Перейти к содержанию

Антивирус дружит с вирусами

berserkerkz

Автор berserkerkz
в Помощь по персональным продуктам

 Поделиться

Рекомендуемые сообщения

berserkerkz

berserkerkz

Опубликовано
Опубликовано

Есть антивирус endpiont Security 10 установленный на windows server2012 R2 standart. Все находится в сети под доменом за фаирволом TMG.

При подключении к ресурсам сети ноутбука с антивирусом аваст, он сразу начал ругаться на троянов, Была запущена полная проверка всего что есть в сети, ничего не обнаружилась кроме кейгенов на флешке. Пришло спокойствие от понимания защищенности, пока не зашифровались файлы на одном из компов, тут то и подозрение закралось в том что антивирусник пропускает вирусы( ну или дружит сними). Начал проверку серверов и оказалось что антивирус видит в кучу вирусов но ничего не делает пока не пнешь его конкретно напроверку зараженного файла. Если проверять папку с файлом то ему пофигу что там вирус.

 

Картинки с этим безобразием прикрепил.

 

Теперь вопрос как с этим бороться?

post-48983-0-91977000-1518584826_thumb.png

post-48983-0-20337900-1518584827_thumb.png

post-48983-0-45516900-1518584827_thumb.png

post-48983-0-70731400-1518584827_thumb.png

post-48983-0-60633100-1518584828_thumb.png

post-48983-0-92673500-1518584828_thumb.png

post-48983-0-26494600-1518584829_thumb.png

oit

oit

Опубликовано
Опубликовано

@berserkerkz, не совсем понятно: проверяете папку Fonts, вирусы обнаруживаются в system32.

И по вердиктам: это майнеры.

Галочка стоит в: Антивирусная защита - в разделе Объекты - Настройка - Другие объекты?

 

Для серверов есть специальный продукт, если вам сетевой фаерволл не нужен:

https://support.kaspersky.ru/ksws10

https://support.kaspersky.ru/wsee8

berserkerkz

berserkerkz

Опубликовано
  • Автор
Опубликовано

@berserkerkz, не совсем понятно: проверяете папку Fonts, вирусы обнаруживаются в system32.

И по вердиктам: это майнеры.

Галочка стоит в: Антивирусная защита - в разделе Объекты - Настройка - Другие объекты?

 

Для серверов есть специальный продукт, если вам сетевой фаерволл не нужен:

https://support.kaspersky.ru/ksws10

https://support.kaspersky.ru/wsee8

Галка не стояла. Просто я сделал картинку с тем что успел удалить, а остальные это проверка папки C:\Windows\Fonts из контекстного меню. И вирусы прописались в доверенные для антивирусника.

SNIMOK7.th.png

Денис-НН

Денис-НН

Опубликовано
Опубликовано

Мне одному кажется что тут нужно искать человека внутри компании, который имеет доступ к настройкам антивируса? Похоже кто то решил подзаработать, это не первый случай.

  • Согласен 3
berserkerkz

berserkerkz

Опубликовано
  • Автор
Опубликовано

Мне одному кажется что тут нужно искать человека внутри компании, который имеет доступ к настройкам антивируса? Похоже кто то решил подзаработать, это не первый случай.

Все бы ничего, но контроллер домена и файловый сервер есть только у меня одного доступ, да и недавно бухгалтерия поймала id-4AE3851F.[HelpBTC@cock.li].java, при включенном антивируснике

andrew75

andrew75

Опубликовано
Опубликовано (изменено)

Все бы ничего, но контроллер домена и файловый сервер есть только у меня одного доступ, да и недавно бухгалтерия поймала id-4AE3851F.[HelpBTC@cock.li].java, при включенном антивируснике

А какая связь этого события с предыдущими?

 

Вы сами показали скриншот с исключениями - javacu.exe и fontdrvhost.exe туда же не сами попали. Кто-то их добавил в исключения.

Изменено пользователем andrew75
oit

oit

Опубликовано
Опубликовано

Либо ваши логин\пароль слили и под ними кто-то заходил либо вы конфигу такую загрузили. Привяжите сервер к KSC и в верных политиках запретите делать изменения (закройте замочек)

Friend

Friend

Опубликовано
Опубликовано

@berserkerkz, восстановите настройки продукта по умолчанию, потом перенастройте его как вам нужно. Желательно в настройках включить детектирование всех угроз.

