Тестирование KVRT 2020

AlexeyK

Если после проверки пропустить найденные объекты, то в главном окне нет предупреждения об угрозах, в отличии от 15 версии. И вообще информация более скудная. Не знаю, баг или as designed, но вариант 15 версии нравится больше - мне он представляется более правильным.
<img src="https://i3.imageban.ru/out/2020/12/11/7d90a18f5631bd5e14d5f443b6e49bd1.png" alt="" width="573" height="137" />

ANGElDRAGON

@alexeyk said in <a href="/post/11747" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>
Если после проверки пропустить найденные объекты, то в главном окне нет предупреждения об угрозах, в отличии от 15 версии. И вообще информация более скудная. Не знаю, баг или as designed, но вариант 15 версии нравится больше - мне он представляется более правильным.
<img src="https://i3.imageban.ru/out/2020/12/11/7d90a18f5631bd5e14d5f443b6e49bd1.png" alt="" width="573" height="137" />

</blockquote>
Да, у 2015 версии интерфейс более информативнее.

AlexeyK

@angeldragon said in <a href="/post/11749" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>Да, у 2015 версии интерфейс более информативнее.</blockquote>
Однако попытался запустить сегодня 15 версию с параметром -freboot - получил незагружаемую систему, даже безопасный режим не спас. Пришлось откатываться. А вот с 20-кой такого не случилось - наверное поработали над совместимостью с новыми ОС.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" />

ANGElDRAGON

У кого есть возможность проверить, устраняет ли <a href="https://forum.kasperskyclub.ru/topic/78566-kis-otreagiroval-soobshhenijami-majner-posle-ustanovki-igrovogo-softa/" target="_blank" rel="noopener">KVRT действия этого вируса</a>, после которого невозможно установить антивирус, так как он блокирует создание необходимых ему папок?

Dmitry.Vorontsov

@alexeyk said in <a href="/post/11747" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>Если после проверки пропустить найденные объекты, то в главном окне нет предупреждения об угрозах, в отличии от 15 версии.</blockquote>
Исправим

AlexeyK

@angeldragon said in <a href="/post/11755" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>У кого есть возможность проверить, устраняет ли KVRT действия этого вируса, после которого невозможно установить антивирус, так как он блокирует создание необходимых ему папок?</blockquote>
Не могу понять, как Вы предлагаете это воспроизводить. У Вас есть этот семпл?

Andrey.Kirzhemanov

@alexeyk said in <a href="/post/11750" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>
@angeldragon said in <a href="/post/11749" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>Да, у 2015 версии интерфейс более информативнее.</blockquote>
Однако попытался запустить сегодня 15 версию с параметром -freboot - получил незагружаемую систему, даже безопасный режим не спас. Пришлось откатываться. А вот с 20-кой такого не случилось - наверное поработали над совместимостью с новыми ОС.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" />
</blockquote>
Все драйвера в KVRT 2020 подписаны Microsoft WHQL подписью, чего не было в 2015. Отсюда и нормальная работа на Win 10 при включённой настройке ОС принудительно проверять WHQL подпись (активируется по умолчанию при установке системы с нуля).

ANGElDRAGON

@alexeyk said in <a href="/post/11758" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>
@angeldragon said in <a href="/post/11755" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>У кого есть возможность проверить, устраняет ли KVRT действия этого вируса, после которого невозможно установить антивирус, так как он блокирует создание необходимых ему папок?</blockquote>
Не могу понять, как Вы предлагаете это воспроизводить. У Вас есть этот семпл?
</blockquote>
<a href="https://byrutor.org/4903-doom-eternal-t.html" target="_blank" rel="noopener">Семпл</a> можно скачать отсюда. В папке должен быть файл "setup.exe", который в базах детектируется как: <a href="https://www.virustotal.com/gui/file-analysis/YzliMzY2MzU3ZGUwMzJkOGI0Y2Y1NjkyMzFiMGUyZmI6MTYwNzk0ODUyNw==/detection" target="_blank" rel="noopener">UDS:Trojan-Dropper.Win32.Autoit.gen</a>. Если его внести в исключения, то из него производится другая малварь. Ещё после его запуска появляется безопасный файл "repack.exe", на который антивирус пока не реагирует. Все комментарии о вирусах там подтирают.

