустил Word и пересоздал эти шаблоны. Результат. Всё равно периодически вновь и вновь появляется Xaler который Касперский находит в папке C:\Windows\Temp и обезвреживает. Уточняю - версия Xaler.f так как на форуме про Xaler раньше писали, но другой модификации. Пробовал проверить утилитой KVRT, пробовал DrWeb - чисто. А вирус регулярно появляется. Понимаю, что в папке TЕMP уже очищенные лохмотья. Где найти сам вирус и удавить его. Буду благодарен за помощь. P.S. Касперский - официальная корпоративная лицензия. Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 17 июля, 2017 Share Опубликовано 17 июля, 2017 Здравствуйте! Соберите и прикрепите CollectionLog с помощью Autologger. Цитата Ссылка на сообщение Поделиться на другие сайты
regist 617 Опубликовано 17 июля, 2017 Share Опубликовано 17 июля, 2017 (изменено) В дополнение первого поста оставлю ссылку https://forum.kaspersky.com/index.php?/topic/373316-virusmswordhalerf/ Изменено 17 июля, 2017 пользователем regist Цитата Ссылка на сообщение Поделиться на другие сайты
Alexander_KZ 0 Опубликовано 17 июля, 2017 Автор Share Опубликовано 17 июля, 2017 Прикладываю лог. CollectionLog-2017.07.17-14.32.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 17 июля, 2017 Share Опубликовано 17 июля, 2017 Логи сделаны в терминальной сессии, сделайте их из консоли. Цитата Ссылка на сообщение Поделиться на другие сайты
Alexander_KZ 0 Опубликовано 17 июля, 2017 Автор Share Опубликовано 17 июля, 2017 Сделал с консоли. При работе Autologger сервер перестаёт отзываться, хотя и пингуется. CollectionLog-2017.07.17-14.32.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 17 июля, 2017 Share Опубликовано 17 июля, 2017 Вы прикрепили тот же архив. Цитата Ссылка на сообщение Поделиться на другие сайты
Alexander_KZ 0 Опубликовано 17 июля, 2017 Автор Share Опубликовано 17 июля, 2017 Упсссссссссссс....... Извините. CollectionLog-2017.07.17-15.58.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 17 июля, 2017 Share Опубликовано 17 июля, 2017 стал ловить и давить вирус XalerВ каком файле обнаруживает? Отчет можете показать? Цитата Ссылка на сообщение Поделиться на другие сайты
Alexander_KZ 0 Опубликовано 17 июля, 2017 Автор Share Опубликовано 17 июля, 2017 (изменено) Скрин Проверка этого файла как и всего сервера показывает что всё ОК. Я приложил картинку скрин, но почему то сам не могу её открыть и посмотреть.... Это ошибка или я что-то не так делаю? Изменено 17 июля, 2017 пользователем Alexander_KZ Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 17 июля, 2017 Share Опубликовано 17 июля, 2017 Нажмите "Сохранить отчет" и прикрепите его. Это ошибка или я что-то не так делаю?Нет, не ошибка. Вложения в этом разделе могут смотреть только участники из группы Консультанты и выше. Цитата Ссылка на сообщение Поделиться на другие сайты
Alexander_KZ 0 Опубликовано 17 июля, 2017 Автор Share Опубликовано 17 июля, 2017 То есть Вы лог-файл и файл-скрин нормально увидели ??? Что то я запутался слегка.... Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 17 июля, 2017 Share Опубликовано 17 июля, 2017 Да, нормально. Но сейчас я прошу лог (отчет) самого KES сохранить и прикрепить к следующему сообщению. Цитата Ссылка на сообщение Поделиться на другие сайты
Alexander_KZ 0 Опубликовано 17 июля, 2017 Автор Share Опубликовано 17 июля, 2017 (изменено) Лог Касперского Otchet.txt Otchet file protect.txt Изменено 17 июля, 2017 пользователем Alexander_KZ Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 240 Опубликовано 17 июля, 2017 Share Опубликовано 17 июля, 2017 Сейчас обнаружения уже не происходит? Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе. Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе. Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением. Отметьте галочкой также "Shortcut.txt". Нажмите кнопку Scan. После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt, Shortcut.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.