Касперский контроль активности программ сбой
Отключен файловый антивирус (при попытке включить выдает ошибку 80000070).
Отключен почтовый антивирус.
Отключен контроль программ (ошибка: 80010102).
Отключен мониторинг активности (Неопределенная ошибка) .
Отключен сетевой экран (ошибка: 80010102)
Полное удаление всех продуктов касперского и чистка реестра не помогло.. .
При установке всё работает хорошо до первой перезагрузки. после неё появляетя то что написано выше. .
Не знаю уже что и делать.. .
Kaspersky Internet Security 2013.
Kaspersky Internet Security 2013.
Kaspersky Internet Security 2013.
Возможно была несколько раз произведена установка программы. Удаляя стандартными средствами или программой удаления kavremover в реестре и в папках остаются следы от Касперского. Нужна тщательная ручная чистка или переустановка ОС.
И вообще все программы устанавливай на диск D создав папку допустим Program Files и все скачивай в папки на тот же диск на диск С оставляй только ОС, что бы не было проблем с переустановкой самой ОС. И проблем с Каспером не будет.
Должно быть уже после этого всё нормально! Если и это не поможет - Live CD/USB доктора вэба из биоса и переустановка ОС, с полным удалением всех разделов, затем их создания заново, форматирования.. .Это уже сто пудов!
Проверь систему, лучше с загрузочного диска.
Dr.Web LiveCD - диск скорой антивирусной помощи, который позволяет восстановить работоспособность системы, пораженной действиями вирусов, на рабочих станциях и серверах под управлением Windows\Unix. В случае, когда невозможно произвести загрузку компьютера с жесткого диска, Dr.Web LiveCD поможет не только очистить компьютер от инфицированных и подозрительных файлов, но и попытается вылечить зараженные объекты.
Dr.Web LiveUSB (Portable) - позволяет провести аварийное восстановление операционной системы с помощью загрузочного USB-накопителя.
Для записи загрузочной флешки достаточно подключить USB-устройство к компьютеру и запустить Dr.Web LiveUSB — приложение само определит доступные носители и предложит выбрать нужный. Дальнейшее создание диска аварийного восстановления полностью автоматизировано.
Программа Dr.Web LiveUSB предназначена для работы на компьютерах под управлением ОС Windows (32- и 64-битные версии) .
Kaspersky Rescue Disk - загрузочный диск, позволяющий восстановить систему и находящие на жестком диске данные после вирусной атаки. Позволяет обнаружить и удалить абсолютно любые вирусы, включая такие, которые не позволяют дойти до загрузки Windows. Построен на базе Gentoo Linux и Антивируса Касперского.
LiveCD ESET NOD32 – загрузочный диск, при помощи которого Вы сможете быстро запустить компьютер и восстановить работоспособность выведенной из строя операционной системы.
Кроме того, LiveCD ESET NOD32 позволит гарантированно удалить вирусы, потенциально опасные файлы и сложное вредоносное ПО, которое не удалось обезвредить в обычном режиме работы.
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Похожий контент
Есть 10 KES. Есть графическая оболочка Cinnamon. За графику отвечает графический чипсет AMD. При конфигурации GUI касперский в системном трее:
1) отображается не в виде значка, а в виде красного прямоугольника
2) При ПКМ на системном значке Контекстное меню отображается некорректно, оно увеличивается в разы (то есть масштабирование этого меню не работает)
3) Если два раза нажать на значок в трее ( или запустить GUI из меню) GUI не отображается (черный экран).
Проблемы именно в Cinnamon. На том же дистрибутиве в MATE всё отлично.
Причем не на всех мониторах эта проблема прослеживается.
На графических чипсетах от Intel проблем замечено не было.
В локальной сети развёрнута инфраструктура антивирусной защиты на базе лицензионного Kaspersky Endpoint Security 10 c KSC 10.2.434, а это порядка 180 машин, на которых работает KES v10.3.3.275, v10.2.6.3733 (MR4), v10.2.5.3201 и другие версии KES 10.
