Тестирование KVRT 2020
-
@dmitry-vorontsov said in Тестирование KVRT 2020:
@angeldragon said in Тестирование KVRT 2020:
Окно программы обрезанное, полностью не входит название программы.
А какое разрешение экрана?
Думал это все видно в приложенных отчетах: 1920x1080
-
Если после проверки пропустить найденные объекты, то в главном окне нет предупреждения об угрозах, в отличии от 15 версии. И вообще информация более скудная. Не знаю, баг или as designed, но вариант 15 версии нравится больше - мне он представляется более правильным.
-
@alexeyk said in Тестирование KVRT 2020:
Если после проверки пропустить найденные объекты, то в главном окне нет предупреждения об угрозах, в отличии от 15 версии. И вообще информация более скудная. Не знаю, баг или as designed, но вариант 15 версии нравится больше - мне он представляется более правильным.
Да, у 2015 версии интерфейс более информативнее.
-
@angeldragon said in Тестирование KVRT 2020:
Да, у 2015 версии интерфейс более информативнее.
Однако попытался запустить сегодня 15 версию с параметром -freboot - получил незагружаемую систему, даже безопасный режим не спас. Пришлось откатываться. А вот с 20-кой такого не случилось - наверное поработали над совместимостью с новыми ОС.
-
У кого есть возможность проверить, устраняет ли KVRT действия этого вируса, после которого невозможно установить антивирус, так как он блокирует создание необходимых ему папок?
-
@alexeyk said in Тестирование KVRT 2020:
Если после проверки пропустить найденные объекты, то в главном окне нет предупреждения об угрозах, в отличии от 15 версии.
Исправим
-
@angeldragon said in Тестирование KVRT 2020:
У кого есть возможность проверить, устраняет ли KVRT действия этого вируса, после которого невозможно установить антивирус, так как он блокирует создание необходимых ему папок?
Не могу понять, как Вы предлагаете это воспроизводить. У Вас есть этот семпл?
-
@alexeyk said in Тестирование KVRT 2020:
@angeldragon said in Тестирование KVRT 2020:
Да, у 2015 версии интерфейс более информативнее.
Однако попытался запустить сегодня 15 версию с параметром -freboot - получил незагружаемую систему, даже безопасный режим не спас. Пришлось откатываться. А вот с 20-кой такого не случилось - наверное поработали над совместимостью с новыми ОС.
Все драйвера в KVRT 2020 подписаны Microsoft WHQL подписью, чего не было в 2015. Отсюда и нормальная работа на Win 10 при включённой настройке ОС принудительно проверять WHQL подпись (активируется по умолчанию при установке системы с нуля).
-
@alexeyk said in Тестирование KVRT 2020:
@angeldragon said in Тестирование KVRT 2020:
У кого есть возможность проверить, устраняет ли KVRT действия этого вируса, после которого невозможно установить антивирус, так как он блокирует создание необходимых ему папок?
Не могу понять, как Вы предлагаете это воспроизводить. У Вас есть этот семпл?
Семпл можно скачать отсюда. В папке должен быть файл "setup.exe", который в базах детектируется как: UDS:Trojan-Dropper.Win32.Autoit.gen. Если его внести в исключения, то из него производится другая малварь. Ещё после его запуска появляется безопасный файл "repack.exe", на который антивирус пока не реагирует. Все комментарии о вирусах там подтирают.
-
@angeldragon Dmitry.Vorontsov Yury.Spravtsev
Ну что сказать: дело дрянь. Действительно, антивирус не устанавливается - инсталляция прерывается через секунду после запуска. С KVRT тоже ничего не получается: после запуска идет некоторое время анализ, но потом сканер также выгружается. Иногда вылетает почти сразу, иногда успевает от 1 до 3 объектов обнаружить. Интересно, что ДЗ периодически закрывается под действием малвари. Проверял на Windows 7 x64 в VirtualBox.
Видео и трейсы прилагаю: https://cloud.qainfo.ru/s/E2dHqVaFgfOUyrm
С -freboot: после рестарта ОС KVRT не запускается, ручной запуск не работает. Трейсы добавил.
-
@alexeyk said in Тестирование KVRT 2020:
@angeldragon Dmitry.Vorontsov Yury.Spravtsev
Ну что сказать: дело дрянь. Действительно, антивирус не устанавливается - инсталляция прерывается через секунду после запуска. С KVRT тоже ничего не получается: после запуска идет некоторое время анализ, но потом сканер также выгружается. Иногда вылетает почти сразу, иногда успевает от 1 до 3 объектов обнаружить. Интересно, что ДЗ периодически закрывается под действием малвари. Проверял на Windows 7 x64 в VirtualBox.
