Тестирование KVRT 2020


  • @alexeyk

    А есть возможность доработки с целью недопущения закрытия KVRT во время работы малварью? Или тут остается только безопасный режим?

    Еще не знаю, надо посмотреть

  • @dmitry-vorontsov А есть возможность доработки с целью недопущения закрытия KVRT во время работы малварью? Или тут остается только безопасный режим?

  • @angeldragon

    Ранее указанном скрипте ничего нестандартного нет, этот же скрипт может выполнять и KVRT при лечение найденного вируса.

    Нет так все просто. 

    Вы видели содержимое скрипта? Он удаляет некоторые каталоги которые создала малвара. Вы хотите чтобы KVRT при запуске удалял каталоги созданные другими антивирусами и прочими программами?

    @dmitry-vorontsov, @yury-spravtsev тестирование идет или уже все?

    Идет, мы исправляем найденные проблемы. Скоро будет новая версия для тестирования

  • @alexeyk said in Тестирование KVRT 2020:

    Каким образом?

    Ранее указанном скрипте ничего нестандартного нет, этот же скрипт может выполнять и KVRT при лечение найденного вируса.

    @dmitry-vorontsov, @yury-spravtsev тестирование идет или уже все?

  • @angeldragon said in Тестирование KVRT 2020:

    это же может сделать и KVRT.

    Каким образом?

  • @alexeyk said in Тестирование KVRT 2020:

    @angeldragon Еще раз повторил удаление зловредов. Начал скан в безопасном режиме, несколько раз перезагружал для выполнения лечения. Раза с третьего сканер восстановил hosts (зловред блокировал доступ к нескольким десяткам сайтов, в первую очередь к антивирусным). Но восстановление системы не работает. Хотя, тут скорее всего малварь или системные файлы повредила, или реестр. Так что вряд ли тут KVRT что-то может сделать, это же не PDM с откатом изменений.

    Ранее предоставленный скрипт восстанавливает службу восстановления, это же может сделать и KVRT.

  • , last edited by AlexeyK

    @angeldragon Еще раз повторил удаление зловредов. Начал скан в безопасном режиме, несколько раз перезагружал для выполнения лечения. Раза с третьего сканер восстановил hosts (зловред блокировал доступ к нескольким десяткам сайтов, в первую очередь к антивирусным). Но восстановление системы не работает. Хотя, тут скорее всего малварь или системные файлы повредила, или реестр. Так что вряд ли тут KVRT что-то может сделать, это же не PDM с откатом изменений.

  • @alexeyk said in Тестирование KVRT 2020:

    Вы имеете в виду после всех лечений? Не посмотрел этот момент, а снимок уже закрыл. Но вообще да, восстановление системы блокируется (скрин).

    Да, я так понимаю KVRT  же должен полностью устранять действия вируса, а в итоге снова не смог этого сделать.sealed

  • @alexeyk said in Тестирование KVRT 2020:

    @angeldragon said in Тестирование KVRT 2020:

    Есть подозрение, что он не справится и с подобным вирусом из этой темы.

    Если у Вас есть возможность получить этот семпл, могу проверить и его. Только отсылайте в личку, а то вредители в общем доступе - нехорошо.wink

    Этого семпла, к сожалению, у меня нет. Может быть он есть у @SQ

  • @angeldragon said in Тестирование KVRT 2020:

    Есть подозрение, что он не справится и с подобным вирусом из этой темы.

    Если у Вас есть возможность получить этот семпл, могу проверить и его. Только отсылайте в личку, а то вредители в общем доступе - нехорошо.wink

  • @angeldragon said in Тестирование KVRT 2020:

    Служба восстановления ОС тоже не работает?

    Вы имеете в виду после всех лечений? Не посмотрел этот момент, а снимок уже закрыл. Но вообще да, восстановление системы блокируется (скрин). Скрипт не нужен, это же тестовая виртуальная машина.smile

    Тогда лучше завести отдельный баг для MR3 здесь: https://eap.kaspersky.com/category/258/installation-removal-updates

    Нужны логи установки и GSI

    Честно говоря, не вижу, где сказано об изменении в установке, обсуждается процесс обновления версий. Я уже отправил информацию по данному инциденту.

  • @alexeyk said in Тестирование KVRT 2020:

    @angeldragon said in Тестирование KVRT 2020:

    Установка MR3 запускается?

    Нет, то же самое, добавил видео туда же.

    Тогда лучше завести отдельный баг для MR3 здесь: https://eap.kaspersky.com/category/258/installation-removal-updates

    Нужны логи установки и GSI

  • @angeldragon said in Тестирование KVRT 2020:

    Установка MR3 запускается?

    Нет, то же самое, добавил видео туда же.

  • , last edited by ANGElDRAGON

    @alexeyk said in Тестирование KVRT 2020:

    Вторая часть сражения с малварью. Запустил KVRT в безопасном режиме, найдено несколько объектов, выбрал лечение без перезагрузки. После рестарта в обычном режиме снова запустил KVRT - обнаружил еще несколько объектов, запустил лечение с перезагрузкой. После рестарта выполнено полное сканирование - обнаружено 69 объектов, выбрал нейтрализацию всех. После перезагрузки ОС попытался установить KIS 21.2 - происходит сбой установки, тихий режим /s также не работает.