Обратил внимание, что антивирусные базы KES 10.2.6.3733 перестали обновляться, неважно из какого источника – интернета или хранилища KSC. Индикатор прогресса обновления на насколько секунды может остановиться на отметке 6%, а затем резко отобразить 95%. При этом объём загруженных данных не превышает 200 КБ. Результат – «базы сильно устарели». Обновления для антивирусных баз, загружаемые через Kaspersky Update Utility 3.2.0.153 в папку, открытую для общего доступа, также не обнаруживаются.
Такой проблемы нет с KES 10 других версий. Проблема возникает только после установки обновления MR4, т.е. после обновления до версии 10.2.6.3733. Удаление и повторная переустановка антивируса любых версий KES 10 на проблемной машине не помогает. Единственное решение – переход на KES 11, но нас это пока не устраивает.
Журнал обновлений прилагаю.
P.S. Судя по отзывам, подобная проблема существует и у других пользователей, однако решения со стороны Касперского так и не предложено.
Доброго времени суток!
Прошу помощи с отключением самозащиты, или полным удалением продукта.
История такова: умер сервер с Server 2003 sp2 x32 + KES 10 sp1 mr2 (10.2.6.3733), с установленной на нем очень древней, и очень нужной программой, которую по ряду причин нельзя перетащить на другую систему. Система была перетянута в hyper-V, успешно стартует, но при запуске просто удаляет все драйвера от виртуальной машины. Т.е. драйвера определяются при запуске, и тут же удаляются. При попытке обновить конфигурацию оборудования, определяются повторно, работают корректно, при попытке удалить-обновить пишут что действие неприменимо к устройству, которое находится в состоянии удаления. После перезагрузки, все начинается заново. Кроме того, процесс services.exe на полную нагружает одно ядро.
Ситуация кардинально меняется при снятии галочки самозащиты. Все устройства волшебным образом сами определяются, и сохраняют это состояние при перезагрузке, никакой загрузки процессора, все прекрасно, НО перестает пускать по RDP. Дело не в закрытом порте, я попадаю в сеанс (но в логах пусто, попытка подключения вообще никак не регистрируется, даже в безопасности), и моментально меня выкидывает с ошибкой "Ваш сеанс со службами удаленных рабочих столов завершен, возможно, по одной из следующих причин: Администратор завершил этот сеанс, произошла ошибка при установке подключения, возникла сетевая проблема".
При этом, возврат галочки самозащиты на место, с перезагрузкой и без, не исправляет ситуацию, помогает только откат к контрольной точке hyper-v.
Попытка полностью удалить продукт, и через штатный деинсталлятор, и через фирменную утилиту, вызывает ту-же ошибку RDP.
Попытка накатить сверху другую версию, заканчивается ошибкой установки klif.sys, откатом инсталлятора, и ошибкой RDP.
Контроль устройств не установлен, да и вообще все компоненты, включая сетевой экран выключены, программа работает локально, без политики, да и попытка накатить политики, и снять самозащиту через сервер администрирования заканчивается аналогичным локальному результатом.
Попытка удалить службу терминалов, и подключаться просто в режиме удаленного доступа, ситуацию никак не исправляет, у сервера две роли, терминальная и файловая. доступ по SMB прекрасно работает.
chksdk и sfc /scannow не помогают. Брандмауэр выключен.
Подскажите, куда копать?
Здравствуйте.
Ноут проверили Kaspersky Endpoint-ом. Нашел несколько, но пишет: Лечение невозможно. Папка кэша Хрома и еще где-то.
Спасибо.
Лог тут: CollectionLog-2020.06.09-12.08.zip
Доброго времени суток. Постараюсь описать свою проблему. Стоял у нас на сервере KSC10. На рабочих машинах стояли версии анивирусаа KES10.2.1.23 и KES11. всё работало идеально, был контроль над всеми машинами, задачи по обновлению баз выполнялись без ошибок.
