Как вылечить объекты обнаруженные касперским

Здравствуйте!

В логах появляются сообщения «Обнаружен возможно зараженный объект…». Все сведения по файлу (расположение, имя) есть. Но только почему то с ним ничего не делается — ни в карантин не помещается, ни лечится…

Подскажите, пожалуйста, где настроить чтобы, такие файлы помещались, например, в карантин (никак не могу найти такие настройки).

На рабочих станциях стоит KES10MR1 и старше.

Спасибо.

Здравствуйте!

В логах появляются сообщения «Обнаружен возможно зараженный объект…». Все сведения по файлу (расположение, имя) есть. Но только почему то с ним ничего не делается — ни в карантин не помещается, ни лечится…

Подскажите, пожалуйста, где настроить чтобы, такие файлы помещались, например, в карантин (никак не могу найти такие настройки).

На рабочих станциях стоит KES10MR1 и старше.

Спасибо.

«Возможно зараженный» нужно искать в KSC-Хранилища-Файлы с отложенной обработкой. или локально в KES в Необработанных файлах

Кликаете по файлу, принимаете решение и указываете нужное действие.

Изменено 15 июля, 2016 пользователем Aigir

«Возможно зараженный» нужно искать в Файлах с отложенной обработкой.

KSC ждет принятия решения и выбранного действия.

В том то и дело, что в KSC их нигде нет: ни в отложенных, ни в карантине, ни в резервном хранилище. Или это только локально можно сделать и увидеть?

«Возможно зараженный» нужно искать в KSC-Хранилища-Файлы с отложенной обработкой. или локально в KES в Необработанных файлах

Кликаете по файлу, принимаете решение и указываете нужное действие.

А можно как-то настроить действия при обнаружении таких файлов?

А можно как-то настроить действия при обнаружении таких файлов?

Здравствуйте!

В настройках активной политики вы можете настроить уведомление о нахождении потенциально зараженного обьекта.

Спасибо!

Здравствуйте!

В настройках активной политики вы можете настроить уведомление о нахождении потенциально зараженного обьекта.

Спасибо!

Уведомление то я могу настроить. А хотелось бы действие, т.е. чтобы при обнаружении такого объекта он помещался в карантин или удалялся. Это возможно?

Здравствуйте!

В логах появляются сообщения «Обнаружен возможно зараженный объект…». Все сведения по файлу (расположение, имя) есть. Но только почему то с ним ничего не делается — ни в карантин не помещается, ни лечится…

Подскажите, пожалуйста, где настроить чтобы, такие файлы помещались, например, в карантин (никак не могу найти такие настройки).

На рабочих станциях стоит KES10MR1 и старше.

Спасибо.

Приложите, пожалуйста, экспорт этих логов и скриншот.

Спасибо.

Здравствуйте,

Спасибо за информацию.

Чтобы быть уверенным в том, что срабатывание действительно ложное, пожалуйста, отправьте подозрительный файл на newvirus@kasperky.com вместе с последним скриншотом.

Пожалуйста, сообщите нам номер KLAN*******.

Спасибо!

Здравствуйте,

Спасибо за информацию.

Чтобы быть уверенным в том, что срабатывание действительно ложное, пожалуйста, отправьте подозрительный файл на newvirus@kasperky.com вместе с последним скриншотом.

Пожалуйста, сообщите нам номер KLAN*******.

Спасибо!

Здравствуйте!

Дело не в том, что срабатывание ложное. Я хотел настроить так, чтобы такого рода объекты удалялись с компьютера пользователя в карантин или временное хранилище до рассмотрения их администратором, чтобы они не могли им воспользоваться умышленно или случайно. Иногда по почте приходят вложения от правдоподобных отправителей, на которые антивирус реагирует подобным образом. Пользователи, конечно, предупреждены о возможных шифровальщиках, но тем не менее хотелось бы по возможности исключить вероятность случайного открытия таких объектов.

Спасибо.

Здравствуйте!

Дело не в том, что срабатывание ложное. Я хотел настроить так, чтобы такого рода объекты удалялись с компьютера пользователя в карантин или временное хранилище до рассмотрения их администратором, чтобы они не могли им воспользоваться умышленно или случайно. Иногда по почте приходят вложения от правдоподобных отправителей, на которые антивирус реагирует подобным образом. Пользователи, конечно, предупреждены о возможных шифровальщиках, но тем не менее хотелось бы по возможности исключить вероятность случайного открытия таких объектов.

Спасибо.

Здравствуйте!

Попробуйте установить данный параметр и после этого проверьте помещается ли файл в хранилище.

Спасибо!

Здравствуйте!

Попробуйте установить данный параметр и после этого проверьте помещается ли файл в хранилище.

