Тестирование KVRT 2020


  • , last edited by ANGElDRAGON

    @alexeyk said in Тестирование KVRT 2020:

    Если после проверки пропустить найденные объекты, то в главном окне нет предупреждения об угрозах, в отличии от 15 версии. И вообще информация более скудная. Не знаю, баг или as designed, но вариант 15 версии нравится больше - мне он представляется более правильным.

    Да, у 2015 версии интерфейс более информативнее.

  • @angeldragon said in Тестирование KVRT 2020:

    Да, у 2015 версии интерфейс более информативнее.

    Однако попытался запустить сегодня 15 версию с параметром -freboot - получил незагружаемую систему, даже безопасный режим не спас. Пришлось откатываться. А вот с 20-кой такого не случилось - наверное поработали над совместимостью с новыми ОС.smile

  • У кого есть возможность проверить, устраняет ли KVRT действия этого вируса, после которого невозможно установить антивирус, так как он блокирует создание необходимых ему папок?

  • @alexeyk said in Тестирование KVRT 2020:

    Если после проверки пропустить найденные объекты, то в главном окне нет предупреждения об угрозах, в отличии от 15 версии.

    Исправим

  • @angeldragon said in Тестирование KVRT 2020:

    У кого есть возможность проверить, устраняет ли KVRT действия этого вируса, после которого невозможно установить антивирус, так как он блокирует создание необходимых ему папок?

    Не могу понять, как Вы предлагаете это воспроизводить. У Вас есть этот семпл?

  • @alexeyk said in Тестирование KVRT 2020:

    @angeldragon said in Тестирование KVRT 2020:

    Да, у 2015 версии интерфейс более информативнее.

    Однако попытался запустить сегодня 15 версию с параметром -freboot - получил незагружаемую систему, даже безопасный режим не спас. Пришлось откатываться. А вот с 20-кой такого не случилось - наверное поработали над совместимостью с новыми ОС.smile

    Все драйвера в KVRT 2020 подписаны Microsoft WHQL подписью, чего не было в 2015. Отсюда и нормальная работа на Win 10 при включённой настройке ОС принудительно проверять WHQL подпись (активируется по умолчанию при установке системы с нуля).

  • , last edited by ANGElDRAGON

    @alexeyk said in Тестирование KVRT 2020:

    @angeldragon said in Тестирование KVRT 2020:

    У кого есть возможность проверить, устраняет ли KVRT действия этого вируса, после которого невозможно установить антивирус, так как он блокирует создание необходимых ему папок?

    Не могу понять, как Вы предлагаете это воспроизводить. У Вас есть этот семпл?

    Семпл можно скачать отсюда. В папке должен быть файл "setup.exe", который в базах детектируется как: UDS:Trojan-Dropper.Win32.Autoit.gen. Если его внести в исключения, то из него производится другая малварь. Ещё после его запуска появляется безопасный файл "repack.exe", на который антивирус пока не реагирует. Все комментарии о вирусах там  подтирают.  

  • , last edited by AlexeyK

    @angeldragon Dmitry.Vorontsov   Yury.Spravtsev

    Ну что сказать: дело дрянь. Действительно, антивирус не устанавливается - инсталляция прерывается через секунду после запуска. С KVRT тоже ничего не получается: после запуска идет некоторое время анализ, но потом сканер также выгружается. Иногда вылетает почти сразу, иногда успевает от 1 до 3 объектов обнаружить. Интересно, что ДЗ периодически закрывается под действием малвари. Проверял на Windows 7 x64 в VirtualBox.

    Видео и трейсы прилагаю: https://cloud.qainfo.ru/s/E2dHqVaFgfOUyrm

    С -freboot: после рестарта ОС KVRT не запускается, ручной запуск не работает. Трейсы добавил.

  • , last edited by ANGElDRAGON

    @alexeyk said in Тестирование KVRT 2020:

    @angeldragon Dmitry.Vorontsov   Yury.Spravtsev

    Ну что сказать: дело дрянь. Действительно, антивирус не устанавливается - инсталляция прерывается через секунду после запуска. С KVRT тоже ничего не получается: после запуска идет некоторое время анализ, но потом сканер также выгружается. Иногда вылетает почти сразу, иногда успевает от 1 до 3 объектов обнаружить. Интересно, что ДЗ периодически закрывается под действием малвари. Проверял на Windows 7 x64 в VirtualBox.

    Видео и трейсы прилагаю: https://cloud.qainfo.ru/s/E2dHqVaFgfOUyrm

    С -freboot: после рестарта ОС KVRT не запускается, ручной запуск не работает. Трейсы добавил.

    Надеялся, что новый KVRT  сможет побороть этот вирус, оказывается ошибался sealed

    Установка MR3 запускается?  Там должны были внести доработки.

