Тестирование KVRT 2020

AlexeyK

<p>@angeldragon said in <a href="/post/11700" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>при запуске проверки, программа блокирует сетевое подключение?</blockquote>
<p>У меня не блокирует, на время скана включил ролик на youtube - грузился всю проверку.</p>

Dmitry.Vorontsov

<p>@angeldragon said in <a href="/post/11700" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Окно программы обрезанное, полностью не входит название программы.</blockquote>
<p>А какое разрешение экрана?</p>

ANGElDRAGON

<p>@dmitry-vorontsov said in <a href="/post/11720" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>@angeldragon said in <a href="/post/11700" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Окно программы обрезанное, полностью не входит название программы.</blockquote>
<p>А какое разрешение экрана?</p>
</blockquote>
<p>Думал это все видно в приложенных отчетах: <a href="https://b.radikal.ru/b23/2012/23/8c9a7be4ebf3.png" target="_blank" rel="noopener">1920x1080</a></p>
<p><img src="https://b.radikal.ru/b23/2012/23/8c9a7be4ebf3.png" alt="" width="300" height="161" /></p>

AlexeyK

<p>Если после проверки пропустить найденные объекты, то в главном окне нет предупреждения об угрозах, в отличии от 15 версии. И вообще информация более скудная. Не знаю, баг или as designed, но вариант 15 версии нравится больше - мне он представляется более правильным.</p>
<p><img src="https://i3.imageban.ru/out/2020/12/11/7d90a18f5631bd5e14d5f443b6e49bd1.png" alt="" width="573" height="137" /></p>
<p></p>
<p></p>
<p></p>

ANGElDRAGON

<p>@alexeyk said in <a href="/post/11747" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>Если после проверки пропустить найденные объекты, то в главном окне нет предупреждения об угрозах, в отличии от 15 версии. И вообще информация более скудная. Не знаю, баг или as designed, но вариант 15 версии нравится больше - мне он представляется более правильным.</p>
<p><img src="https://i3.imageban.ru/out/2020/12/11/7d90a18f5631bd5e14d5f443b6e49bd1.png" alt="" width="573" height="137" /></p>
<p></p>
</blockquote>
<p>Да, у 2015 версии интерфейс более информативнее.</p>

AlexeyK

<p>@angeldragon said in <a href="/post/11749" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Да, у 2015 версии интерфейс более информативнее.</blockquote>
<p>Однако попытался запустить сегодня 15 версию с параметром -freboot - получил незагружаемую систему, даже безопасный режим не спас. Пришлось откатываться. А вот с 20-кой такого не случилось - наверное поработали над совместимостью с новыми ОС.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /></p>

ANGElDRAGON

<p>У кого есть возможность проверить, устраняет ли <a href="https://forum.kasperskyclub.ru/topic/78566-kis-otreagiroval-soobshhenijami-majner-posle-ustanovki-igrovogo-softa/" target="_blank" rel="noopener">KVRT действия этого вируса</a>, после которого невозможно установить антивирус, так как он блокирует создание необходимых ему папок?</p>

Dmitry.Vorontsov

<p>@alexeyk said in <a href="/post/11747" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Если после проверки пропустить найденные объекты, то в главном окне нет предупреждения об угрозах, в отличии от 15 версии.</blockquote>
<p>Исправим</p>

AlexeyK

<p>@angeldragon said in <a href="/post/11755" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>У кого есть возможность проверить, устраняет ли KVRT действия этого вируса, после которого невозможно установить антивирус, так как он блокирует создание необходимых ему папок?</blockquote>
<p>Не могу понять, как Вы предлагаете это воспроизводить. У Вас есть этот семпл?</p>

Andrey.Kirzhemanov

<p>@alexeyk said in <a href="/post/11750" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>@angeldragon said in <a href="/post/11749" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Да, у 2015 версии интерфейс более информативнее.</blockquote>
<p>Однако попытался запустить сегодня 15 версию с параметром -freboot - получил незагружаемую систему, даже безопасный режим не спас. Пришлось откатываться. А вот с 20-кой такого не случилось - наверное поработали над совместимостью с новыми ОС.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /></p>
</blockquote>
<p>Все драйвера в KVRT 2020 подписаны Microsoft WHQL подписью, чего не было в 2015. Отсюда и нормальная работа на Win 10 при включённой настройке ОС принудительно проверять WHQL подпись (активируется по умолчанию при установке системы с нуля).</p>

