Перейти к содержанию
Schlecht

Непонятный детект

Recommended Posts

Schlecht

Имеется SEP 11.6.

Недавно начал ругаться на зловреда в файлах .tmp из С:\Documents and Settings\User\Local Settings\Temp.

Найти этот .tmp я по указанному пути не могу.

При попытке потереть этот файл используя соответствующую опцию в логе - выдаёт ошибку:

- The file may have been moved or deleted

- You are trying to clean a compressed file in a container, etc

Браузер по умолчанию - опера. Зачистка всего не помогает.

Прогнал SEP и Kaspersky Virus Removal Tool с максимальными настройками - чисто.

Но тем не менее, каждый день всплывает эта зараза.

Что это могет быть такое?

Спасибо.

WinXP SP3.

screen.png

post-3758-1300749979_thumb.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Просветов
Имеется SEP 11.6.

Недавно начал ругаться на зловреда в файлах .tmp из С:\Documents and Settings\User\Local Settings\Temp.

Найти этот .tmp я по указанному пути не могу.

При попытке потереть этот файл используя соответствующую опцию в логе - выдаёт ошибку:

- The file may have been moved or deleted

- You are trying to clean a compressed file in a container, etc

Браузер по умолчанию - опера. Зачистка всего не помогает.

Прогнал SEP и Kaspersky Virus Removal Tool с максимальными настройками - чисто.

Но тем не менее, каждый день всплывает эта зараза.

Что это могет быть такое?

Спасибо.

WinXP SP3.

Добрый день,

Какая точно версия SEP? 11.0.61 , 11.0.62 ? Отчасти эта проблема была решена в последних патчах.

Если же проблема всё же продолжается, есть рекоммендации:

1) остановить сервис SEP (smc -stop)

2) Удалить содержимое TEMP папок, как в ....Local Settings\TEMP так и в C:\Temp и в c:\windows\temp

3) Удалить содержимое xfer папок

o Windows 2000/XP/2003

"C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer_tmp\"

"C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer\"

o Windows Vista/7/2008

"C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer_tmp\"

"C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer\"

4) Удалить содержимое карантина

* Windows 2000/XP/2003

"C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine"

* Windows Vista/7/2008

"C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine"

5) запустить сервис SEP (smc -start)

Есть также небольшой инструмент для автоматизации всего этого - http://www.symantec.com/connect/downloads/...-mikes-tool-set Ссылка на загрузку внизу темы или вот прямая ссылка.

С уважением,

Олег

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Schlecht
Добрый день,

Какая точно версия SEP? 11.0.61 , 11.0.62 ? Отчасти эта проблема была решена в последних патчах.

Если же проблема всё же продолжается, есть рекоммендации:

1) остановить сервис SEP (smc -stop)

2) Удалить содержимое TEMP папок, как в ....Local Settings\TEMP так и в C:\Temp и в c:\windows\temp

3) Удалить содержимое xfer папок

o Windows 2000/XP/2003

"C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer_tmp\"

"C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\xfer\"

o Windows Vista/7/2008

"C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer_tmp\"

"C:\ProgramData\Symantec\Symantec Endpoint Protection\xfer\"

4) Удалить содержимое карантина

* Windows 2000/XP/2003

"C:\Documents and Settings\All Users\Application Data\Symantec\Symantec Endpoint Protection\Quarantine"

* Windows Vista/7/2008

"C:\ProgramData\Symantec\Symantec Endpoint Protection\Quarantine"

5) запустить сервис SEP (smc -start)

Есть также небольшой инструмент для автоматизации всего этого - http://www.symantec.com/connect/downloads/...-mikes-tool-set Ссылка на загрузку внизу темы или вот прямая ссылка.

С уважением,

Олег

Спасибо!

SEP 11.0.6005.562

Почистил tmp, пока всё в порядке.

Имеет смысл быстро апгрейдить SEP до последней версии или можно не трогать пока всё работает? :-)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Олег Просветов
Спасибо!

SEP 11.0.6005.562

Почистил tmp, пока всё в порядке.

Имеет смысл быстро апгрейдить SEP до последней версии или можно не трогать пока всё работает? :-)

Судя по форумам, эта проблема иногда возвращается. В 11.0.6 MP1 эту проблему исправили, так что может стоит обновить.

С уважением,

Олег

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Приветствую, SQx Скажи, в данной системе новые задачи (создаваемые из под Wn11), тоже попадали в папку C:\Windows\System32\Tasks_Migrated или в стандартную C:\Windows\System32\Tasks?
    • SQx
      Здравствуйте,

      Нам недавно попалась интересная тема на cyberforum, в которой дефендер находил вредоносную активность, но при этом утилитам нам не удалось найти.

      Как оказалось майнер восстанавливался из планировщика задач, но не стандартного, а мигрированого: C:\Windows\System32\Tasks_Migrated\Microsoft\Windows\Wininet Хотел бы уточнить у Вас,  если можете добавить его в uVS.

      P.S. Есть идея, что при апгрейде системы в случае если задачи корректно не перенеслись,  появиляется папка Tasks_Migrated. 

      Спасибо.
    • Ego Dekker
      Домашние антивирусы ESET были обновлены до версии 15.2.11.
    • PR55.RP55
    • PR55.RP55
      Microsoft  в Win11 ( на канале Dev.) - добавила новую функцию, позволяющую получить полный список приложений, которые в последнее время запрашивали доступ к конфиденциальной информации, включая камеру, микрофон и контакты. Новая функция также отслеживает программы, получившие за последнюю неделю доступ к данным местоположения, телефонным звонкам, переписке и скриншотам. https://www.comss.ru/page.php?id=10641 Возможно функция (  или её дальнейшее развитие ) будут полезны.      
×