Перейти к содержанию

Странное поведение Антивируса. Подозрение на вирусы


Рекомендуемые сообщения

Добрый день.

Первоначально была проблема - постоянное появление дополнительных значков Kaspersky в трее (аналогично этой проблеме - https://forum.kasperskyclub.ru/topic/79972-neskolko-znachkov-v-tree/).

Пошел по пути переустановки антивируса. С этим практически не было проблем - когда было много значков в трее, то при попытке удаления выдал ошибку про невозможность выгрузить антивирус из оперативной памяти. Но после перезагрузки компьютера удалилось без ошибок.

Дальше запускаю установочный файл антивируса - и ничего не происходит. Пробовал скачанный с сайта 11.8, а также прошлый найденный в загрузках 11.7 - аналогично. По схожей проблеме нашел в интернете предложения запуска программы AVbr. Скачал - запустил-перезагрузился- ситуация не изменилась. Посмотрел лог программы, каких то критичных моментов, в том числе исправлений ошибок/удаления вирусов не заметил (лог программы во вложении).

Дальше уже решил создать тему, с соответствующим логом проверки

AV_block_remove_2022.03.23-12.27.log CollectionLog-2022.03.23-13.00.zip

Изменено пользователем Крекер
Ссылка на сообщение
Поделиться на другие сайты

Здравствуйте!

 

Явных вирусов, мешающих установке не видно.

Почитайте про совместимость KES и КриптоПРО.

 

Сообщите результат.

Ссылка на сообщение
Поделиться на другие сайты

Удалил крипто-про.

при запуске setup_kes (11.8) ничего не происходит

 

13 минут назад, Sandor сказал:

Покажите, пожалуйста, ссылку, откуда вы качали установочный файл.

 

https://www.kaspersky.ru/small-to-medium-business-security/downloads/endpoint

 

Только что скачал еще раз "Версия 11.8.0.384 | Windows | Distributive | Strong encryption" и "Версия 11.8.0.384 | Windows | Distributive | Lite encryption". и попытался поставить заново. Ситуация аналогичная

Изменено пользователем Крекер
Ссылка на сообщение
Поделиться на другие сайты

Скачайте Farbar Recovery Scan Tool (или с зеркала) и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с вашей операционной системой. Если вы не уверены, какая версия подойдет для вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на вашей системе.
Когда программа запустится, нажмите Да для соглашения с предупреждением.

Нажмите кнопку Сканировать (Scan).
После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.
Подробнее читайте в этом руководстве.
 

Ссылка на сообщение
Поделиться на другие сайты

Update.

Нашел в старых загрузках KES_11.2.0.2254. Он запускается и наверно устанавливается.
Решил сильнее покопаться в разных дистр-папках. нашел прилично разных версий (все скачаны с оф сайта по указанной ссылке в свое время). Версия 11.7... ситуация аналогичная проблема 
Версия 11.6.0.394 - кажется установилась. Базы - обновились на текущую дату. После обновления баз - предложил обновить самого Касперского до 11.8 - нажал принять, комп перезагрузил, но сама версия пока не обновилась, возможно не успела скачаться
Крипто про вернул Буду мониторить. 

 

21.JPG

22.JPG

 

Может слишком старая система для установщиков KES 11.7 и 11.8, или несовместимое железо? (Asus H130M-R R2.0)

 

5 часов назад, Sandor сказал:

После окончания сканирования будут созданы отчеты FRST.txt и Addition.txt в той же папке, откуда была запущена программа. Прикрепите отчеты к своему следующему сообщению.

Эта проверка актуальна? или пока стоит наблюдать установленную версию?

 

23.JPG

Ссылка на сообщение
Поделиться на другие сайты

С понедельника с середины дня проблем не зафиксировано. Антивирус обновился с 11.6 до 11.8. Базы ежедневно обновляются. Лишних значков в трее не было. 
Думаю тема решена и можно закрывать, если больше нет никаких рекомендаций

Ссылка на сообщение
Поделиться на другие сайты

Хорошо, спасибо, что сообщили.

 

Рекомендации есть, завершающие:

 

1.

Переименуйте FRST.exe (или FRST64.exe) в uninstall.exe и запустите.
Компьютер перезагрузится.

Остальные утилиты лечения и папки можно просто удалить.
 

2.

  • Загрузите SecurityCheck by glax24 & Severnyj, сохраните утилиту на Рабочем столе и извлеките из архива.
  • Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запустить от имени администратора (если Вы используете Windows Vista/7/8/8.1/10/11)
  • Если увидите предупреждение от вашего фаервола или SmartScreen относительно программы SecurityCheck, не блокируйте ее работу
  • Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt
  • Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt
  • Прикрепите этот файл к своему следующему сообщению.

