Перейти к содержанию
Объявляем набор участников в программу «Развитие сообществ клуба в мессенджерах»
Конкурс по разработке Telegram-бота Kaspersky Club

Антивирус дружит с вирусами

berserkerkz

Автор berserkerkz
в Помощь по персональным продуктам

 Поделиться

Рекомендуемые сообщения

berserkerkz Новичок

berserkerkz

Опубликовано
Опубликовано

Есть антивирус endpiont Security 10 установленный на windows server2012 R2 standart. Все находится в сети под доменом за фаирволом TMG.

При подключении к ресурсам сети ноутбука с антивирусом аваст, он сразу начал ругаться на троянов, Была запущена полная проверка всего что есть в сети, ничего не обнаружилась кроме кейгенов на флешке. Пришло спокойствие от понимания защищенности, пока не зашифровались файлы на одном из компов, тут то и подозрение закралось в том что антивирусник пропускает вирусы( ну или дружит сними). Начал проверку серверов и оказалось что антивирус видит в кучу вирусов но ничего не делает пока не пнешь его конкретно напроверку зараженного файла. Если проверять папку с файлом то ему пофигу что там вирус.

 

Картинки с этим безобразием прикрепил.

 

Теперь вопрос как с этим бороться?

post-48983-0-91977000-1518584826_thumb.png

post-48983-0-20337900-1518584827_thumb.png

post-48983-0-45516900-1518584827_thumb.png

post-48983-0-70731400-1518584827_thumb.png

post-48983-0-60633100-1518584828_thumb.png

post-48983-0-92673500-1518584828_thumb.png

post-48983-0-26494600-1518584829_thumb.png

Ссылка на комментарий
Поделиться на другие сайты
oit Мудрец

oit

Опубликовано
Опубликовано

@berserkerkz, не совсем понятно: проверяете папку Fonts, вирусы обнаруживаются в system32.

И по вердиктам: это майнеры.

Галочка стоит в: Антивирусная защита - в разделе Объекты - Настройка - Другие объекты?

 

Для серверов есть специальный продукт, если вам сетевой фаерволл не нужен:

https://support.kaspersky.ru/ksws10

https://support.kaspersky.ru/wsee8

Ссылка на комментарий
Поделиться на другие сайты
berserkerkz Новичок

berserkerkz

Опубликовано
  • Автор
Опубликовано

@berserkerkz, не совсем понятно: проверяете папку Fonts, вирусы обнаруживаются в system32.

И по вердиктам: это майнеры.

Галочка стоит в: Антивирусная защита - в разделе Объекты - Настройка - Другие объекты?

 

Для серверов есть специальный продукт, если вам сетевой фаерволл не нужен:

https://support.kaspersky.ru/ksws10

https://support.kaspersky.ru/wsee8

Галка не стояла. Просто я сделал картинку с тем что успел удалить, а остальные это проверка папки C:\Windows\Fonts из контекстного меню. И вирусы прописались в доверенные для антивирусника.

SNIMOK7.th.png

Ссылка на комментарий
Поделиться на другие сайты
Денис-НН Корифей

Денис-НН

Опубликовано
Опубликовано

Мне одному кажется что тут нужно искать человека внутри компании, который имеет доступ к настройкам антивируса? Похоже кто то решил подзаработать, это не первый случай.

  • Согласен 3
Ссылка на комментарий
Поделиться на другие сайты
berserkerkz Новичок

berserkerkz

Опубликовано
  • Автор
Опубликовано

Мне одному кажется что тут нужно искать человека внутри компании, который имеет доступ к настройкам антивируса? Похоже кто то решил подзаработать, это не первый случай.

Все бы ничего, но контроллер домена и файловый сервер есть только у меня одного доступ, да и недавно бухгалтерия поймала id-4AE3851F.[HelpBTC@cock.li].java, при включенном антивируснике

Ссылка на комментарий
Поделиться на другие сайты
andrew75 Корифей

andrew75

Опубликовано
Опубликовано (изменено)

Все бы ничего, но контроллер домена и файловый сервер есть только у меня одного доступ, да и недавно бухгалтерия поймала id-4AE3851F.[HelpBTC@cock.li].java, при включенном антивируснике

А какая связь этого события с предыдущими?

 

Вы сами показали скриншот с исключениями - javacu.exe и fontdrvhost.exe туда же не сами попали. Кто-то их добавил в исключения.

Изменено пользователем andrew75
Ссылка на комментарий
Поделиться на другие сайты
oit Мудрец

oit

Опубликовано
Опубликовано

Либо ваши логин\пароль слили и под ними кто-то заходил либо вы конфигу такую загрузили. Привяжите сервер к KSC и в верных политиках запретите делать изменения (закройте замочек)

Ссылка на комментарий
Поделиться на другие сайты
Friend Корифей

Friend

Опубликовано
Опубликовано

@berserkerkz, восстановите настройки продукта по умолчанию, потом перенастройте его как вам нужно. Желательно в настройках включить детектирование всех угроз.