Произошло чп с сервером, на котором стоял ksc10. После устранения проблемы, пришлось всё переставлять заново. Было решено поставить 11-ю версию KSC. С этого момента ничего не работает. KSC не находит плагин управления, вирусные базы не обновляются, на часть машин не хочет ставиться агент администрирования.
С агентами худо-бедно проблема решилась, но вот обновляться ничего категорически не хочет. C ПК на которых установлен KES11 проблем почти нет, а вот там где стоит KES10 базы устарели и не хотят обновляться даже вручную на самом пк. как можно решит эту проблему? скачивал с офф сайта плагины управления kes10 - не помогает
Facebook Если у вас не работает этот способ авторизации, сконвертируйте свой аккаунт по ссылке ВКонтакте Google RAMBLER&Co ID
Авторизуясь в LiveJournal с помощью стороннего сервиса вы принимаете условия Пользовательского соглашения LiveJournal
Контроль запуска программ в Kaspersky Security Center 10
Выводы: В принципе на этом все. Решить данную проблему можно и через групповые политики AD , что скорее всего более разумно т.к. фильтр по exe файлу в Касперском не работает пока. А если исключать по хешу файла, то тогда использовать Касперский. Ну и пришлось обновить на клиентской машине Касперского до последней версии чтоб хоть как то контроль заработал. Без обновления вообще не работало никак.
П.С. после обновления на клиентской машине необходимо запустить утилиту klmover , которая связывает клиентскую машину и сервер администрирования Касперского.
klmover -address 172.16.1.1 -logfile klmover.log
где address, ip адрес сервера администрирования Касперского
О технологиях защиты от вредоносных программ сложно рассказывать: там полно всяких сложных технических терминов. Но мы все же попробуем. Сегодня я расскажу о технологии детектирования вредоносных программ в оперативной памяти — и постараюсь сделать это максимально доступно.
Давным-давно
Но сначала давайте разберем, как вообще работают защитные решения. Если все предельно упростить, то у них есть два режима работы. В первом они отслеживают происходящие в вашем компьютере процессы и, если видят подозрительную активность — загрузку трояна, поддельное письмо в почте или зловредный веб-сайт, стараются максимально обезопасить пользователя. Тут все понятно и легко.
Второй режим — это лечение уже зараженного компьютера. Ну ладно, есть еще промежуточный вариант, когда киберпреступникам таки удалось сделать что-то в вашей системе и надо их вовремя остановить, но об этом я поговорю чуть позже.
Так вот, лечение — это очень сложно. Вредоносные программы почти всегда что-то в системе ломают. При лечении нужно не только удалить зловредный код, но и сделать это так, чтобы компьютер потом продолжил нормально работать.
Именно поэтому в независимых тестах защитных систем вы можете найти множество производителей, у которых относительно неплохие результаты «защиты» (первый вариант) и совершенно так себе результаты «лечения» (второй). Лечить гораздо сложнее, чем не допускать заражение, а вариантов атак существует очень много.
Но прежде чем лечить, нужно понять, что компьютер действительно заражен, и выяснить, как именно. А это тоже не всегда просто. Точнее, тут действует правило 80/20 — в смысле 80% вредоносных программ вообще никакой проблемы не представляют для хорошего защитного продукта, а вот на остальные 20% тратится 80% времени и сил.
Дело в том, что атакующие часто пытаются максимально скрыть свое присутствие в системе. Они стараются все делать так, чтобы жертва этого вообще не заметила: система работает как обычно, никаких лишних окон при загрузке и глюков программ не возникает.
Распространенный метод, например, есть такой: назвать троян так же или почти так же, как называется один из компонентов операционной системы Windows. Даже если пользователь посмотрит список запущенных процессов, он может и не углядеть среди десятков одинаковых названий одно, которое немного отличается.