  • Вторая часть сражения с малварью. Запустил KVRT в безопасном режиме, найдено несколько объектов, выбрал лечение без перезагрузки. После рестарта в обычном режиме снова запустил KVRT - обнаружил еще несколько объектов, запустил лечение с перезагрузкой. После рестарта выполнено полное сканирование - обнаружено 69 объектов, выбрал нейтрализацию всех. После перезагрузки ОС попытался установить KIS 21.2 - происходит сбой установки, тихий режим /s также не работает.

    Таким образом, в данном случае KVRT не решил проблему с блокировкой установки антивируса.

    Добавил видео и трейсы по предыдущей ссылке.

  • , last edited by ANGElDRAGON

    @alexeyk said in Тестирование KVRT 2020:

    Вторая часть сражения с малварью. Запустил KVRT в безопасном режиме, найдено несколько объектов, выбрал лечение без перезагрузки. После рестарта в обычном режиме снова запустил KVRT - обнаружил еще несколько объектов, запустил лечение с перезагрузкой. После рестарта выполнено полное сканирование - обнаружено 69 объектов, выбрал нейтрализацию всех. После перезагрузки ОС попытался установить KIS 21.2 - происходит сбой установки, тихий режим /s также не работает.

    Таким образом, в данном случае KVRT не решил проблему с блокировкой установки антивируса.

    Добавил видео и трейсы по предыдущей ссылке.

    Получается KVRT не может корректно откатить все вредоносные действия вируса.frown

    Служба восстановления ОС тоже не работает?

    Можете воспользоваться этим скриптом, он должен все поправить.

    Есть подозрение, что он не справится и с подобным вирусом из этой темы.

  • @angeldragon said in Тестирование KVRT 2020:

    Установка MR3 запускается?

    Нет, то же самое, добавил видео туда же.

  • @alexeyk said in Тестирование KVRT 2020:

    @angeldragon said in Тестирование KVRT 2020:

    Установка MR3 запускается?

    Нет, то же самое, добавил видео туда же.

    Тогда лучше завести отдельный баг для MR3 здесь: https://eap.kaspersky.com/category/258/installation-removal-updates

    Нужны логи установки и GSI

  • @angeldragon said in Тестирование KVRT 2020:

    Служба восстановления ОС тоже не работает?

    Вы имеете в виду после всех лечений? Не посмотрел этот момент, а снимок уже закрыл. Но вообще да, восстановление системы блокируется (скрин). Скрипт не нужен, это же тестовая виртуальная машина.smile

    Тогда лучше завести отдельный баг для MR3 здесь: https://eap.kaspersky.com/category/258/installation-removal-updates

    Нужны логи установки и GSI

    Честно говоря, не вижу, где сказано об изменении в установке, обсуждается процесс обновления версий. Я уже отправил информацию по данному инциденту.

  • @angeldragon said in Тестирование KVRT 2020:

    Есть подозрение, что он не справится и с подобным вирусом из этой темы.

    Если у Вас есть возможность получить этот семпл, могу проверить и его. Только отсылайте в личку, а то вредители в общем доступе - нехорошо.wink

  • @alexeyk said in Тестирование KVRT 2020:

    @angeldragon said in Тестирование KVRT 2020:

    Есть подозрение, что он не справится и с подобным вирусом из этой темы.

    Если у Вас есть возможность получить этот семпл, могу проверить и его. Только отсылайте в личку, а то вредители в общем доступе - нехорошо.wink

    Этого семпла, к сожалению, у меня нет. Может быть он есть у @SQ

  • @alexeyk said in Тестирование KVRT 2020:

    Вы имеете в виду после всех лечений? Не посмотрел этот момент, а снимок уже закрыл. Но вообще да, восстановление системы блокируется (скрин).

    Да, я так понимаю KVRT  же должен полностью устранять действия вируса, а в итоге снова не смог этого сделать.sealed

  • , last edited by AlexeyK

    @angeldragon Еще раз повторил удаление зловредов. Начал скан в безопасном режиме, несколько раз перезагружал для выполнения лечения. Раза с третьего сканер восстановил hosts (зловред блокировал доступ к нескольким десяткам сайтов, в первую очередь к антивирусным). Но восстановление системы не работает. Хотя, тут скорее всего малварь или системные файлы повредила, или реестр. Так что вряд ли тут KVRT что-то может сделать, это же не PDM с откатом изменений.

  • @alexeyk said in Тестирование KVRT 2020:

    @angeldragon Еще раз повторил удаление зловредов. Начал скан в безопасном режиме, несколько раз перезагружал для выполнения лечения. Раза с третьего сканер восстановил hosts (зловред блокировал доступ к нескольким десяткам сайтов, в первую очередь к антивирусным). Но восстановление системы не работает. Хотя, тут скорее всего малварь или системные файлы повредила, или реестр. Так что вряд ли тут KVRT что-то может сделать, это же не PDM с откатом изменений.

    Ранее предоставленный скрипт восстанавливает службу восстановления, это же может сделать и KVRT.

  • @angeldragon said in Тестирование KVRT 2020:

    это же может сделать и KVRT.

    Каким образом?



Looks like your connection to Beta Testing was lost, please wait while we try to reconnect.