Установите сложный пароль, поменяйте все пароли к учетным записям администратора: https://support.kaspersky.ru/common/windows/7951

Почитайте статьи против шифровальщиков:
1. https://support.kaspersky.ru/10952

2. https://support.kaspersky.ru/10905

Ссылка на комментарий
Поделиться на другие сайты
berserkerkz Новичок

berserkerkz

Опубликовано
  • Автор
Опубликовано

 

Все бы ничего, но контроллер домена и файловый сервер есть только у меня одного доступ, да и недавно бухгалтерия поймала id-4AE3851F.[HelpBTC@cock.li].java, при включенном антивируснике

А какая связь этого события с предыдущими?

 

Вы сами показали скриншот с исключениями - javacu.exe и fontdrvhost.exe туда же не сами попали. Кто-то их добавил в исключения.

 

Я же сам себе не враг, я так понял что и в рееств внисены изменения, только я не могу поменять или удалить ключ из реестра нет прав, скорее всего запись сделана от учетки system

Ссылка на комментарий
Поделиться на другие сайты
oit Мудрец

oit

Опубликовано
Опубликовано (изменено)

@berserkerkz,

 

*посмотирте через монитор ресурсов во вкладке сеть: процесс svchost на неизвестный вам адрес куда стучиться

в диспетчере задач добавьте Командную строку и посмотрите по найденному PID в какой он папке находится

грохнуть процесс можно через process explorer

через power shell удалять, запущенного от имени system


и еще: если папки не видно, значит нужно искать папку, где нибудь в CommonFiles или ProgramFiles или в system32

там же можно посмотреть в папках dat, кто поставил

потом в логах evtx ищите нестандартные подключения по RDP

Изменено пользователем oit
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • macklooney1315
      Поймал вирус с флешки, антивирусы его не видят
      Автор macklooney1315
      Здравствуйте! Пару дней назад купил флешку и решил ей воспользоваться. Через какое то время виндовс написала что доступны  новые обновления, они начали скачиваться и после этого комп перезагрузился. После перезапуска на секунду появилась командная строка и пропала, раньше такого не было. В диспетчере задач стало больше процессов чем было, а когда заходит в монитор ресурсов часто были приостановленные процессы SearchApp.exe, Realteck, LockApp.exe. Я нашел процесс realteck в диспетчере задач и после нажатия кнопки открыть расположение файла мне вышло что отказано в доступе. Скачал касперского и dr.web - тоже ничего не видят, пытался полазить по системных папкам, но много где пишет '' отказано в доступе, обратитесь к администратору сети (что то такое, точно не помню). Винда кстати начала на следующий день снова пытаться скачать какое то обновления для Windows Defender, но я отложил скачивание обновлений на месяц. До этого вообще обновления не приходили, несколько лет было все нормально, а тут сразу много. Комп стал медленнее загружаться, и после загрузки рабочего стола курсор начинает крутить значок загрузки, раньше такого тоже не наблюдалось.
      Файлы прикрепил
       
      FRST.txt Addition.txt CollectionLog-2025.04.14-16.22.zip
    • bzhero
      Вирус не дает закончить установку антивируса
      Автор bzhero
      Добрый день. Выполняю установку Kaspersky Standart с официального сайта. В окне с установщиком доходит до 90%, а далее вирус закрывает установщик, когда заново пытаюсь установить - все сначала. И так уже несколько раз. Когда пытаюсь зайти в антивирус (открыть приложение) из "Безопасности Windows" - ничего не происходит. Помогите пожалуйста
       
      Сообщение от модератора kmscom Тема перемещена из раздела Компьютерная помощь
    • YuriyS
      Не устанавливается антивирус
      Автор YuriyS
      Такая проблема, при попытке установить антивирус, закрывается программа установки, каждый раз ( в диапазоне 60-67%), попробовал использовать rescue disk, думал может пакость какая то забралась, но ничего не нашел
    • Dava
      Вирус
      Автор Dava
      Поймал вирус с торрента который устанавливал мне адблок в эдж, вирус и его папки я нашел и удалил, позже удалил торрент, но теперь при открытии эджа у меня пишет "Microsoft edge неожиданно завершил работу, восстановить страницы?"
      Удалять куки и сбрасывать настройки к начальным и тыкать Repair я пробовал, это не помогло. Я предполагаю что где то еще остался вирусняк который лезет в эдж, но касперский его не видит
      Addition.txt FRST.txt
    • Abzz
      Вирус "updater.exe"
      Автор Abzz
      Здраствуйте, абсолютно аналогичная проблема, но не получается перейти по выделенной вами ссылке архива 
      "Скачайте архив по ссылке, распакуйте. Запустите каждый из файлов и подтвердите внесение информации в реестр."
      переносит нету файла для скачивания, помогите пожалуйста.
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
       
       
×
×
  • Создать...