Спасибо!

Да. Так объект попал в хранилище файлов с отложенной обработкой. Как раз то, что мне нужно.

Большое спасибо!

Да. Так объект попал в хранилище файлов с отложенной обработкой. Как раз то, что мне нужно.

Большое спасибо!

Просьба обновить KES, так как эта версия имеет ограниченную техподдержку.

Спасибо.

Коллеги, доброго времени суток!

Объясните мне, пожалуйста, смысл в следующих отчетах.

Отчет по шаблону «Отчет о вирусах», в фильтрах добавлена дата (последние 1 сутки).

Файл по этому пути присутствует, на вирустотал не детектируется: 0 / 54.

Как вижу я — это ложное срабатывание KES? Что с этим можно/нужно делать?

Выборка компьютеров «Активные угрозы за последние сутки» со следующим фильтром:

А вот и сама выборка: выдает, среди прочего, такие: неизвестный объект, не вылечено.

Удаляю эти события из выборки, но они появляются снова через несколько часов.

Таких компьютеров много, в отчеты попадают ежедневно — как на это реагировать и что делать — не ясно.

Раньше как-то пытались разобраться с этим, но так и не смогли. А сейчас уже петух клюнул — поймали шифровальщик, который резвился больше недели (!!!) и Касперский никак не дал знать об активной угрозе.

Сегодня пытался настроить уведомление на почту в случае обнаружения невылеченных активных угроз — и не нашел такого функционала. Есть только по расписанию раз в сутки. Как же так?

Версии ПО — KES MR1, KSC MR1.

Спасибо.

Изменено 1 декабря, 2015 пользователем hometools

Файл по этому пути присутствует, на вирустотал не детектируется: 0 / 54.

Как вижу я — это ложное срабатывание KES? Что с этим можно/нужно делать?

Я такие файлы периодически пачками отправляю через CA, а дальше как кривая выведет — либо ложные срабатывания либо новые угрозы либо говорят, что детектирование верное, но если ПО ваше — добавляйте в доверенную зону.

А вот и сама выборка: выдает, среди прочего, такие: неизвестный объект, не вылечено.

Это древняя как мамонт проблема KSC или KES или обоих. Не лечится. Мне сказали, что исправлено в SP1, но перехода пока не делали.

А сейчас уже петух клюнул — поймали шифровальщик, который резвился больше недели (!!!) и Касперский никак не дал знать об активной угрозе.

Этот шифровальщик относительно новый, появился в конце сентября. Гугл говорит, что ни один из крупнейших игроков на рынке антивирусной защиты не детектирует этот шифровальщик. Народ говорит, что он не сигнатурный и, мол, антивирус не знает, что это угроза. Впрочем, типично для шифровальщиков.

Сегодня пытался настроить уведомление на почту в случае обнаружения невылеченных активных угроз — и не нашел такого функционала. Есть только по расписанию раз в сутки. Как же так?

У меня настроено уведомление о вирусной атаке. Если антивирус не видит вирус, то и присылать нечего. По уведомлениям у меня к ЛК много-много-много претензий. Я писал пожелания еще в прошлом году, но все они так и остались пожеланиями.

Этот шифровальщик относительно новый, появился в конце сентября. Гугл говорит, что ни один из крупнейших игроков на рынке антивирусной защиты не детектирует этот шифровальщик. Народ говорит, что он не сигнатурный и, мол, антивирус не знает, что это угроза. Впрочем, типично для шифровальщиков.

У меня настроено уведомление о вирусной атаке. Если антивирус не видит вирус, то и присылать нечего. По уведомлениям у меня к ЛК много-много-много претензий. Я писал пожелания еще в прошлом году, но все они так и остались пожеланиями.

В сентябре — относительно новый?

Отчеты один раз в сутки — с графиками и не нужной непонятной инфой — это неинтересно. Нужны именно алерты — скачал сотрудник вирус, который не вылечен — алерт в почту AntivirusAdmin. Все остальное — вилами по воде.

Все же хотелось бы услышать ответ и рекомендации от сотрудников ЛК.

Сегодня пытался настроить уведомление на почту в случае обнаружения невылеченных активных угроз — и не нашел такого функционала. Есть только по расписанию раз в сутки. Как же так?

Выберите «Отчеты и уведомления» — закладка Уведомления — Настроить параметры доставки уведомлений

ПС: шифровальщик от сентября это старье, учитывая что их модификации живут не более недели.

Изменено 1 декабря, 2015 пользователем DWState

В сентябре — относительно новый?

Ну, два месяца для меня — небольшой срок. :pardon:

Отчеты один раз в сутки — с графиками и

не нужной

непонятной инфой — это неинтересно. Нужны именно алерты — скачал сотрудник вирус, который не вылечен — алерт в почту AntivirusAdmin. Все остальное — вилами по воде.