Видео и трейсы прилагаю: https://cloud.qainfo.ru/s/E2dHqVaFgfOUyrm
С -freboot: после рестарта ОС KVRT не запускается, ручной запуск не работает. Трейсы добавил.
Надеялся, что новый KVRT сможет побороть этот вирус, оказывается ошибался
Установка MR3 запускается? Там должны были внести доработки.
-
Вторая часть сражения с малварью. Запустил KVRT в безопасном режиме, найдено несколько объектов, выбрал лечение без перезагрузки. После рестарта в обычном режиме снова запустил KVRT - обнаружил еще несколько объектов, запустил лечение с перезагрузкой. После рестарта выполнено полное сканирование - обнаружено 69 объектов, выбрал нейтрализацию всех. После перезагрузки ОС попытался установить KIS 21.2 - происходит сбой установки, тихий режим /s также не работает.
Таким образом, в данном случае KVRT не решил проблему с блокировкой установки антивируса.
Добавил видео и трейсы по предыдущей ссылке.
-
@alexeyk said in Тестирование KVRT 2020:
Вторая часть сражения с малварью. Запустил KVRT в безопасном режиме, найдено несколько объектов, выбрал лечение без перезагрузки. После рестарта в обычном режиме снова запустил KVRT - обнаружил еще несколько объектов, запустил лечение с перезагрузкой. После рестарта выполнено полное сканирование - обнаружено 69 объектов, выбрал нейтрализацию всех. После перезагрузки ОС попытался установить KIS 21.2 - происходит сбой установки, тихий режим /s также не работает.
Таким образом, в данном случае KVRT не решил проблему с блокировкой установки антивируса.
Добавил видео и трейсы по предыдущей ссылке.
Получается KVRT не может корректно откатить все вредоносные действия вируса.
Служба восстановления ОС тоже не работает?
Можете воспользоваться этим скриптом, он должен все поправить.
Есть подозрение, что он не справится и с подобным вирусом из этой темы.
-
@angeldragon said in Тестирование KVRT 2020:
Установка MR3 запускается?
Нет, то же самое, добавил видео туда же.
-
@alexeyk said in Тестирование KVRT 2020:
@angeldragon said in Тестирование KVRT 2020:
Установка MR3 запускается?
Нет, то же самое, добавил видео туда же.
Тогда лучше завести отдельный баг для MR3 здесь: https://eap.kaspersky.com/category/258/installation-removal-updates
Нужны логи установки и GSI
-
@angeldragon said in Тестирование KVRT 2020:
Служба восстановления ОС тоже не работает?
Вы имеете в виду после всех лечений? Не посмотрел этот момент, а снимок уже закрыл. Но вообще да, восстановление системы блокируется (скрин). Скрипт не нужен, это же тестовая виртуальная машина.
Тогда лучше завести отдельный баг для MR3 здесь: https://eap.kaspersky.com/category/258/installation-removal-updates
Нужны логи установки и GSI
Честно говоря, не вижу, где сказано об изменении в установке, обсуждается процесс обновления версий. Я уже отправил информацию по данному инциденту.
-
@angeldragon said in Тестирование KVRT 2020:
Есть подозрение, что он не справится и с подобным вирусом из этой темы.
Если у Вас есть возможность получить этот семпл, могу проверить и его. Только отсылайте в личку, а то вредители в общем доступе - нехорошо.
-
@alexeyk said in Тестирование KVRT 2020:
@angeldragon said in Тестирование KVRT 2020:
Есть подозрение, что он не справится и с подобным вирусом из этой темы.
Если у Вас есть возможность получить этот семпл, могу проверить и его. Только отсылайте в личку, а то вредители в общем доступе - нехорошо.
Этого семпла, к сожалению, у меня нет. Может быть он есть у @SQ
-
@alexeyk said in Тестирование KVRT 2020:
Вы имеете в виду после всех лечений? Не посмотрел этот момент, а снимок уже закрыл. Но вообще да, восстановление системы блокируется (скрин).
Да, я так понимаю KVRT же должен полностью устранять действия вируса, а в итоге снова не смог этого сделать.
-
@angeldragon Еще раз повторил удаление зловредов. Начал скан в безопасном режиме, несколько раз перезагружал для выполнения лечения. Раза с третьего сканер восстановил hosts (зловред блокировал доступ к нескольким десяткам сайтов, в первую очередь к антивирусным). Но восстановление системы не работает. Хотя, тут скорее всего малварь или системные файлы повредила, или реестр. Так что вряд ли тут KVRT что-то может сделать, это же не PDM с откатом изменений.