AlexeyK

@angeldragon <a href="/user/dmitry-vorontsov" target="_blank" rel="noopener" data-username="Dmitry.Vorontsov" data-uid="751">Dmitry.Vorontsov </a><a href="/user/yury-spravtsev" target="_blank" rel="noopener" data-username="Yury.Spravtsev" data-uid="4900">Yury.Spravtsev</a>
Ну что сказать: дело дрянь. Действительно, антивирус не устанавливается - инсталляция прерывается через секунду после запуска. С KVRT тоже ничего не получается: после запуска идет некоторое время анализ, но потом сканер также выгружается. Иногда вылетает почти сразу, иногда успевает от 1 до 3 объектов обнаружить. Интересно, что ДЗ периодически закрывается под действием малвари. Проверял на Windows 7 x64 в VirtualBox.
Видео и трейсы прилагаю: <a href="https://cloud.qainfo.ru/s/E2dHqVaFgfOUyrm" target="_blank" rel="noopener">https://cloud.qainfo.ru/s/E2dHqVaFgfOUyrm</a>
С -freboot: после рестарта ОС KVRT не запускается, ручной запуск не работает. Трейсы добавил.

ANGElDRAGON

@alexeyk said in <a href="/post/11765" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>
@angeldragon <a href="/user/dmitry-vorontsov" target="_blank" rel="noopener" data-username="Dmitry.Vorontsov" data-uid="751">Dmitry.Vorontsov </a><a href="/user/yury-spravtsev" target="_blank" rel="noopener" data-username="Yury.Spravtsev" data-uid="4900">Yury.Spravtsev</a>
Ну что сказать: дело дрянь. Действительно, антивирус не устанавливается - инсталляция прерывается через секунду после запуска. С KVRT тоже ничего не получается: после запуска идет некоторое время анализ, но потом сканер также выгружается. Иногда вылетает почти сразу, иногда успевает от 1 до 3 объектов обнаружить. Интересно, что ДЗ периодически закрывается под действием малвари. Проверял на Windows 7 x64 в VirtualBox.
Видео и трейсы прилагаю: <a href="https://cloud.qainfo.ru/s/E2dHqVaFgfOUyrm" target="_blank" rel="noopener">https://cloud.qainfo.ru/s/E2dHqVaFgfOUyrm</a>
С -freboot: после рестарта ОС KVRT не запускается, ручной запуск не работает. Трейсы добавил.
</blockquote>
Надеялся, что новый KVRT сможет побороть этот вирус, оказывается ошибался <img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-sealed.gif" alt="sealed" />
Установка <a href="/topic/2943/kav-kis-kts-ks-kfa-ksos-21-3-2-142-mr3/34" target="_blank" rel="noopener">MR3 запускается</a>? Там должны были внести доработки.

AlexeyK

Вторая часть сражения с малварью. Запустил KVRT в безопасном режиме, найдено несколько объектов, выбрал лечение без перезагрузки. После рестарта в обычном режиме снова запустил KVRT - обнаружил еще несколько объектов, запустил лечение с перезагрузкой. После рестарта выполнено полное сканирование - обнаружено 69 объектов, выбрал нейтрализацию всех. После перезагрузки ОС попытался установить KIS 21.2 - происходит сбой установки, тихий режим /s также не работает.
Таким образом, в данном случае KVRT не решил проблему с блокировкой установки антивируса.
Добавил видео и трейсы по предыдущей ссылке.
<img src="https://i5.imageban.ru/out/2020/12/14/f18400819dfd2362b3e182aa998406e6.png" alt="" width="753" height="216" />

ANGElDRAGON

@alexeyk said in <a href="/post/11771" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>
Вторая часть сражения с малварью. Запустил KVRT в безопасном режиме, найдено несколько объектов, выбрал лечение без перезагрузки. После рестарта в обычном режиме снова запустил KVRT - обнаружил еще несколько объектов, запустил лечение с перезагрузкой. После рестарта выполнено полное сканирование - обнаружено 69 объектов, выбрал нейтрализацию всех. После перезагрузки ОС попытался установить KIS 21.2 - происходит сбой установки, тихий режим /s также не работает.
Таким образом, в данном случае KVRT не решил проблему с блокировкой установки антивируса.
Добавил видео и трейсы по предыдущей ссылке.
<img src="https://i5.imageban.ru/out/2020/12/14/f18400819dfd2362b3e182aa998406e6.png" alt="" width="753" height="216" />

</blockquote>
Получается KVRT не может корректно откатить все вредоносные действия вируса.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-frown.gif" alt="frown" />
Служба восстановления ОС тоже не работает?
Можете воспользоваться <a href="https://forum.kasperskyclub.ru/topic/78566-resheno-kis-otreagiroval-soobshhenijami-majner-posle-ustanovki-igrovogo-softa/?do=findComment&comment=1061843" target="_blank" rel="noopener">этим скриптом</a>, он должен все поправить.