ANGElDRAGON

<p>@alexeyk said in <a href="/post/11758" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>@angeldragon said in <a href="/post/11755" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>У кого есть возможность проверить, устраняет ли KVRT действия этого вируса, после которого невозможно установить антивирус, так как он блокирует создание необходимых ему папок?</blockquote>
<p>Не могу понять, как Вы предлагаете это воспроизводить. У Вас есть этот семпл?</p>
</blockquote>
<p><span style="color: #ffffff;"><a href="https://byrutor.org/4903-doom-eternal-t.html" target="_blank" rel="noopener">Семпл</a> можно скачать отсюда.</span> В папке должен быть файл "setup.exe", который в базах детектируется как: <a href="https://www.virustotal.com/gui/file-analysis/YzliMzY2MzU3ZGUwMzJkOGI0Y2Y1NjkyMzFiMGUyZmI6MTYwNzk0ODUyNw==/detection" target="_blank" rel="noopener">UDS:Trojan-Dropper.Win32.Autoit.gen</a>. Если его внести в исключения, то из него производится другая малварь. Ещё после его запуска появляется безопасный файл "repack.exe", на который антивирус пока не реагирует. Все комментарии о вирусах там  подтирают.  </p>

AlexeyK

<p>@angeldragon <strong><a href="/user/dmitry-vorontsov" target="_blank" rel="noopener" data-username="Dmitry.Vorontsov" data-uid="751">Dmitry.Vorontsov   </a><a href="/user/yury-spravtsev" target="_blank" rel="noopener" data-username="Yury.Spravtsev" data-uid="4900">Yury.Spravtsev</a></strong></p>
<p>Ну что сказать: дело дрянь. Действительно, антивирус не устанавливается - инсталляция прерывается через секунду после запуска. С KVRT тоже ничего не получается: после запуска идет некоторое время анализ, но потом сканер также выгружается. Иногда вылетает почти сразу, иногда успевает от 1 до 3 объектов обнаружить. Интересно, что ДЗ периодически закрывается под действием малвари. Проверял на Windows 7 x64 в VirtualBox.</p>
<p>Видео и трейсы прилагаю: <a href="https://cloud.qainfo.ru/s/E2dHqVaFgfOUyrm" target="_blank" rel="noopener">https://cloud.qainfo.ru/s/E2dHqVaFgfOUyrm</a></p>
<p>С -freboot: после рестарта ОС KVRT не запускается, ручной запуск не работает. Трейсы добавил.</p>

ANGElDRAGON

<p>@alexeyk said in <a href="/post/11765" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>@angeldragon <strong><a href="/user/dmitry-vorontsov" target="_blank" rel="noopener" data-username="Dmitry.Vorontsov" data-uid="751">Dmitry.Vorontsov   </a><a href="/user/yury-spravtsev" target="_blank" rel="noopener" data-username="Yury.Spravtsev" data-uid="4900">Yury.Spravtsev</a></strong></p>
<p>Ну что сказать: дело дрянь. Действительно, антивирус не устанавливается - инсталляция прерывается через секунду после запуска. С KVRT тоже ничего не получается: после запуска идет некоторое время анализ, но потом сканер также выгружается. Иногда вылетает почти сразу, иногда успевает от 1 до 3 объектов обнаружить. Интересно, что ДЗ периодически закрывается под действием малвари. Проверял на Windows 7 x64 в VirtualBox.</p>
<p>Видео и трейсы прилагаю: <a href="https://cloud.qainfo.ru/s/E2dHqVaFgfOUyrm" target="_blank" rel="noopener">https://cloud.qainfo.ru/s/E2dHqVaFgfOUyrm</a></p>
<p>С -freboot: после рестарта ОС KVRT не запускается, ручной запуск не работает. Трейсы добавил.</p>
</blockquote>
<p>Надеялся, что новый KVRT  сможет побороть этот вирус, оказывается ошибался <img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-sealed.gif" alt="sealed" /></p>
<p>Установка <a href="/topic/2943/kav-kis-kts-ks-kfa-ksos-21-3-2-142-mr3/34" target="_blank" rel="noopener">MR3 запускается</a>?  Там должны были внести доработки.</p>

AlexeyK

<p>Вторая часть сражения с малварью. Запустил KVRT в безопасном режиме, найдено несколько объектов, выбрал лечение без перезагрузки. После рестарта в обычном режиме снова запустил KVRT - обнаружил еще несколько объектов, запустил лечение с перезагрузкой. После рестарта выполнено полное сканирование - обнаружено 69 объектов, выбрал нейтрализацию всех. После перезагрузки ОС попытался установить KIS 21.2 - происходит сбой установки, тихий режим /s также не работает.</p>
<p>Таким образом, в данном случае KVRT не решил проблему с блокировкой установки антивируса.</p>
<p>Добавил видео и трейсы по предыдущей ссылке.</p>
<p><img src="https://i5.imageban.ru/out/2020/12/14/f18400819dfd2362b3e182aa998406e6.png" alt="" width="753" height="216" /></p>
<p></p>

