В логе на рабочей станции:
Preventive Protection event: Encoder
id: 21322, timestamp: 16:35:17.047, type: Encoder (40), flags: 5 (wait: 1), cid: 6980/5104:\Device\Mup\galaxy\VOL\galnet.rus\exe\atlexec.exe
source context: start addr: 0x649e8c, image: 0x400000:\Device\Mup\galaxy\VOL\galnet.rus\exe\atlexec.exe
hips: type: 17, action: deny [5]
cmd: F:\galnet.rus\exe\AtlExec.exe /c:F:\galnet.rus\galnet.cfg
encoder action: 2
fileinfo: size: 3021856, easize: 39, attr: 0x2020, buildtime: 20.06.1992 01:22:17.000, ctime: 28.09.2017 05:43:30.656, atime: 13.11.2017 16:29:02.179, mtime: 04.07.2017 18:00:52.000, descr: Ядро 2-х уровневого Атлантис-приложения, ver: 5.5.28.3, company: Корпорация Галактика, oname:
hash: 0583df8cd7a6a002fd22667261fcfa7c48919db1 status: unsigned, pe32, mup / unsigned / unknown
threat: DPH:Trojan.Encoder.2 ==> send user blocked alert
path: \Device\Mup\galaxy\VOL\galnet.rus\exe\atlexec.exe ==> denied access to file
process: \Device\Mup\galaxy\VOL\galnet.rus\exe\atlexec.exe:6980 ==> suspended all threads in process
path: \Device\Mup\galaxy\VOL\galnet.rus\exe\atlexec.exe ==> quarantined
send driver event reply for unblock process ==> success
process: \Device\Mup\galaxy\VOL\galnet.rus\exe\atlexec.exe:6980 ==> terminated
disinfect: \Device\Mup\galaxy\VOL\galnet.rus\exe\atlexec.exe ==> quarantined [8]
threat: DPH:Trojan.Encoder.2 ==> sended user virus found alert
id: 21322 ==> denied [5], time: 7913.366403 ms
Два вопроса:
1. Уведомления об этом администратору не приходят, в консоли это никак не отображается (статистика - угрозы), это так и должно быть? На срабатывания SpIDer Guard и сканера все приходит/отображается.
2. Что должно быть написано в исключения превентивной защиты?
Сейчас стоит интерактивный режим, уровень оптимальный, в исключениях добавлены (все разрешено)
Device\Mup\galaxy\VOL\galnet.rus\exe\atlexec.exe
F:\galnet.rus\exe\atlexec.exe