Перейти к содержанию

Рекомендуемые сообщения

После обновления с версии 11.3.0.773 до 11.6.0.394 на некоторых станциях был обнаружен файл C:\User\Администратор\AppData\Local\Temp\UnKES.vbs

Эвристическим анализом определен как HEUR:Trojan.VBS.KillAV.gen

 

Текст скрипта следующий:

Строгое предупреждение от модератора Elly
Удалено

Это вирус какой-то нагадил или может быть хвосты от KAVRemover?

 

P.S. Антивирус удалил файл и ветку в реестре при лечении.

Или может этот скрипт удаления предыдущей версии?

Версия 11.6.0.394 распрастранялась поверх 11.3.0.773 через KSC 11

Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте.

И вы решили в открытый доступ выложить вредоносный код? Правилами форума запрещено это делать!

Наличие данного файла говорит о том, что компьютер заражен. Создайте свою тему с логами в этом разделе  https://forum.kasperskyclub.ru/forum/26-pomosch-v-udalenii-virusov/

Ссылка на сообщение
Поделиться на другие сайты
1 час назад, mike 1 сказал:

Здравствуйте.

И вы решили в открытый доступ выложить вредоносный код? Правилами форума запрещено это делать!

Наличие данного файла говорит о том, что компьютер заражен. Создайте свою тему с логами в этом разделе  https://forum.kasperskyclub.ru/forum/26-pomosch-v-udalenii-virusov/

Помощь как таковая не нужна. Хотелось только понять относился ли скрипт к деятельности самого касперского или действительно зловред.

P.S. Не могу уже отредактировать первое сообщение, чтобы убрать текст скрипта.

Изменено пользователем BlaiR
Ссылка на сообщение
Поделиться на другие сайты
3 часа назад, BlaiR сказал:

Хотелось только понять относился ли скрипт к деятельности самого касперского или действительно зловред.

Данный скрипт может относится как к утилите удаления, так и к вирусному заражению. Проверять или нет компьютер - решать собственно вам. 

Ссылка на сообщение
Поделиться на другие сайты

Аналогичная проблема, тоже после установки KES 11.6, только поверх 11.5. Выяснили в чем дело?

 

В моем случае, производил подключение с помощью  SCCM к ПК сотрудника, для запуска инсталятора 11.6, единственный раз за сессию использовал свои учетные данные доменного админа. После завершения установки, данный файл (unKES.vbs) был обнаружен по тому же пути для моей учетной записи. Из чего косвенно делаю вывод, что все-таки это легитимный скрипт, используемый  лабораторией для вычищения каких-то остатков. Проблема только одна, но возможно это просто стечение обстоятельств - перестал работать запуск задач для нданного устройства с сервера KSC. Что тоже наводит на мысли.

Ссылка на сообщение
Поделиться на другие сайты
18 часов назад, mike 1 сказал:

Здравствуйте, аналогичные рекомендации даю и вам. Гадать что там у вас на компьютере у нас не принято. 

Ответила поддержка лаборатории: 

"добрый день! unKES.vbs - это наш скрипт для удаления KES, он запускается если запустить kavremover. По идее он должен был удалиться из temp после обновления KES."

 

Почему их утилиты определяются их же эвристическим анализом как зловреды - вопрос остается открытым

Изменено пользователем DalasDV
Ссылка на сообщение
Поделиться на другие сайты
18 часов назад, DalasDV сказал:

Почему их утилиты определяются их же эвристическим анализом как зловреды - вопрос остается открытым

Потому что скрипт сначала добавили в базы, а потом решили снять детект, т.к. посыпались жалобы, что невозможно воспользоваться утилитой удаления. 

Ссылка на сообщение
Поделиться на другие сайты
5 часов назад, mike 1 сказал:

Потому что скрипт сначала добавили в базы, а потом решили снять детект, т.к. посыпались жалобы, что невозможно воспользоваться утилитой удаления. 

Понятно.

Когда обнаружилось данное, первая мысль была, что моя админская УЗ скомпрометирована, со всеми вытекающими последствиями в виде принятых действий по минимизации рисков. Можно же было выпустить какой-то бюллетень, об этом. При тщательном поиске я не нашел вообще какой-либо информации в сети. Уж тем более официальной.

Изменено пользователем DalasDV
Ссылка на сообщение
Поделиться на другие сайты
13 часов назад, DalasDV сказал:

Когда обнаружилось данное, первая мысль была, что моя админская УЗ скомпрометирована, со всеми вытекающими последствиями в виде принятых действий по минимизации рисков. Можно же было выпустить какой-то бюллетень, об этом. При тщательном поиске я не нашел вообще какой-либо информации в сети. Уж тем более официальной.

Странно что вообще такой   скрипт доступен в открытом виде.. Наверно, баг утилиты kavremover, поэтому и решили задетектить этот скрипт, но лучше все до конца уточнить у поддержки.

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
×
  • Создать...