Установите сложный пароль, поменяйте все пароли к учетным записям администратора: https://support.kaspersky.ru/common/windows/7951

Почитайте статьи против шифровальщиков:
1. https://support.kaspersky.ru/10952

2. https://support.kaspersky.ru/10905

berserkerkz

berserkerkz

Опубликовано
  • Автор
Опубликовано

 

Все бы ничего, но контроллер домена и файловый сервер есть только у меня одного доступ, да и недавно бухгалтерия поймала id-4AE3851F.[HelpBTC@cock.li].java, при включенном антивируснике

А какая связь этого события с предыдущими?

 

Вы сами показали скриншот с исключениями - javacu.exe и fontdrvhost.exe туда же не сами попали. Кто-то их добавил в исключения.

 

Я же сам себе не враг, я так понял что и в рееств внисены изменения, только я не могу поменять или удалить ключ из реестра нет прав, скорее всего запись сделана от учетки system

oit

oit

Опубликовано
Опубликовано (изменено)

@berserkerkz,

 

*посмотирте через монитор ресурсов во вкладке сеть: процесс svchost на неизвестный вам адрес куда стучиться

в диспетчере задач добавьте Командную строку и посмотрите по найденному PID в какой он папке находится

грохнуть процесс можно через process explorer

через power shell удалять, запущенного от имени system


и еще: если папки не видно, значит нужно искать папку, где нибудь в CommonFiles или ProgramFiles или в system32

там же можно посмотреть в папках dat, кто поставил

потом в логах evtx ищите нестандартные подключения по RDP

Изменено пользователем oit

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Ruslan10202
      Антивирусу не удаётся удалить вирус
      Автор Ruslan10202
    • Gauter
      Вирус блокирует все антивирусы и утилиты
      Автор Gauter
      Хотел просканировать ПК на наличие вирусов, все антивирусы на компьютере недоступны, при попытке запуска выдает сообщение "не удается получить доступ к объекту на который ссылается этот ярлык возможно отсутствуют разрешения". Устанавливать новые антивирусы не позволяет. Что делать?
    • Chopa03
      После удаления вируса не устанавливаются антивирусы
      Автор Chopa03
      Здравствуйте, поймал по дурости вирус, который тормозил систему и не давал установить антивирусы, удалил с помощью загрузочной флешки касперского, но антивирусы так и не устанавливаются, логи с  FRST64 прилагаю, заранее спасибо!
      Addition.txt FRST.txt
    • Ksaltotyn
      вирус маскирующийся под антивирус касперского
      Автор Ksaltotyn
      Проблема в следующем. Kaspersky Anti-virus сообщает, что им был остановлен переход на недоверенный сайт. Без проблем заходит на гугол, ютуб и другие крупные сайты. На форум и сайт касперского пускает без проблем, но уже на safezone.cc ссылка постоянно блочится. С остальными сайтами иногда пускает, иногда нет. Иногда позволяет сделать выбор и разрешает "несмотря на опасность перехода по опасной ссылке" пройти на сайт, однако вместо нужного адреса перенаправляет на другой ( там размещен опросник, после которого предлагают что-то купить, дальше я не заходил). При отключении антивируса, переход на сайты продолжают блочить уже под видом внутреннего защитника винды. Аналогичная проблема на трех компьютерах, подключенных к одному модему. 
      Проверял самим антивирусом, его ответ - проблем нет. Сканировал AVZ, AVbr, KVRT, Adwcleaner, FRST. Результат один и тот же, ничего не найдено. FRST выкладки смотрел, возможно чего-то не увидел или не понял. Autologger скачать не дает.
      Браузер хром и ейдж. К хрому ставил расширения WebDefender: Antivirus & Privacy Protection и Kaspersky Protection (включены оба, по одному, отключены). На ситуацию влияют слабо, иногда позволяют перейти на искомый сайт. Отчет и скрины приложил.
      Какой будет диагноз?


      Addition.txt FRST.txt отчет каспера.txt
    • Андрей1423
      Вирус не дает запустить Антивирус и отказывает в доступе к папке антивируса
      Автор Андрей1423
      Столкнулся с вирусом  как я понял маининг как в статье "https://forum.kasperskyclub.ru/topic/81535-resheno-virusyvozmozhno-trojan-blokiruet-zapusk-ustanovki-antivirusa-kasperskij/" не могу удалить с компьютера при запуски антивируса дает приложиную ошибку  

×
×
  • Создать...