Приветствую! Вроде как по логам карантина за последнее время две заразы попадалось: ProgramUnwanted 3396 и JS.Miner.11. Сканер отрапортовал что угроз не обнаружено. Но видны странные службы которые появляются с другим цифренНым окончанием даже если их удалить с реестра. Вопрос, как отследить кто устанавливает службы? Удаление вирусов прошло не в полном обьеме? Прошу помощи по грамотному удалению.

https://dropmefiles.com/bhYVC   

Со ссылке лог от DRWEB

Вопрос закрыт, получилось без http, спасибо.

Такой вопрос: Развернута доменная сеть и ентерпрайз Drweb. Одну машину на пару месяцев выведуд с домена. Можно ли зацепится агентом не типа TCP 192.168.0.1:2193 а как http://xxxxxxx:2193 ?

Исправляюсь. Нашел дирикторию где распокован forcer.. После смены пароля нет активности.

не то что бы это вирус (поэтому логи не приложил) но кто и как вызывает процесс это, вот что хотелось бы знать... или все же логи нужны?

Приветствую! Заметил активность одного пользователя тогда, когда его компьютер вообще выключен (см. вложение). Насколько понимаю что идет брут, на данный момент сменил пароль пользователя и запретил его менять. Сканер Drweb ничего не находит. Как удалить заразу? Да, еще порт RDP снаружи изменен на свой, отличный от умолчания, как такое могло попасть на сервер вообще?

Попрошу посмотреть эту ветку главного админа. Не могу создать у Вас тикет! Ошибка на странице (500) Error: Can't connect to support.drweb.com:80 (connect: Connection timed out)

Попытаюсь еще, но все же. перенаправьте информацию ведущему линуксойду.

Следует оформить тикет через оф. саппорт?

Странно, помню точно что на 9.0.Х от точно вставал. И что-то можно констатировать что DRWEB для KERIO умер?

Kerio на платформе Linux

Kerio control 9.2.1 bild 2019. Инсталирую drweb-kerio-control_9.0.0.0-1404021531~linux_x86

во вложении принтскрин консоли. Control развернут на виртуальной машине. Собственно всегда так инсталировал и работало.

 Не могу запустить внешний антивирус. Всегда пользовались DRWEB для шлюзов. Установка через консоль проходит успешно.Но на картинке видно что не работает.

Вот ответ поддержки KERIO

Компания Kerio официально поддерживает только работу с антивирусом Sophos.
При использовании сторонних антивирусный программ убедительная просьба обращаться к тех. поддержки стороннего антивируса, в Вашем случае DRWEB.

Коллеги, простите, пож. за отсутствие возможности вскрыть истину. Я переустановил клиента, и скрипт не детектится как вредоносный код. Я отлично понимаю что это тупое решение проблемы, оно просто сэкономило время. При всем уважении к Вам как к разработчикам, спасибо за содействие. Тему можно как малообучаемую чему либо (акромя невнимательности админа) убить.

ключ предыдущий скорее всего, импортировался и распростнаялся новый в свое время (через консоль ключ добавлялся), по поводу update.geo.drweb.com ничего не могу сказать

да, ключ 100% валидный

Даже не знаю что сейчас проще, копаться в логах или переустановить клиента?  Ниже лог с drwservice.log, в нем все повторяется за сегодняшний день, а именно:

2015-Dec-10 15:32:32.334827 [6356] [WRN] [GetUpdaterLastStart] Exception at [winapi_regkey_t::open]. Code 2 "The system cannot find the file specified. ". LastUpdateStart

из drwupdater.log вот кусок:

Но на этой станции нет папки logs (Doctor Web/Logs). Дирректория c:\Program Files\DrWeb\Logs  правильно я понимаю?

Хронология событий выстраивается не логично, сначала пересоздал,  потом задался вопросом что именно на этой машине нет обновления баз.

пересоздал тикет  #6501645  в категории "ложное срабатывание эвристического анализатора"

Да, меня самого базы только сейчас озадачили, полез в консоль, напротив многих станций стоит значек "ошибка обновления". Посмотрел на некоторых клиентах Вирусные базы актуальны а именно на том компьютере они стары, принудительное обновление как сбойных так и всех конпонентов бестолку. Какие логи приложить нужно? непосредственно самого клиента на этой машине?  Вопрос ставим по-другому, почему  клиент не обновляется?

Детек есть и сейчас

А базы у меня не стары?

Ложное срабатывание, тикет #6477479

Ответ от 02.12.2015

Базы от 09.07.2015

уже делал, не возымело толка!

Ваш запрос был проанализирован. Для присланного Вами файла указана категория "Ложное срабатывание", но на данный момент файл сканером Dr.Web не определяется как угроза.

Возможно, ложное срабатывание уже было исправлено специалистами ООО "Доктор Веб", или Вы указали неверную категорию.

Может выложить файл сюда?

При открывании одного ресурса  (рабочего и проверенного) вызывается скрипт http://хххххххххххх.com/basis/common/namo1/js/namo_cengine.js он автоматом падает в карантин. и на данный момент выход из положения только выключением гварда или выключением настроек гварда а именно - не перемещать в карантин а игнорировать.

В вложении  скрин карантина. Я что-то могу еще предоставить?

Пересмотрел весь инструментарий по возможности добавить в исключение скрипта ( *js)  при открытии одного ресурса. И как понял его попросту нет? Поправьте меня.