ANGElDRAGON

<p>@alexeyk said in <a href="/post/11771" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>Вторая часть сражения с малварью. Запустил KVRT в безопасном режиме, найдено несколько объектов, выбрал лечение без перезагрузки. После рестарта в обычном режиме снова запустил KVRT - обнаружил еще несколько объектов, запустил лечение с перезагрузкой. После рестарта выполнено полное сканирование - обнаружено 69 объектов, выбрал нейтрализацию всех. После перезагрузки ОС попытался установить KIS 21.2 - происходит сбой установки, тихий режим /s также не работает.</p>
<p>Таким образом, в данном случае KVRT не решил проблему с блокировкой установки антивируса.</p>
<p>Добавил видео и трейсы по предыдущей ссылке.</p>
<p><img src="https://i5.imageban.ru/out/2020/12/14/f18400819dfd2362b3e182aa998406e6.png" alt="" width="753" height="216" /></p>
<p></p>
</blockquote>
<p>Получается KVRT не может корректно откатить все вредоносные действия вируса.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-frown.gif" alt="frown" /></p>
<p>Служба восстановления ОС тоже не работает?</p>
<p>Можете воспользоваться <a href="https://forum.kasperskyclub.ru/topic/78566-resheno-kis-otreagiroval-soobshhenijami-majner-posle-ustanovki-igrovogo-softa/?do=findComment&amp;comment=1061843" target="_blank" rel="noopener">этим скриптом</a>, он должен все поправить.</p>
<p></p>
<p>Есть подозрение, что он не справится и с подобным вирусом <a href="https://forum.kasperskyclub.ru/topic/78269-heurtrojanmsilminergen-peresozdaetsja/" target="_blank" rel="noopener">из этой темы.</a></p>

AlexeyK

<p>@angeldragon said in <a href="/post/11770" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Установка MR3 запускается?</blockquote>
<p>Нет, то же самое, добавил видео туда же.</p>

ANGElDRAGON

<p>@alexeyk said in <a href="/post/11773" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>@angeldragon said in <a href="/post/11770" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Установка MR3 запускается?</blockquote>
<p>Нет, то же самое, добавил видео туда же.</p>
</blockquote>
<p>Тогда лучше завести отдельный баг для MR3 здесь: <a href="/category/258/installation-removal-updates" target="_blank" rel="noopener">https://eap.kaspersky.com/category/258/installation-removal-updates</a></p>
<p>Нужны логи установки и GSI</p>

AlexeyK

<p>@angeldragon said in <a href="/post/11772" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Служба восстановления ОС тоже не работает?</blockquote>
<p>Вы имеете в виду после всех лечений? Не посмотрел этот момент, а снимок уже закрыл. Но вообще да, восстановление системы блокируется (скрин). Скрипт не нужен, это же тестовая виртуальная машина.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /></p>
<p><img src="https://i3.imageban.ru/out/2020/12/14/1fc7368dcb15c5fa638eacb27ae75d2a.png" alt="" width="360" height="175" /></p>
<blockquote>
<p>Тогда лучше завести отдельный баг для MR3 здесь: <a href="/category/258/installation-removal-updates" target="_blank" rel="noopener">https://eap.kaspersky.com/category/258/installation-removal-updates</a></p>
<p>Нужны логи установки и GSI</p>
</blockquote>
<p>Честно говоря, не вижу, где сказано об изменении в установке, обсуждается процесс обновления версий. Я уже отправил информацию по данному инциденту.</p>

AlexeyK

<p>@angeldragon said in <a href="/post/11772" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Есть подозрение, что он не справится и с подобным вирусом из этой темы.</blockquote>
<p>Если у Вас есть возможность получить этот семпл, могу проверить и его. Только отсылайте в личку, а то вредители в общем доступе - нехорошо.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-wink.gif" alt="wink" /></p>

ANGElDRAGON

<p>@alexeyk said in <a href="/post/11776" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>@angeldragon said in <a href="/post/11772" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Есть подозрение, что он не справится и с подобным вирусом из этой темы.</blockquote>
<p>Если у Вас есть возможность получить этот семпл, могу проверить и его. Только отсылайте в личку, а то вредители в общем доступе - нехорошо.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-wink.gif" alt="wink" /></p>
</blockquote>
<p>Этого семпла, к сожалению, у меня нет. Может быть он есть у @<a href="/user/sq" target="_blank" rel="noopener">SQ</a></p>