Перейти к содержанию
Правила раздела

Подозрительное поведение 1С:Предприятия

jimmyhendrix

От jimmyhendrix
в Помощь в удалении вирусов

 Share

Рекомендуемые сообщения

jimmyhendrix Новичок

jimmyhendrix

Опубликовано
Опубликовано (изменено)

Здравствуйте!

 

9 июля, после очередного обновления платформы 1С:Предприятие на компьютерах локальной сети, на машине ОДНОГО из пользователей стали периодически возникать ошибки типа APPCRASH в процессе 1Cv8.exe во взаимодействии со сбойным модулем ntdll.dll. После отключения антивируса KIS 2013 и компонента для мониторинга сети, ошибка исчезла, но вскоре снова стала появляться, безо всякой систематики. Полная проверка компьютера на вирусы ничего не дала, и после этого было предположено, что все проблемы кроются в сбойной системной библиотеке ntdll.dll. Сканирование nfc /scannow на предмет нарушения целостности системных компонентов не выявил ошибок и после анализа аварийных дампов в журнале Windows, было принято решение переустановить операционную систему(Windows 7 Home Premium x86), предварительно отформатировав раздел. После установки на чистую систему(Windows 7 Professional x64) KIS 2018 и 1С:Предприятия проблема НИКУДА НЕ ДЕЛАСЬ. Отличием был только сбойный модуль - на этот раз уже другая dll, которая находится в директории с 1С. После выгрузки из системного трея компонента мониторинга сети Kaspersky Secure Connection, проблема снова исчезла и на протяжении рабочего дня не появлялась. Но на следующий день всё возобновилось и сбои стали появляться ежеминутно, даже при отключенных KIS 2018 и Kaspersky Secure Connection.
На остальных двух машинах все работает как ни в чем не бывало. Единственное отличие сбойного компьютера от остальных двух - он является сервером лицензионных ключей для остальных двух компьютеров, используя HASP License Manager с аппаратным ключом и используется для входа в клиент-банк.
Единственный вариант, который приходит на ум в настоящее время - после неудачного обновления программа пытается выдергивать функции из системных библиотек, но по каким-то причинам этого не происходит. Ведь по идее, ошибки типа APPCRASH, насколько это мне известно, возникают в случаях когда процесс пытается принять параметры функций, но вместо них там ничего не оказывается. Связано ли такое поведение программы со взаимодействием с KIS и по какой причине именно на этой машине происходят аварийные ситуации? Мог ли антивирус в процессе обновления по локальной сети 1C:Предприятия повлиять на ход обновления и может ли(хоть и чисто теоретически) это стать следствием какой-либо вредоносной составляющей(эксплойт под 1С) ?
 
На момент создания архива CollectionLog ситуация не изменилась.
 
Изменено пользователем jimmyhendrix
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Share
Перейти к списку тем

  • Похожий контент

    • Gennadiy
      Есть ли что-то подозрительное в системе?
      От Gennadiy
      Здравствуйте!
       
      Вчера устанавливал приложения для прокси Cloudflare Warp и WireGuard (потом их удалил) и смотрел в YouTube инструкцию как всё это сделать. И при открытом YouTube (больше я ничего не делал и никуда не заходил) выскочило вдруг окно Касперского со следующей информацией:
      Событие: Остановлен переход на сайт
      Пользователь: NEOS\Пользовательдва
      Тип пользователя: Инициатор
      Имя приложения: firefox.exe
      Путь к приложению: C:\Program Files\Mozilla Firefox
      Компонент: Интернет-защита
      Описание результата: Запрещено
      Тип: Вредоносная ссылка
      Название: bro.kosmohubeq.space/code/mizweojtg45ha3ddf42dsnbx
      Точность: Точно
      Степень угрозы: Высокая
      Тип объекта: Веб-страница
      Имя объекта: mizweojtg45ha3ddf42dsnbx
      Путь к объекту: bro.kosmohubeq.space/code
      Причина: Облачная защита
       
      Посмотрите, пожалуйста, нет ли никакого вируса.
      CollectionLog-2024.07.29-18.33.zip
    • singularpurplecloud
      kaspersky нашел подозрительный файл $RU8ZV5V.exe. как его полностью удалить?
      От singularpurplecloud
      Событие: Мы нашли приложение, которое может быть использовано злоумышленниками для нанесения вреда компьютеру или вашим данным.
      Пользователь: RATINDISGUISE\user
      Тип пользователя: Активный пользователь
      Компонент: Антивирусная проверка
      Результат: Обнаружено
      Описание результата: Обнаружено
      Тип: Уязвимость
      Название: 68203
      Точность: Точно
      Степень угрозы: Низкая
      Тип объекта: Файл
      Имя объекта: $RU8ZV5V.exe
      Путь к объекту: C:\$Recycle.Bin\S-1-5-21-2739154480-802394143-3964783320-1001
      MD5 объекта: B2325881235719EC1F79F87AB9E63C09
      Причина: Базы
      Дата выпуска баз: Сегодня, 01/06/2024
    • umokay
      [РЕШЕНО] Установилось подозрительное расширение
      От umokay
      Здравствуйте. После установки игры с сайта торрент игруха в основном браузере (chrome) появилось расширение save vpn. Оно установилось из локальной папки, названной длинным рандомным набором латинских букв. Расширение было деактивировано и удалено, три антивируса (касперский, drweb и malwarebytes) поругались на файлы из других локальных папок с названиями различных браузеров (которые никогда на этом компьютере не были установлены). Боюсь, что простого удаления расширения может быть недостаточно, подскажите, есть ли что-то еще, что я могу сд елать?
      CollectionLog-2024.02.05-21.27.zip
    • Myllin
      Подозрительные файлы в формате txt android
      От Myllin
      Всем привет. Имею 14 андроид и недавно проверял свой андроид свободным ПО Hypatia. Так вот она обнаружила неприятный результат. В телефоне покопался не нашел подобных файлов, что порекомендуете сделать? Может ли быть это ложным срабатыванием?

      Сообщение от модератора kmscom Тема перемещена из раздела Помощь в удалении вирусов  
    • Magda
      Подозрительный exe-шник
      От Magda
      Доброго времени
       
      Подскажите ,пожалуйста , этот exe-шный файл вирусный или это такая   чья то сборка?
       

×
×
  • Создать...