Ссылка на сообщение
Поделиться на другие сайты

1. Программу FRST я ранее и не скачивал
2. лог во вложении. на первый взгляд там ничего критичного, но может я не туда смотрю

SecurityCheck.txt

Ссылка на сообщение
Поделиться на другие сайты

Смотрите сюда :)

 

--------------------------- [ OtherUtilities ] ----------------------------
Microsoft Office, для дома и бизнеса 2010 v.14.0.7015.1000 Данная программа больше не поддерживается разработчиком. Обновите Microsoft Office до последней версии или используйте Office Online или LibreOffice
TeamViewer v.15.16.8 Внимание! Скачать обновления
------------------------------ [ ArchAndFM ] ------------------------------
7-Zip 16.02 (x64) v.16.02 Данная версия программы больше не поддерживается разработчиком.. Удалите старую версию, скачайте и установите новую.
TreeSize Free V4.4.2 v.4.4.2 Внимание! Скачать обновления
-------------------------------- [ Java ] ---------------------------------
Java 7 Update 67 v.7.0.670 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее, скачать и установить Java SE 8 (jre-8u321-windows-i586.exe).
--------------------------- [ AdobeProduction ] ---------------------------
Adobe Flash Player 26 PPAPI v.26.0.0.131 Данная программа больше не поддерживается разработчиком. Рекомендуется деинсталлировать ее.
------------------------------- [ Browser ] -------------------------------
Mozilla Firefox 49.0 (x86 ru) v.49.0 Внимание! Скачать обновления
^Проверьте обновления через меню Справка - О Firefox!^
Спутник v.4.1.2810.0 Данная программа больше не поддерживается разработчиком.
Sputnik Update Helper v.1.3.33.31 Данная программа больше не поддерживается разработчиком.
 

 