Есть подозрение, что он не справится и с подобным вирусом <a href="https://forum.kasperskyclub.ru/topic/78269-heurtrojanmsilminergen-peresozdaetsja/" target="_blank" rel="noopener">из этой темы.</a>

AlexeyK

@angeldragon said in <a href="/post/11770" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>Установка MR3 запускается?</blockquote>
Нет, то же самое, добавил видео туда же.

ANGElDRAGON

@alexeyk said in <a href="/post/11773" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>
@angeldragon said in <a href="/post/11770" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>Установка MR3 запускается?</blockquote>
Нет, то же самое, добавил видео туда же.
</blockquote>
Тогда лучше завести отдельный баг для MR3 здесь: <a href="/category/258/installation-removal-updates" target="_blank" rel="noopener">https://eap.kaspersky.com/category/258/installation-removal-updates</a>
Нужны логи установки и GSI

AlexeyK

@angeldragon said in <a href="/post/11772" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>Служба восстановления ОС тоже не работает?</blockquote>
Вы имеете в виду после всех лечений? Не посмотрел этот момент, а снимок уже закрыл. Но вообще да, восстановление системы блокируется (скрин). Скрипт не нужен, это же тестовая виртуальная машина.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" />
<img src="https://i3.imageban.ru/out/2020/12/14/1fc7368dcb15c5fa638eacb27ae75d2a.png" alt="" width="360" height="175" />
<blockquote>
Тогда лучше завести отдельный баг для MR3 здесь: <a href="/category/258/installation-removal-updates" target="_blank" rel="noopener">https://eap.kaspersky.com/category/258/installation-removal-updates</a>
Нужны логи установки и GSI
</blockquote>
Честно говоря, не вижу, где сказано об изменении в установке, обсуждается процесс обновления версий. Я уже отправил информацию по данному инциденту.

AlexeyK

@angeldragon said in <a href="/post/11772" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>Есть подозрение, что он не справится и с подобным вирусом из этой темы.</blockquote>
Если у Вас есть возможность получить этот семпл, могу проверить и его. Только отсылайте в личку, а то вредители в общем доступе - нехорошо.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-wink.gif" alt="wink" />

ANGElDRAGON

@alexeyk said in <a href="/post/11776" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>
@angeldragon said in <a href="/post/11772" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>Есть подозрение, что он не справится и с подобным вирусом из этой темы.</blockquote>
Если у Вас есть возможность получить этот семпл, могу проверить и его. Только отсылайте в личку, а то вредители в общем доступе - нехорошо.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-wink.gif" alt="wink" />
</blockquote>
Этого семпла, к сожалению, у меня нет. Может быть он есть у @<a href="/user/sq" target="_blank" rel="noopener">SQ</a>

ANGElDRAGON

@alexeyk said in <a href="/post/11775" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>Вы имеете в виду после всех лечений? Не посмотрел этот момент, а снимок уже закрыл. Но вообще да, восстановление системы блокируется (скрин).</blockquote>
Да, я так понимаю KVRT же должен полностью устранять действия вируса, а в итоге снова не смог этого сделать.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-sealed.gif" alt="sealed" />

AlexeyK

@angeldragon Еще раз повторил удаление зловредов. Начал скан в безопасном режиме, несколько раз перезагружал для выполнения лечения. Раза с третьего сканер восстановил hosts (зловред блокировал доступ к нескольким десяткам сайтов, в первую очередь к антивирусным). Но восстановление системы не работает. Хотя, тут скорее всего малварь или системные файлы повредила, или реестр. Так что вряд ли тут KVRT что-то может сделать, это же не PDM с откатом изменений.
<img src="https://i2.imageban.ru/out/2020/12/15/14b27cc014adc8615f77b631493f4820.png" alt="" width="1098" height="178" />

ANGElDRAGON

@alexeyk said in <a href="/post/11782" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:
<blockquote>
@angeldragon Еще раз повторил удаление зловредов. Начал скан в безопасном режиме, несколько раз перезагружал для выполнения лечения. Раза с третьего сканер восстановил hosts (зловред блокировал доступ к нескольким десяткам сайтов, в первую очередь к антивирусным). Но восстановление системы не работает. Хотя, тут скорее всего малварь или системные файлы повредила, или реестр. Так что вряд ли тут KVRT что-то может сделать, это же не PDM с откатом изменений.
<img src="https://i2.imageban.ru/out/2020/12/15/14b27cc014adc8615f77b631493f4820.png" alt="" width="1098" height="178" />
</blockquote>
Ранее <a href="https://forum.kasperskyclub.ru/topic/78566-resheno-kis-otreagiroval-soobshhenijami-majner-posle-ustanovki-igrovogo-softa/?do=findComment&comment=1061843" target="_blank" rel="noopener">предоставленный скрипт</a> восстанавливает службу восстановления, это же может сделать и KVRT.