Перейти к содержанию

Антивирус дружит с вирусами

berserkerkz

От berserkerkz
в Помощь по персональным продуктам

 Share

Рекомендуемые сообщения

berserkerkz Новичок

berserkerkz

Опубликовано
Опубликовано

Есть антивирус endpiont Security 10 установленный на windows server2012 R2 standart. Все находится в сети под доменом за фаирволом TMG.

При подключении к ресурсам сети ноутбука с антивирусом аваст, он сразу начал ругаться на троянов, Была запущена полная проверка всего что есть в сети, ничего не обнаружилась кроме кейгенов на флешке. Пришло спокойствие от понимания защищенности, пока не зашифровались файлы на одном из компов, тут то и подозрение закралось в том что антивирусник пропускает вирусы( ну или дружит сними). Начал проверку серверов и оказалось что антивирус видит в кучу вирусов но ничего не делает пока не пнешь его конкретно напроверку зараженного файла. Если проверять папку с файлом то ему пофигу что там вирус.

 

Картинки с этим безобразием прикрепил.

 

Теперь вопрос как с этим бороться?

post-48983-0-91977000-1518584826_thumb.png

post-48983-0-20337900-1518584827_thumb.png

post-48983-0-45516900-1518584827_thumb.png

post-48983-0-70731400-1518584827_thumb.png

post-48983-0-60633100-1518584828_thumb.png

post-48983-0-92673500-1518584828_thumb.png

post-48983-0-26494600-1518584829_thumb.png

Ссылка на комментарий
Поделиться на другие сайты
oit Мудрец

oit

Опубликовано
Опубликовано

@berserkerkz, не совсем понятно: проверяете папку Fonts, вирусы обнаруживаются в system32.

И по вердиктам: это майнеры.

Галочка стоит в: Антивирусная защита - в разделе Объекты - Настройка - Другие объекты?

 

Для серверов есть специальный продукт, если вам сетевой фаерволл не нужен:

https://support.kaspersky.ru/ksws10

https://support.kaspersky.ru/wsee8

Ссылка на комментарий
Поделиться на другие сайты
berserkerkz Новичок

berserkerkz

Опубликовано
  • Автор
Опубликовано

@berserkerkz, не совсем понятно: проверяете папку Fonts, вирусы обнаруживаются в system32.

И по вердиктам: это майнеры.

Галочка стоит в: Антивирусная защита - в разделе Объекты - Настройка - Другие объекты?

 

Для серверов есть специальный продукт, если вам сетевой фаерволл не нужен:

https://support.kaspersky.ru/ksws10

https://support.kaspersky.ru/wsee8

Галка не стояла. Просто я сделал картинку с тем что успел удалить, а остальные это проверка папки C:\Windows\Fonts из контекстного меню. И вирусы прописались в доверенные для антивирусника.

SNIMOK7.th.png

Ссылка на комментарий
Поделиться на другие сайты
Денис-НН Корифей

Денис-НН

Опубликовано
Опубликовано

Мне одному кажется что тут нужно искать человека внутри компании, который имеет доступ к настройкам антивируса? Похоже кто то решил подзаработать, это не первый случай.

  • Согласен 3
Ссылка на комментарий
Поделиться на другие сайты
berserkerkz Новичок

berserkerkz

Опубликовано
  • Автор
Опубликовано

Мне одному кажется что тут нужно искать человека внутри компании, который имеет доступ к настройкам антивируса? Похоже кто то решил подзаработать, это не первый случай.

Все бы ничего, но контроллер домена и файловый сервер есть только у меня одного доступ, да и недавно бухгалтерия поймала id-4AE3851F.[HelpBTC@cock.li].java, при включенном антивируснике

Ссылка на комментарий
Поделиться на другие сайты
andrew75 Корифей

andrew75

Опубликовано
Опубликовано (изменено)

Все бы ничего, но контроллер домена и файловый сервер есть только у меня одного доступ, да и недавно бухгалтерия поймала id-4AE3851F.[HelpBTC@cock.li].java, при включенном антивируснике

А какая связь этого события с предыдущими?

 

Вы сами показали скриншот с исключениями - javacu.exe и fontdrvhost.exe туда же не сами попали. Кто-то их добавил в исключения.

