HEUR:Trojan.VBS.KillAV.gen

[BlaiR 0]

После обновления с версии 11.3.0.773 до 11.6.0.394 на некоторых станциях был обнаружен файл C:\User\Администратор\AppData\Local\Temp\UnKES.vbs

Эвристическим анализом определен как HEUR:Trojan.VBS.KillAV.gen

 

Текст скрипта следующий:

Строгое предупреждение от модератора Elly

Удалено

Это вирус какой-то нагадил или может быть хвосты от KAVRemover?

 

P.S. Антивирус удалил файл и ветку в реестре при лечении.

Или может этот скрипт удаления предыдущей версии?

Версия 11.6.0.394 распрастранялась поверх 11.3.0.773 через KSC 11

[mike 1 1 093]

Здравствуйте.

И вы решили в открытый доступ выложить вредоносный код? Правилами форума запрещено это делать!

Наличие данного файла говорит о том, что компьютер заражен. Создайте свою тему с логами в этом разделе  https://forum.kasperskyclub.ru/forum/26-pomosch-v-udalenii-virusov/

[BlaiR 0]

1 час назад, mike 1 сказал:

Здравствуйте.

И вы решили в открытый доступ выложить вредоносный код? Правилами форума запрещено это делать!

Наличие данного файла говорит о том, что компьютер заражен. Создайте свою тему с логами в этом разделе  https://forum.kasperskyclub.ru/forum/26-pomosch-v-udalenii-virusov/

Помощь как таковая не нужна. Хотелось только понять относился ли скрипт к деятельности самого касперского или действительно зловред.

P.S. Не могу уже отредактировать первое сообщение, чтобы убрать текст скрипта.

Изменено 1 апреля, 2021 пользователем BlaiR

[mike 1 1 093]

3 часа назад, BlaiR сказал:

Хотелось только понять относился ли скрипт к деятельности самого касперского или действительно зловред.

Данный скрипт может относится как к утилите удаления, так и к вирусному заражению. Проверять или нет компьютер - решать собственно вам. 

[thyrex 1 468]

А еще под подобными именами шли программы для нелицензионного использования продуктов компании

[Friend 1 246]

@BlaiR рекомендую создать запрос в службу поддержки через Kaspersky CompanyAccount

Есть сомнения что этот скрипт относится к утилите удаления.

[DalasDV 2]

Аналогичная проблема, тоже после установки KES 11.6, только поверх 11.5. Выяснили в чем дело?

 

В моем случае, производил подключение с помощью  SCCM к ПК сотрудника, для запуска инсталятора 11.6, единственный раз за сессию использовал свои учетные данные доменного админа. После завершения установки, данный файл (unKES.vbs) был обнаружен по тому же пути для моей учетной записи. Из чего косвенно делаю вывод, что все-таки это легитимный скрипт, используемый  лабораторией для вычищения каких-то остатков. Проблема только одна, но возможно это просто стечение обстоятельств - перестал работать запуск задач для нданного устройства с сервера KSC. Что тоже наводит на мысли.

[mike 1 1 093]

Здравствуйте, аналогичные рекомендации даю и вам. Гадать что там у вас на компьютере у нас не принято. 

[DalasDV 2]

18 часов назад, mike 1 сказал:

Здравствуйте, аналогичные рекомендации даю и вам. Гадать что там у вас на компьютере у нас не принято. 

Ответила поддержка лаборатории: 

"добрый день! unKES.vbs - это наш скрипт для удаления KES, он запускается если запустить kavremover. По идее он должен был удалиться из temp после обновления KES."

 

Почему их утилиты определяются их же эвристическим анализом как зловреды - вопрос остается открытым

Изменено 7 апреля, 2021 пользователем DalasDV

[mike 1 1 093]

18 часов назад, DalasDV сказал:

Почему их утилиты определяются их же эвристическим анализом как зловреды - вопрос остается открытым

Потому что скрипт сначала добавили в базы, а потом решили снять детект, т.к. посыпались жалобы, что невозможно воспользоваться утилитой удаления. 

[DalasDV 2]

5 часов назад, mike 1 сказал:

Потому что скрипт сначала добавили в базы, а потом решили снять детект, т.к. посыпались жалобы, что невозможно воспользоваться утилитой удаления. 

Понятно.

Когда обнаружилось данное, первая мысль была, что моя админская УЗ скомпрометирована, со всеми вытекающими последствиями в виде принятых действий по минимизации рисков. Можно же было выпустить какой-то бюллетень, об этом. При тщательном поиске я не нашел вообще какой-либо информации в сети. Уж тем более официальной.

Изменено 8 апреля, 2021 пользователем DalasDV

[Friend 1 246]

13 часов назад, DalasDV сказал:

Когда обнаружилось данное, первая мысль была, что моя админская УЗ скомпрометирована, со всеми вытекающими последствиями в виде принятых действий по минимизации рисков. Можно же было выпустить какой-то бюллетень, об этом. При тщательном поиске я не нашел вообще какой-либо информации в сети. Уж тем более официальной.

Странно что вообще такой   скрипт доступен в открытом виде.. Наверно, баг утилиты kavremover, поэтому и решили задетектить этот скрипт, но лучше все до конца уточнить у поддержки.