Перейти к содержанию

Подозрительные действия с ключами реестра


Рекомендуемые сообщения

Здравствуйте!

С недавнего времени в отчете "Системный аудит" появляется запись:
post-49910-0-51200900-1527170868_thumb.jpg

Данное действие производится однократно после загрузки ОС.
Компьютер находится в сети из ~200 машин с разными ОС семейства Windows.
Такая же запись есть еще на 2-х ПК с Win7 (возможно и больше, пока нет возможности проверить).
Полная проверка ничего не выявила.

ОС: Windows 7 Профессиональная Service Pack 1 (заплатки ставятся регулярно)
Программа: Kaspersky Endpoint Security 10 Service Pack 2 для Windows
Версия: 10.3.0.6294 AES56
Базы и модули обновляются регулярно.

Возможно ли, что это какая-нибудь "зараза" поселилась и готовит плацдарм для атаки или это нормальное поведение программного обеспечения?

Ссылка на комментарий
Поделиться на другие сайты

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Snak3EyeS92
      Автор Snak3EyeS92
      Некоторое время назад стал наблюдать исходящее сетевое соединение от проводника на мониторе сетевой активности Kaspersky Internet Security. Раньше подобного не замечал. Появляется оно после перезагрузки системы. Проверял внешние IP, на которые идет соединение в Virus Total. Выдавалось вот такое: AS 8075 MICROSOFT-CORP-MSN-AS-BLOCK. К одному из этих IP были комментарии "Malware" и "Bot". Естественно возникли подозрения на вирус или взлом. Проверял компьютер как KIS, так и другими антивирусами, отправлял логи в поддержку Касперского и в соседний форум по помощи с удалением вирусов. В итоге почистил систему от мусора, а подозрений на заражение не было обнаружено. Но проблема остается. Посоветовали обратиться сюда. Остались опасения, что это может быть или глубоко спрятавшийся вирус/шпион/малварь/бот, или следы взлома. Хочу обновиться до Windows 10 с полным удалением данных старой системы, но сперва хочется понять что это вообще за соединение, и чем вызвано такое поведение проводника, если это не вирус. Ну и убедиться, что могу безопасно сохранить некоторые нужные данные на внешние носители или хотя бы в облако перед обновлением системы.
      Ссылка на предыдущую тему:
       
    • Din
      Автор Din
      Есть приватный ключ, подскажите как и чем расшифровать?
       
      Сообщение от модератора Mark D. Pearlstone Перемещено из темы.
    • EvgeniyPoluchil
      Автор EvgeniyPoluchil
      Добрый вечер. Пару дней назад решил проверить системный диск dr.webом. Ранее был скачан антивирус, но не установлен. При установке dr.webа вылез запрет на действия от системного администратора, через реестр нашёл запреты и убрал их оттуда. Сам антивирус нашёл майнер tool.btcmine.2714 и штук 5-10 троянов, и отправил их в карантин. После этого выполнил перезагрузку и почекать информацию в интернете, доступ к большинству сайтов был запрещен. Так же прошарил файл hosts, а далее и сам dr.web увидел, что он неисправный и вылечил его. Нашёл на форумах информацию, скачал автологгер и по ссылке на этом форуме и при разархивировании zip с автологгером были ошибки, комп посчитал, что файлов в архиве нету. Переименовал архив и спокойно распаковал. По нагрузке ноутбука сказать сложно, но dr.web сильно нагружал систему, а так же при заходе в диспетчер задач нагрузка на цп 100% и через пару секунд приходит в норму (4-10%). Прилагаю логи. Возможно какие-то хвосты так и остались. 
      CollectionLog-2025.02.19-18.14.zip
    • infobez_bez
      Автор infobez_bez
      Здравствуйте! 
      Вопрос по Kaspersky Endpoint Security для Linux 12.1
      Машины управляются сервером администрирования, есть как на Windows так и на Linux, управляются разными политиками, но на машинах с Linux (Основа, Астра, Роса) - в логе событий устройств каждые 5-10 секунд появляются события "Ключ успешно добавлен" -> "Ключ успешно удален", это продолжается все время пока компьютер включен 
      Задач по распространению ключа нет
      На машинах с Windows такого нет
      Подскажите, куда копать? 

    • Vednari
      Автор Vednari
      поймал это без понятия как, просто в один момент вылетел синий экран смерти, и понеслось...
      с того момента, при выключении пк ВСЕ действия начали откатываться сразу после того, как я включил пк после 1 экрана смерти.
       
      решил попробовать Dr Web Cureit - он проработал час-полтора, находил 2 угрозы, и по середине работы выкидывало экран смерти и снова откатывало всё назад (пробовал эту авантюру с Cureit 2 раза, всегда итог один и тот жн).
       
      при попытке воспользоваться KVRT, тоже ошибка (скрин её приложу)
      логи собрать тоже не вышло, по этому их тоже нет (скрин ошибке также приложен)
      также пытался использовать CouitaTools как раз для установки KVRT, но это ни к чему не привело
      ещё изначально у меня не работал chrome (а я только им и пользовался, хоть яндекс тоже был установлен), но сейчас каким то образом хром снова заработал.


×
×
  • Создать...