Все же хотелось бы услышать ответ и рекомендации от сотрудников ЛК.

Да я ж только за обеими руками. С удовольствием послушаю что напишут сотрудники ЛК, хотя уже знаю какие будут ответы. :b_lol1:

Выберите «Отчеты и уведомления» — закладка Уведомления — Настроить параметры доставки уведомлений

:bt:

Угу, всё это уже давно настроено. Да только вот беда — уведомления а) приходят не всегда, б) иногда не приходят вовсе. Мне сотрудники ЛК рассказывали, что событие «Вирусная атака» генерируется только при выполнении определенных условий. Если эти условия не выполняются или выполняются частично — события нет и на почту ничего не приходит. Это тоже старая тема.

ПС: шифровальщик от сентября это старье, учитывая что их модификации живут не более недели.

Я лишь написал то, что увидел сам. Насчет модификаций тут все понятно.

Ну, два месяца для меня — небольшой срок. :pardon:

Насколько я знаю, Ransom детектится уже достаточно давно. Версия, что Гугл знает, а антивирусы не знают — дикая какая-то. Два дня — это не много. Неделя — уже критически много. 172 тыс зашифрованных файла в течении более недели — дичь, которой не должны быть в принципе потому, что быть не должно.

У KES ведь не только сигнатурный анализ. Помнится мне, ты даже настраивал что-то для анализа поведения исполняемых файлов — не получилось?

Версия, что Гугл знает, а антивирусы не знают — дикая какая-то.

Знать и уметь бороться — не одно и то же. И реальность такова, что антивирус даже актуальными базами и активными нужными компонентами даже ухом не повел на шифровальщик. И это не уже не первый раз, что в сочетании с данными из гугла непрозрачно намекает мне, что у антивирусов пока с этим большие проблемы.

Два дня — это не много. Неделя — уже критически много. 172 тыс зашифрованных файла в течении более недели — дичь, которой не должны быть в принципе потому, что быть не должно.

В нашей жизни, а особенно в России, очень много чего быть не должно, а поди ж ты — таки есть. Недаром же говорят: «Common sense — the best antivirus».

У KES ведь не только сигнатурный анализ. Помнится мне, ты даже настраивал что-то для анализа поведения исполняемых файлов — не получилось?

Гм. Я что-то запамятовал, напомни поподробнее?

Изменено 1 декабря, 2015 пользователем Zandatsu

:hi:

Сотрудники ЛК, отзовитесь!

Насколько я знаю, Ransom детектится уже достаточно давно. Версия, что Гугл знает, а антивирусы не знают — дикая какая-то. Два дня — это не много. Неделя — уже критически много. 172 тыс зашифрованных файла в течении более недели — дичь, которой не должны быть в принципе потому, что быть не должно.

У KES ведь не только сигнатурный анализ. Помнится мне, ты даже настраивал что-то для анализа поведения исполняемых файлов — не получилось?

Здравствуйте,

Если Вы по поводу необработанных объектов:

Зараженный файл считается необработанным, если Kaspersky Endpoint Security в процессе проверки

компьютера на вирусы и другие программы, представляющие угрозу, по каким-либо причинам не совершил

действие с этим файлом согласно заданным настройкам программы.

Такая ситуация возможна в следующих случаях:

 Проверяемый файл недоступен (например, находится на сетевом диске или внешнем носителе без прав

на запись данных).

 В настройках программы для задач проверки в блоке Действие при обнаружении угрозы выбрано

действие Информировать, и когда на экране отобразилось уведомление о зараженном файле,

пользователь выбрал вариант Пропустить.

Вы можете вручную запустить задачу выборочной проверки файлов из списка необработанных файлов после

обновления баз и модулей программы. После проверки статус файлов может измениться. Согласно статусу

вы можете самостоятельно выполнить необходимые действия с файлами.

То есть если сотрудник скачал файл который не вылечен, то, в зависимости от настроек, он может быть удален, если лечение невозможно. В Вашем же случае, если я правильно понял, зловред не детектировался.

Спасибо!

Здравствуйте,

Если Вы по поводу необработанных объектов:

Зараженный файл считается необработанным, если Kaspersky Endpoint Security в процессе проверки

компьютера на вирусы и другие программы, представляющие угрозу, по каким-либо причинам не совершил

действие с этим файлом согласно заданным настройкам программы.

Такая ситуация возможна в следующих случаях:

 Проверяемый файл недоступен (например, находится на сетевом диске или внешнем носителе без прав

на запись данных).

