Перейти к содержанию

Антивирус дружит с вирусами


Рекомендуемые сообщения

Есть антивирус endpiont Security 10 установленный на windows server2012 R2 standart. Все находится в сети под доменом за фаирволом TMG.

При подключении к ресурсам сети ноутбука с антивирусом аваст, он сразу начал ругаться на троянов, Была запущена полная проверка всего что есть в сети, ничего не обнаружилась кроме кейгенов на флешке. Пришло спокойствие от понимания защищенности, пока не зашифровались файлы на одном из компов, тут то и подозрение закралось в том что антивирусник пропускает вирусы( ну или дружит сними). Начал проверку серверов и оказалось что антивирус видит в кучу вирусов но ничего не делает пока не пнешь его конкретно напроверку зараженного файла. Если проверять папку с файлом то ему пофигу что там вирус.

 

Картинки с этим безобразием прикрепил.

 

Теперь вопрос как с этим бороться?

post-48983-0-91977000-1518584826_thumb.png

post-48983-0-20337900-1518584827_thumb.png

post-48983-0-45516900-1518584827_thumb.png

post-48983-0-70731400-1518584827_thumb.png

post-48983-0-60633100-1518584828_thumb.png

post-48983-0-92673500-1518584828_thumb.png

post-48983-0-26494600-1518584829_thumb.png

Ссылка на комментарий
Поделиться на другие сайты

@berserkerkz, не совсем понятно: проверяете папку Fonts, вирусы обнаруживаются в system32.

И по вердиктам: это майнеры.

Галочка стоит в: Антивирусная защита - в разделе Объекты - Настройка - Другие объекты?

 

Для серверов есть специальный продукт, если вам сетевой фаерволл не нужен:

https://support.kaspersky.ru/ksws10

https://support.kaspersky.ru/wsee8

Ссылка на комментарий
Поделиться на другие сайты

@berserkerkz, не совсем понятно: проверяете папку Fonts, вирусы обнаруживаются в system32.

И по вердиктам: это майнеры.

Галочка стоит в: Антивирусная защита - в разделе Объекты - Настройка - Другие объекты?

 

Для серверов есть специальный продукт, если вам сетевой фаерволл не нужен:

https://support.kaspersky.ru/ksws10

https://support.kaspersky.ru/wsee8

Галка не стояла. Просто я сделал картинку с тем что успел удалить, а остальные это проверка папки C:\Windows\Fonts из контекстного меню. И вирусы прописались в доверенные для антивирусника.

SNIMOK7.th.png

Ссылка на комментарий
Поделиться на другие сайты

Мне одному кажется что тут нужно искать человека внутри компании, который имеет доступ к настройкам антивируса? Похоже кто то решил подзаработать, это не первый случай.

  • Согласен 3
Ссылка на комментарий
Поделиться на другие сайты

Мне одному кажется что тут нужно искать человека внутри компании, который имеет доступ к настройкам антивируса? Похоже кто то решил подзаработать, это не первый случай.

Все бы ничего, но контроллер домена и файловый сервер есть только у меня одного доступ, да и недавно бухгалтерия поймала id-4AE3851F.[HelpBTC@cock.li].java, при включенном антивируснике

Ссылка на комментарий
Поделиться на другие сайты

Все бы ничего, но контроллер домена и файловый сервер есть только у меня одного доступ, да и недавно бухгалтерия поймала id-4AE3851F.[HelpBTC@cock.li].java, при включенном антивируснике

А какая связь этого события с предыдущими?

 

Вы сами показали скриншот с исключениями - javacu.exe и fontdrvhost.exe туда же не сами попали. Кто-то их добавил в исключения.

Изменено пользователем andrew75
Ссылка на комментарий
Поделиться на другие сайты

Либо ваши логин\пароль слили и под ними кто-то заходил либо вы конфигу такую загрузили. Привяжите сервер к KSC и в верных политиках запретите делать изменения (закройте замочек)

Ссылка на комментарий
Поделиться на другие сайты

@berserkerkz, восстановите настройки продукта по умолчанию, потом перенастройте его как вам нужно. Желательно в настройках включить детектирование всех угроз.