    Таким образом, в данном случае KVRT не решил проблему с блокировкой установки антивируса.

    Добавил видео и трейсы по предыдущей ссылке.

    Получается KVRT не может корректно откатить все вредоносные действия вируса.frown

    Служба восстановления ОС тоже не работает?

    Можете воспользоваться этим скриптом, он должен все поправить.

    Есть подозрение, что он не справится и с подобным вирусом из этой темы.

  • Вторая часть сражения с малварью. Запустил KVRT в безопасном режиме, найдено несколько объектов, выбрал лечение без перезагрузки. После рестарта в обычном режиме снова запустил KVRT - обнаружил еще несколько объектов, запустил лечение с перезагрузкой. После рестарта выполнено полное сканирование - обнаружено 69 объектов, выбрал нейтрализацию всех. После перезагрузки ОС попытался установить KIS 21.2 - происходит сбой установки, тихий режим /s также не работает.

    Таким образом, в данном случае KVRT не решил проблему с блокировкой установки антивируса.

    Добавил видео и трейсы по предыдущей ссылке.

  • , last edited by ANGElDRAGON

    @alexeyk said in Тестирование KVRT 2020:

    @angeldragon Dmitry.Vorontsov   Yury.Spravtsev

    Ну что сказать: дело дрянь. Действительно, антивирус не устанавливается - инсталляция прерывается через секунду после запуска. С KVRT тоже ничего не получается: после запуска идет некоторое время анализ, но потом сканер также выгружается. Иногда вылетает почти сразу, иногда успевает от 1 до 3 объектов обнаружить. Интересно, что ДЗ периодически закрывается под действием малвари. Проверял на Windows 7 x64 в VirtualBox.

    Видео и трейсы прилагаю: https://cloud.qainfo.ru/s/E2dHqVaFgfOUyrm

    С -freboot: после рестарта ОС KVRT не запускается, ручной запуск не работает. Трейсы добавил.

    Надеялся, что новый KVRT  сможет побороть этот вирус, оказывается ошибался sealed

    Установка MR3 запускается?  Там должны были внести доработки.

  • , last edited by AlexeyK

    @angeldragon Dmitry.Vorontsov   Yury.Spravtsev

    Ну что сказать: дело дрянь. Действительно, антивирус не устанавливается - инсталляция прерывается через секунду после запуска. С KVRT тоже ничего не получается: после запуска идет некоторое время анализ, но потом сканер также выгружается. Иногда вылетает почти сразу, иногда успевает от 1 до 3 объектов обнаружить. Интересно, что ДЗ периодически закрывается под действием малвари. Проверял на Windows 7 x64 в VirtualBox.

    Видео и трейсы прилагаю: https://cloud.qainfo.ru/s/E2dHqVaFgfOUyrm

    С -freboot: после рестарта ОС KVRT не запускается, ручной запуск не работает. Трейсы добавил.

  • , last edited by ANGElDRAGON

    @alexeyk said in Тестирование KVRT 2020:

    @angeldragon said in Тестирование KVRT 2020:

    У кого есть возможность проверить, устраняет ли KVRT действия этого вируса, после которого невозможно установить антивирус, так как он блокирует создание необходимых ему папок?

    Не могу понять, как Вы предлагаете это воспроизводить. У Вас есть этот семпл?

    Семпл можно скачать отсюда. В папке должен быть файл "setup.exe", который в базах детектируется как: UDS:Trojan-Dropper.Win32.Autoit.gen. Если его внести в исключения, то из него производится другая малварь. Ещё после его запуска появляется безопасный файл "repack.exe", на который антивирус пока не реагирует. Все комментарии о вирусах там  подтирают.  

  • @alexeyk said in Тестирование KVRT 2020:

    @angeldragon said in Тестирование KVRT 2020:

    Да, у 2015 версии интерфейс более информативнее.

    Однако попытался запустить сегодня 15 версию с параметром -freboot - получил незагружаемую систему, даже безопасный режим не спас. Пришлось откатываться. А вот с 20-кой такого не случилось - наверное поработали над совместимостью с новыми ОС.smile

    Все драйвера в KVRT 2020 подписаны Microsoft WHQL подписью, чего не было в 2015. Отсюда и нормальная работа на Win 10 при включённой настройке ОС принудительно проверять WHQL подпись (активируется по умолчанию при установке системы с нуля).

  • @angeldragon said in Тестирование KVRT 2020:

    У кого есть возможность проверить, устраняет ли KVRT действия этого вируса, после которого невозможно установить антивирус, так как он блокирует создание необходимых ему папок?

    Не могу понять, как Вы предлагаете это воспроизводить. У Вас есть этот семпл?



Looks like your connection to Beta Testing was lost, please wait while we try to reconnect.