 В настройках программы для задач проверки в блоке Действие при обнаружении угрозы выбрано

действие Информировать, и когда на экране отобразилось уведомление о зараженном файле,

пользователь выбрал вариант Пропустить.

Вы можете вручную запустить задачу выборочной проверки файлов из списка необработанных файлов после

обновления баз и модулей программы. После проверки статус файлов может измениться. Согласно статусу

вы можете самостоятельно выполнить необходимые действия с файлами.

То есть если сотрудник скачал файл который не вылечен, то, в зависимости от настроек, он может быть удален, если лечение невозможно. В Вашем же случае, если я правильно понял, зловред не детектировался.

Спасибо!

Здравствуйте, спасибо за развернутый ответ!

А если такие события появляются, когда в политике задано действие «автоматически» и файлы находятся на локальном диске (папка временных файлов пользователя)?

Изменено 2 декабря, 2015 пользователем hometools

Zandatsu Угу, всё это уже давно настроено. Да только вот беда — уведомления а) приходят не всегда, б) иногда не приходят вовсе. Мне сотрудники ЛК рассказывали, что событие «Вирусная атака» генерируется только при выполнении определенных условий. Если эти условия не выполняются или выполняются частично — события нет и на почту ничего не приходит. Это тоже старая тема.

Ну во-первых сказано это было для ТС коим вы не являетесь, во-вторых событие и уведомление «вирусная атака» и рассылка событий на почту это как бы разные параметры. «Вирусная атака» событие срабатывает при опр. условиях — по умолчанию 10 вирусов за 10 минут, так или иначе ТС не говорит об этом событии, а о событиях и в частности зараженных объектах вообще.

когда в политике задано действие «автоматически»

Я настраиваю для уверенности по старинке — Лечить, удалять если лечение невозможно» — как то надежнее выглядит

Да и по скриншотам видно что у ТС сработала проактивка, таким образом мне не понятно каких данных ТС хочет: путь к объекту указан, время указано, место указано (ПК), естественно программа неизвестна если это эвристик.

поймали шифровальщик, который резвился больше недели (!!!) и Касперский никак не дал знать об активной угрозе.

Вот это вообще смешно — ни разу не видел шифровальщик резвящегося более 10 минут, он либо отрабатывает свое и умирает либо это не шифровальщик. За исключением временных бомб-вирусов, но у крипторов я таких не встречал.

Изменено 2 декабря, 2015 пользователем DWState

Ну во-первых сказано это было для ТС коим вы не являетесь, во-вторых событие и уведомление «вирусная атака» и рассылка событий на почту это как бы разные параметры. «Вирусная атака» событие срабатывает при опр. условиях — по умолчанию 10 вирусов за 10 минут, так или иначе ТС не говорит об этом событии, а о событиях и в частности зараженных объектах вообще.

Верно.

Я настраиваю для уверенности по старинке — Лечить, удалять если лечение невозможно» — как то надежнее выглядит

Я также настраиваю, ибо «автоматически» — ни о чем не говорит, т.к. заранее неизвестно как поведет себя антивирус. Но настройками политик у нас сейчас занимается другой человек.

Да и по скриншотам видно что у ТС сработала проактивка, таким образом мне не понятно каких данных ТС хочет: путь к объекту указан, время указано, место указано (ПК), естественно программа неизвестна если это эвристик.

Это вы про первый скриншот, видимо. В том и состоит мой вопрос — почему антивирус не вылечил или не удалил, раз все известно? Обнаружен зараженный объект — он должен быть обезврежен «автоматически», а не руками администратора. Или я не прав?

Вот это вообще смешно — ни разу не видел шифровальщик резвящегося более 10 минут, он либо отрабатывает свое и умирает либо это не шифровальщик. За исключением временных бомб-вирусов, но у крипторов я таких не встречал.

Да, ситуэйшн одновременно и смешной, и печальный. Но вот бывает и так.

Это вы про первый скриншот, видимо. В том и состоит мой вопрос — почему антивирус не вылечил или не удалил, раз все известно? smile.gif Обнаружен зараженный объект — он должен быть обезврежен «автоматически», а не руками администратора. Или я не прав?

И да и нет — дело в том что АВ не говорит что это вирус, он говорит о том, что это ПОХОЖЕ на вирус — то есть при определении он не дает точный вердикт, а дописывает к имени определения угрозы слово gen или generic . То есть АВ говорит — «это похоже на модификацию вируса», но не уверен, так как сработала не сигнатурная защита базами, а поведенческий модуль. Как правильно заметил Zandatsu — если не лень то желательно этот файл запаковать в архив с паролем virus и выслать его в ЛК для анализа, а живой объект попросту удалить, мало ли что там.

А вам надо посмотреть как настроена защита при определении неизвестных угроз — прежде всего «Мониторинг активности», там