Установите сложный пароль, поменяйте все пароли к учетным записям администратора: https://support.kaspersky.ru/common/windows/7951

Почитайте статьи против шифровальщиков:
1. https://support.kaspersky.ru/10952

2. https://support.kaspersky.ru/10905

Ссылка на комментарий
Поделиться на другие сайты

 

Все бы ничего, но контроллер домена и файловый сервер есть только у меня одного доступ, да и недавно бухгалтерия поймала id-4AE3851F.[HelpBTC@cock.li].java, при включенном антивируснике

А какая связь этого события с предыдущими?

 

Вы сами показали скриншот с исключениями - javacu.exe и fontdrvhost.exe туда же не сами попали. Кто-то их добавил в исключения.

 

Я же сам себе не враг, я так понял что и в рееств внисены изменения, только я не могу поменять или удалить ключ из реестра нет прав, скорее всего запись сделана от учетки system

Ссылка на комментарий
Поделиться на другие сайты

@berserkerkz,

 

*посмотирте через монитор ресурсов во вкладке сеть: процесс svchost на неизвестный вам адрес куда стучиться

в диспетчере задач добавьте Командную строку и посмотрите по найденному PID в какой он папке находится

грохнуть процесс можно через process explorer

через power shell удалять, запущенного от имени system


и еще: если папки не видно, значит нужно искать папку, где нибудь в CommonFiles или ProgramFiles или в system32

там же можно посмотреть в папках dat, кто поставил

потом в логах evtx ищите нестандартные подключения по RDP

Изменено пользователем oit
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • ДанилКО
      От ДанилКО
      report2.logreport1.logCollectionLog-2024.11.07-18.58.zip
    • IStogov
      От IStogov
      А здесь я предлагаю рассказать истории неудач.
      Почему же вы не пользуетесь чем-то еще кроме касперского. Как вы пользовались и случилось что-то страшное или не очень страшное, но очень обидное и вы перстали пользоваться каким-то антивирусом и перешли на Касперского.
      Не скрывайте, расскажите и вам станет легче, а люди поймут почему альтернативы Касперскому просто нет.
      пишите в этой теме
      А когда сайт строить будем вынесем возможность писать такие истории из форума куда нибудь повыше.
    • Ari_x_100
      От Ari_x_100
      Добрый день.
      Столкнулся с аналогичной проблемой. Шаг описанный выше выполнил.
      FRST.txt Addition.txt AV_block_remove_2024.10.11-15.49.log
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • Genom45
      От Genom45
      Приветствую, перепробовал все возможные портейбл версии антивирусов, AVbr просто не запускается, касперский выдал пару вирусов, тоже сделал и curiet. Проблема осталась 
       
    • igrok52
      От igrok52
      Подскажите пожалуйста. Антивирусом касперского пользуюсь много лет с 3.0 версии как все работает понимаю на пк. Подскажите пожалуйста кто знает по поводу Антивируса для Android устройств, не разу не ставил и вообще в экосистеме андроида не очень разбираюсь. Купил планшет дочке, загрузчик разблокирован, что там поставили понятия не имею, все работает но боюсь что есть какие то закладки от "китайцев" и пока не проверю не успокоюсь. Поможет антивирус касперского для андроида найти закладки или что то что может быть типа как в телефонах в китайских были закладки от китайцев которые смс отправляли на странные номера (лет 5 назад была эпидемия что и кнопочные и смартфоны дешевые слали смс по ночам в неизвестном направлении, оказалось что прошивка была с вирусами). Или для андроида версия может проверять только apk и не сможет увидеть что в системе есть вредоносы? Если что планшет из нашего ретейла, подумать не мог что у нас в солидных магазинах будут продавать планшеты с китайской прошивкой с разблокированным загрузчиком (Lenovo Xiaoxin Pad Pro 12.7).
×
×
  • Создать...