Перейти к содержанию

KIS 7.0.1.325. Сетевой экран. Исполняемый файл был именен.


Алексей Долишний

Рекомендуемые сообщения

Алексей Долишний

Здравствуйте. Заметил, что в последнее время (возможно, в течение последнего сеанса Windows XP) при запуске различных приложений, использующих интернет (Miranda, PeerWeb DC++, Opera и т.д.) сетевой экран Kaspersky Internet Security выдает сообщение:

Исполняемый файл был именен. Файл был изменен с момента последней проверки. Изменение указывает на обновление файла или его заражение. Разрешить сетевую активность для измененного файла?

Подобное сообщение касалось и svchost.exe. Сообщения стали появлять неожиданно, за день до этого ничего подобного не было. Чем может быть вызвано изменение целого ряда файлов программ, да еще всех вместе. Обновление Windows XP и прочих программ не выполнялосьб патчи не ставил. Возможно ли действительно заражение этих exe'шников? KIS обновляю регулярно, каждый день. Возможно ли то, что эти файлы инфицированы вирусом, которого KIS "пропускает"?

Строгое предупреждение от модератора Ell
Писать красным цветом может только администрация. Устное предупреждение
Ссылка на комментарий
Поделиться на другие сайты

Здравствуйте. Это возможно по ряду причин:

1. Действительно заражение, но на вряд ли , если КИС постоянно обновляется и никогда не отключается его защита

2. Обновление этих файлов, перемещение и т.п.

3. Последствия дефрагментации диска

Ссылка на комментарий
Поделиться на другие сайты

Евгений Малинин
2. Обновление этих файлов, перемещение и т.п.

Немного уточню: автоматическое обновление системы и программ...

 

Но, на всякий случай, выполните вот это

Ссылка на комментарий
Поделиться на другие сайты

Настройки - сетевой экран - правила для приложений - выбрать нужное - флажок Не контролировать изменение файлов приложения

Ссылка на комментарий
Поделиться на другие сайты

Явных зловредов в логах не видать.

Для страховки

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\drivers\sysid.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\pe719emu.sys','');
QuarantineFile('C:\WINDOWS\system32\tabscrol.DLL','');
QuarantineFile('c:\windows\system32\gtab.exe','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам.

Изменено пользователем wise-wistful
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Guffi
      Автор Guffi
      Всем привет! Прошу помощи. Проблема в следующем. Есть батник, который запускает скрипт на вывод уведомления по событию. Когда я прописываю путь к файлу и запускаю тестовое сообщение, то он выкидывает ошибку что файл запустить не удалось. 
      В чем может быть причина? Почему он не хочет запускать исполняемый файл?
       

    • Александр КС
      Автор Александр КС
      Здравствуйте. Столкнулись с шифровальщиком. 1 компьютер остался включенным на майские праздники. Судя по дате изменения файлов 4 дня зашифровывались файлы и он перекинулся на сетевой диск. 5 мая утром он начал шифровать файлы и на других компьютерах, после их включения. После отключения 1 компьютера от сети шифрование по сети остановилось. Антивирус увидел, что файл morgan.exe начал менять уже .exe файлы и был удален. Был отформатирован диск С и установлена новая windows. Но тысячи файлов остались зашифрованными. Логи, зараженные файлы и записку от злоумышленника прилагаю.
      Зашифрованные файлы и записка.rar Addition.txt FRST.txt
    • imperiose
      Автор imperiose
      Добрый день. В политике на KSC настроены правила на сетевом экране, самым последним размещается блокировка трафика, выше есть правила на доступ вх/исх трафик и в локальных адресах прописаны пулы адресов локальных сегментов.
      При включении пк, клиент не успевает получить адрес по dhcp, т.к сетевой экран блокирует все подключения.
      Подскажите, как избежать этого или какое правило нужно прописывать, что бы не блокировался весь трафик внутри сети еще до момента получения ip.

    • ragnar007
      Автор ragnar007
      Всем привет.
      Настраиваю правила в сетевом экране консоли управления Kaspersky Sercurity Center 15.1 для Kaspersky Endpoint Security 12.8.
      Не совсем удобно писать много правил, хочу написать скрипт для генерации правил. 
      Ознакомился с документацией:
      https://support.kaspersky.ru/kes12/245114
      В принципе все понятно за исключением формата записи ip-адреса.
      Вот отрывок из экспортированного xml-файла с правилами:
      <key name="LocalAddresses"> <key name="0000"> <key name="IP"> <key name="V6"> <tQWORD name="Hi">0</tQWORD> <tQWORD name="Lo">0</tQWORD> <tDWORD name="Zone">0</tDWORD> <tSTRING name="ZoneStr"></tSTRING> </key> <tBYTE name="Version">4</tBYTE> <tDWORD name="V4">170852718</tDWORD> <tBYTE name="Mask">32</tBYTE> </key> <key name="AddressIP"> </key> <tSTRING name="Address"></tSTRING> </key> В данном случае ip -адрес указан в ключе <tDWORD name="V4">170852718</tDWORD> 
      Вопрос собственно в том что это за формат записи ip-адреса и как его перевести в привычный вид?
    • infobez_bez
      Автор infobez_bez
      Здравствуйте! 

      На АРМ c АстраЛинукс установлен KES 12.1 , управляется политикой с нашего сервера администрирования. 
      Пытаемся в политике настроить управление сетевым экраном. Наша цель запретить всё, кроме определенного сайта, например pochta.ru.
      Перепробовали различные комбинации:
      Запрет нижним правилом всего и правилами выше разрешение определенных IP, разрешение "Входящие/Исходящие", "Входящие пакеты/Исходящие пакеты", группы и т.д. но итог практически всегда один, интернет действительно блокируется, сайты в браузере не открываются, через консоль ip нужного сайта пингуется, пакеты доходят, но в браузере нужный сайт все равно не открывается. На странице ошибка DNS_PROBE_FINISHED_NO_INTERNET.
      Может кто-то подсказать решение? Нужно чтобы через браузер открывался только один сайт, веб контроль в данном случае не подходит, нужен именно сетевой экран. Спасибо!
       
×
×
  • Создать...