Изменено пользователем andrew75
Ссылка на комментарий
Поделиться на другие сайты
oit Мудрец

oit

Опубликовано
Опубликовано

Либо ваши логин\пароль слили и под ними кто-то заходил либо вы конфигу такую загрузили. Привяжите сервер к KSC и в верных политиках запретите делать изменения (закройте замочек)

Ссылка на комментарий
Поделиться на другие сайты
Friend Корифей

Friend

Опубликовано
Опубликовано

@berserkerkz, восстановите настройки продукта по умолчанию, потом перенастройте его как вам нужно. Желательно в настройках включить детектирование всех угроз.

Установите сложный пароль, поменяйте все пароли к учетным записям администратора: https://support.kaspersky.ru/common/windows/7951

Почитайте статьи против шифровальщиков:
1. https://support.kaspersky.ru/10952

2. https://support.kaspersky.ru/10905

Ссылка на комментарий
Поделиться на другие сайты
berserkerkz Новичок

berserkerkz

Опубликовано
  • Автор
Опубликовано

 

Все бы ничего, но контроллер домена и файловый сервер есть только у меня одного доступ, да и недавно бухгалтерия поймала id-4AE3851F.[HelpBTC@cock.li].java, при включенном антивируснике

А какая связь этого события с предыдущими?

 

Вы сами показали скриншот с исключениями - javacu.exe и fontdrvhost.exe туда же не сами попали. Кто-то их добавил в исключения.

 

Я же сам себе не враг, я так понял что и в рееств внисены изменения, только я не могу поменять или удалить ключ из реестра нет прав, скорее всего запись сделана от учетки system

Ссылка на комментарий
Поделиться на другие сайты
oit Мудрец

oit

Опубликовано
Опубликовано (изменено)

@berserkerkz,

 

*посмотирте через монитор ресурсов во вкладке сеть: процесс svchost на неизвестный вам адрес куда стучиться

в диспетчере задач добавьте Командную строку и посмотрите по найденному PID в какой он папке находится

грохнуть процесс можно через process explorer

через power shell удалять, запущенного от имени system


и еще: если папки не видно, значит нужно искать папку, где нибудь в CommonFiles или ProgramFiles или в system32

там же можно посмотреть в папках dat, кто поставил

потом в логах evtx ищите нестандартные подключения по RDP

Изменено пользователем oit
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • ДанилКО
      [РЕШЕНО] Антивирус не может удалить этот вирус HEUR:Trojan.Multi.GenBadur.genw.
      От ДанилКО
      report2.logreport1.logCollectionLog-2024.11.07-18.58.zip
    • Ari_x_100
      Не устанавливается антивирус
      От Ari_x_100
      Добрый день.
      Столкнулся с аналогичной проблемой. Шаг описанный выше выполнил.
      FRST.txt Addition.txt AV_block_remove_2024.10.11-15.49.log
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Genom45
      Не устанавливаются антивирусы
      От Genom45
      Приветствую, перепробовал все возможные портейбл версии антивирусов, AVbr просто не запускается, касперский выдал пару вирусов, тоже сделал и curiet. Проблема осталась 
       
    • igrok52
      Антивирус для Android вопросы
      От igrok52
      Подскажите пожалуйста. Антивирусом касперского пользуюсь много лет с 3.0 версии как все работает понимаю на пк. Подскажите пожалуйста кто знает по поводу Антивируса для Android устройств, не разу не ставил и вообще в экосистеме андроида не очень разбираюсь. Купил планшет дочке, загрузчик разблокирован, что там поставили понятия не имею, все работает но боюсь что есть какие то закладки от "китайцев" и пока не проверю не успокоюсь. Поможет антивирус касперского для андроида найти закладки или что то что может быть типа как в телефонах в китайских были закладки от китайцев которые смс отправляли на странные номера (лет 5 назад была эпидемия что и кнопочные и смартфоны дешевые слали смс по ночам в неизвестном направлении, оказалось что прошивка была с вирусами). Или для андроида версия может проверять только apk и не сможет увидеть что в системе есть вредоносы? Если что планшет из нашего ретейла, подумать не мог что у нас в солидных магазинах будут продавать планшеты с китайской прошивкой с разблокированным загрузчиком (Lenovo Xiaoxin Pad Pro 12.7).
    • civiero
      Вирус или нет?
      От civiero
      При просмотре видео на ютуб останавливается видео и появляется звуки костей, или слово amazing. Нужно ли волноваться по этому поводу? Антивирус ничего не выдает.
×
×
  • Создать...