Есть вариант еще хуже: когда вредоносный код внедряется в обычные программы или элементы системы. И тут действительно все сложно. Есть нужный компонент Windows. Он работает: открывает какие-то файлы, закрывает, запускает от своего имени программы, ходит в Интернет. Если киберпреступникам каким-то образом удалось внедриться в этот процесс, как отличить правильные действия от неправильных? Тут еще такой момент: если ошибиться и заблокировать не то, можно случайно обрушить всю систему.
Вот такой вот получается сапер. Что делать?
Ставим оценки за поведение!
Итак, задача: нужно научиться отличать «правильные» действия от «неправильных». Сказать легко, а как сделать? Проблема в том, что в глубине компьютера абсолютно все, что вы делаете, сводится к операциям сложения и умножения разных чисел. И все — больше ничего не происходит.
Но решение есть. Недавно запатентованная технология, разработанная специалистами «Лаборатории Касперского» Михаилом Павлющиком, Алексеем Монастырским и Денисом Назаровым, умеет строить некую «карту взаимодействия» между определенной программой и другими компонентами операционной системы и программами. Кратко говоря, в случае запатентованной технологии взаимодействия подразумевают работу с памятью других процессов, что важно отследить, для того чтобы определить зловредные действия в будущем.
Не обязательно отслеживать абсолютно все действия — на это уходит слишком много ресурсов компьютера. А вот связи могут с высокой степенью достоверности дать понять, что все либо нормально («ребенок с одноклассниками делает уроки дома»), либо не очень («ребенок был замечен с сомнительной компанией в подворотне возле пивного ларька»).
На самом деле все гораздо сложнее, но даже в патентной заявке не приводятся абсолютно все подробности работы данной технологии — хотя бы для того, чтобы не давать киберпреступникам информацию о том, как можно обойти подобную защиту. Преимущество такого поведенческого анализа — это возможность по единственному описанию неправильного поведения блокировать сразу много вредоносных программ, в том числе и тех, которые специалисты нашей компании в глаза не видели.
Многослойная защита
Действительно хорошее защитное решение способно и заблокировать угрозу, и вылечить уже зараженный компьютер, на котором до этого никакой защиты не было. Упомянутый нами в начале третий вариант — это когда по каким-то причинам блокировка не сработала.
Представьте, что на ваш компьютер пытается проникнуть программа, которая собирает информацию о нажатых клавишах (иначе говоря, кейлоггер — они, кстати, очень часто работают максимально скрытно).
Вот тут-то и помогают технологии поведенческого анализа. Данная технология встроена в модуль «Мониторинг активности» (System Watcher) и наряду с другими позволяет остановить заразу до того, как произошло непоправимое, и даже может откатить изменения.
В таком решении, как наш Kaspersky Internet Security, откатывать требуется ну очень редко — новые угрозы попадают в наши антивирусные базы очень быстро, поскольку Kaspersky Security Network позволяет очень быстро получить информацию о неизвестной программе из облака. Но в деле разработки антивирусных программ перестраховка — дело никогда не лишнее. Собственно, в этом и заключается отличие хорошей защиты от «так себе»: защищать данные и программы нужно в любых обстоятельствах, даже если вероятность заражения минимальная, но она все равно существует.
На небольших предприятиях, использующих защитные решения без единого центра управления, периодически встает вопрос проверки запуска программ. Что имеется в виду? Запуск конкретных программ и приложений тем или иным пользователем, необходимость блокирования игр, несанкционированно установленных браузеров и т. д. Одной из подобных задач, в первую очередь касающихся соблюдения режима безопасности, является запрет запуска приложений со сменных носителей. Для этого предусмотрен целый ряд решений. Мы рассмотрим решение данной задачи с помощью установленного корпоративного решения «Лаборатории Касперского».