На заметку - Рекомендации после удаления вредоносного ПО

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • usacom2006
      От usacom2006
      Здравствуйте.
      У нас стоит KSC13.2 и в "обновление программного обеспечение " неправильно назначаются обновления на KES11. Пишет что надо поставить на "Kaspersky Endpoint Security 10 Service Pack 2 Maintenance Release 4 для Windows" на 140 компьютеров, хотя у меня стоит KES 11.1. Как назначить обновления для KES11?
    • Роман Шерстнёв
      От Роман Шерстнёв
      Что ловят модули "Защита от сетевых угроз" и "Предотвращение вторжений"? Развернул тестовый стенд с Windows 7 и KES 11.8.0.384. Попробовал из Kali Linux сбрутить пароль локального админа с помощью crackmapexec, у каспера 0 реакции. Попробовал ARP-spoofing, абсолютно также ничего. От каких сетевых угроз тогда защищает модуль? Только от более-менее известных эксплоитов на сетевые службы и все?
    • shop-collection
      От shop-collection
      Проверяю компьютер AVZ и свыдает вот такой кусок лога:
      Протокол антивирусной утилиты AVZ версии 4.46
      Сканирование запущено в 06.04.2022 17:33:35
      Загружена база: сигнатуры - 297569, нейропрофили - 2, микропрограммы лечения - 56, база от 05.04.2022 04:00
      Загружены микропрограммы эвристики: 400
      Загружены микропрограммы ИПУ: 10
      Загружены цифровые подписи системных файлов: 1249748
      Режим эвристического анализатора: Средний уровень эвристики
      Режим лечения: выключено
      Версия Windows: 10.0.19043,  "Windows 10 Enterprise", дата инсталляции 20.08.2020 16:35:03 ; AVZ работает с правами администратора (+)
      Восстановление системы: включено
      1. Поиск RootKit и программ, перехватывающих функции API
      1.1 Поиск перехватчиков API, работающих в UserMode
       Анализ kernel32.dll, таблица экспорта найдена в секции .rdata
      Функция kernel32.dll:ReadConsoleInputExA (1132) перехвачена, метод ProcAddressHijack.GetProcAddress ->776EDB58->760FAB00
      Функция kernel32.dll:ReadConsoleInputExW (1133) перехвачена, метод ProcAddressHijack.GetProcAddress ->776EDB8B->760FAB30
       Анализ ntdll.dll, таблица экспорта найдена в секции .text
      Функция ntdll.dll:NtCreateFile (295) перехвачена, метод ProcAddressHijack.GetProcAddress ->77CA2F00->713317A0
      Функция ntdll.dll:NtSetInformationFile (598) перехвачена, метод ProcAddressHijack.GetProcAddress ->77CA2C20->71331900
      Функция ntdll.dll:NtSetValueKey (630) перехвачена, метод ProcAddressHijack.GetProcAddress ->77CA2FB0->71331970
      Функция ntdll.dll:ZwCreateFile (1838) перехвачена, метод ProcAddressHijack.GetProcAddress ->77CA2F00->713317A0
      Функция ntdll.dll:ZwSetInformationFile (2139) перехвачена, метод ProcAddressHijack.GetProcAddress ->77CA2C20->71331900
      Функция ntdll.dll:ZwSetValueKey (2171) перехвачена, метод ProcAddressHijack.GetProcAddress ->77CA2FB0->71331970
       Анализ user32.dll, таблица экспорта найдена в секции .text
      Функция user32.dll:CallNextHookEx (1536) перехвачена, метод ProcAddressHijack.GetProcAddress ->7790B3D0->71331690
      Функция user32.dll:SetWindowsHookExW (2399) перехвачена, метод ProcAddressHijack.GetProcAddress ->77910610->713319E0
      Функция user32.dll:Wow64Transition (1504) перехвачена, метод CodeHijack (метод не определен)
       Анализ advapi32.dll, таблица экспорта найдена в секции .text
      Функция advapi32.dll:CveEventWrite (1234) перехвачена, метод ProcAddressHijack.GetProcAddress ->776059E2->760FD500
      Функция advapi32.dll:I_ScRegisterPreshutdownRestart (1387) перехвачена, метод ProcAddressHijack.GetProcAddress ->77606909->76CCC160
       Анализ ws2_32.dll, таблица экспорта найдена в секции .text
       Анализ wininet.dll, таблица экспорта найдена в секции .text
       Анализ rasapi32.dll, таблица экспорта найдена в секции .text
       Анализ urlmon.dll, таблица экспорта найдена в секции .text
       Анализ netapi32.dll, таблица экспорта найдена в секции .text
      Функция netapi32.dll:NetFreeAadJoinInformation (130) перехвачена, метод ProcAddressHijack.GetProcAddress ->7518DF5A->5F3BAB10
      Функция netapi32.dll:NetGetAadJoinInformation (131) перехвачена, метод ProcAddressHijack.GetProcAddress ->7518DF89->5F3BAE90
      1.4 Поиск маскировки процессов и драйверов
       Проверка не производится, так как не установлен драйвер мониторинга AVZPM
      2. Проверка памяти
       Количество найденных процессов: 13
       Количество загруженных модулей: 236
      Проверка памяти завершена
      3. Сканирование дисков
      4. Проверка Winsock Layered Service Provider (SPI/LSP)
       Настройки LSP проверены. Ошибок не обнаружено
      5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
      6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
       Проверка отключена пользователем
      7. Эвристичеcкая проверка системы
      Обратите внимание: в настройках IE задан прокси-сервер S-1-5-21-3347954527-2061021529-2534387101-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings, ProxyServer="158.69.137.132:14159"
      Проверка настройки поиска IE через Policies [x64] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{F35BB6EA-0085-4A76-9FEE-9B60F95305B0}, SuggestionsURL_JSON="http://suggestqueries.google.com/complete/search?output=firefox&client=firefox&qu={searchTerms}"
      Проверка настройки поиска IE через Policies [x32] HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{F35BB6EA-0085-4A76-9FEE-9B60F95305B0}, SuggestionsURL_JSON="http://suggestqueries.google.com/complete/search?output=firefox&client=firefox&qu={searchTerms}"
      Проверка завершена
      8. Поиск потенциальных уязвимостей
      >> Службы: разрешена потенциально опасная служба TermService (Службы удаленных рабочих столов)
      > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
      >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
      >> Безопасность: к ПК разрешен доступ анонимного пользователя
      >> Проводник - включить отображение расширений для файлов известных системе типов
      Проверка завершена
      9. Мастер поиска и устранения проблем
      Проверка завершена
      Просканировано файлов: 249, извлечено из архивов: 0, найдено вредоносных программ 0, подозрений - 0
      Сканирование завершено в 06.04.2022 17:34:07
      Сканирование длилось 00:00:34
      Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
      то Вы можете обратиться на форум http://forum.kaspersky.com/index.php?showforum=18
      Для автоматической проверки файлов, не опознаных как чистые или заподозренных AVZ 
      можно использовать сервис http://virusdetector.ru/
       
       
      CollectionLog-2022.04.06-17.44.zip
    • LittleBeaver
      От LittleBeaver
      обнаружил файл с непонятным названием. Антивирус не нашел никаких проблем. что это может быть?
    • dedicatedd
      От dedicatedd
      флеш карта перестала работать, пк видит её но при любом взаимодействии пишет что диск защищён, даже при попытке форматирования выдаёт то же самое
      почитал в интернете подобные случаи, много где пишут про вирусы и решения, пробовал многое, не помогает
      надежда только на вас, спасибо за ранее! 
×
×
  • Создать...