Запрет запуска приложений со сменных носителей для всех пользователей
Откройте основное окно программы Kaspersky Endpoint Security 10 для Windows (KES 10) и перейдите на вкладку «Настройка» (см. экран 1).
Экран 1. Окно настройки параметров KES 10 |
Выберите слева раздел «Контроль запуска программ». На вкладке «Настройка» не забудьте установить флажок «Включить контроль запуска программ». В противном случае по умолчанию функция будет отключена. Чтобы добавить правило контроля, выполните следующие действия:
а) в поле «Название» введите название правила, например «Сменные носители»;
б) в таблице «Включающие условия» сформируйте список включающих условий срабатывания правила контроля запуска программ (в нашем случае включите «Условие по носителю файла» (см. экран 2);
Экран 2. Проверка по носителю файла |
в) задайте список пользователей или групп пользователей, которым разрешено запускать программы, удовлетворяющие включающим условиям срабатывания правилам. В нашем случае удалите список «Все», нажав на кнопку «Удалить»;
г) задайте список пользователей, которым запрещено запускать программы, удовлетворяющие включающим условиям срабатывания правила. В нашем случае «Все». Если хотите, предоставьте разрешение на запуск локальному администратору.
Учтите, что правило не контролирует запуск программ пользователями или группами пользователей, которые не указаны в полях для разрешения и запрета запуска программ.
После выполнения перечисленных выше действий при попытке запуска пользователем программы со сменного носителя появится предупреждение, показанное на экране 3.ё
Экран 3. Запуск со сменного носителя запрещен |
Если вы хотите запретить использование игр, это правило можно задать с помощью так называемых KL-категорий.
Однако больше всего хлопот вызывает применение различных браузеров и особенно их обновление. Так как проще всего, на мой взгляд, в корпоративной среде обновить Internet Explorer, создадим правило, которое будет разрешать запуск Internet Explorer, но запрещать применение всех остальных браузеров. Для этого сформируем правило, выполнив следующие шаги:
- Выберем категорию Запрет всех браузеров (из списка KL-категория) (см. экран 4).
- Исключение составляет Internet Explorer (см. экран 5).
Экран 4. Правило запрета браузеров |
Экран 5. Разрешение запуска |
Выбираем из списка запускавшихся программ Internet Explorer, однако указываем, что версия файла (программы) должна быть выше или на уровне текущей, что обеспечит запуск программы в случае обновления. Выполним проверку, для чего попробуем запустить браузер Opera (см. экран 6).
Экран 6. Запуск Opera запрещен |
Итак, нам без труда удалось запретить нежелательные браузеры в организации. Ну и напоследок закроем доступ к играм.
Запрет доступа к играм
Создадим по аналогии с браузерами запрет на использование игровых программ в организации. Выбираем программы из категории «Развлечения», подкатегория «Игры» (см. экран 7).
Экран 7. Выбор KL-категории «Игры» |
Как видите, создание запрета на игры аналогично предыдущему запрету на браузеры.
Безусловно, существует немало программ для контроля запуска тех или иных продуктов, и бездумное их применение может не только не улучшить, а даже ухудшить защиту вашей сети и уж тем более микроклимат в коллективе.
Перед тем как создавать те или иные правила контроля запуска программ, я бы рекомендовал вначале составить «матрицу ролей» ваших пользователей (то есть какой пользователь выполняет ту или иную задачу и, соответственно, нуждается в том или ином программном обеспечении). Исходя из этого следует определить необходимый минимум программного обеспечения и уже затем закрывать все остальное. Почему минимум? Во-первых, программное обеспечение стоит денег. Во-вторых, чем больше сторонних программ установлено на рабочем месте, тем выше вероятность ошибок пользователя. Ну и, наконец, чем больше на рабочем месте сторонних программ, тем выше риск проникновения в систему через уязвимые места в той или иной программе. А все это будет отрицательно сказываться как на производительности ваших сотрудников, так и на общем уровне безопасности организации.
Читайте также: