Тестирование KVRT 2020

Dmitry.Vorontsov

<p>@alexeyk said in <a href="/post/11747" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Если после проверки пропустить найденные объекты, то в главном окне нет предупреждения об угрозах, в отличии от 15 версии.</blockquote>
<p>Исправим</p>

AlexeyK

<p>@angeldragon said in <a href="/post/11755" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>У кого есть возможность проверить, устраняет ли KVRT действия этого вируса, после которого невозможно установить антивирус, так как он блокирует создание необходимых ему папок?</blockquote>
<p>Не могу понять, как Вы предлагаете это воспроизводить. У Вас есть этот семпл?</p>

Andrey.Kirzhemanov

<p>@alexeyk said in <a href="/post/11750" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>@angeldragon said in <a href="/post/11749" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Да, у 2015 версии интерфейс более информативнее.</blockquote>
<p>Однако попытался запустить сегодня 15 версию с параметром -freboot - получил незагружаемую систему, даже безопасный режим не спас. Пришлось откатываться. А вот с 20-кой такого не случилось - наверное поработали над совместимостью с новыми ОС.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /></p>
</blockquote>
<p>Все драйвера в KVRT 2020 подписаны Microsoft WHQL подписью, чего не было в 2015. Отсюда и нормальная работа на Win 10 при включённой настройке ОС принудительно проверять WHQL подпись (активируется по умолчанию при установке системы с нуля).</p>

ANGElDRAGON

<p>@alexeyk said in <a href="/post/11758" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>@angeldragon said in <a href="/post/11755" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>У кого есть возможность проверить, устраняет ли KVRT действия этого вируса, после которого невозможно установить антивирус, так как он блокирует создание необходимых ему папок?</blockquote>
<p>Не могу понять, как Вы предлагаете это воспроизводить. У Вас есть этот семпл?</p>
</blockquote>
<p><span style="color: #ffffff;"><a href="https://byrutor.org/4903-doom-eternal-t.html" target="_blank" rel="noopener">Семпл</a> можно скачать отсюда.</span> В папке должен быть файл "setup.exe", который в базах детектируется как: <a href="https://www.virustotal.com/gui/file-analysis/YzliMzY2MzU3ZGUwMzJkOGI0Y2Y1NjkyMzFiMGUyZmI6MTYwNzk0ODUyNw==/detection" target="_blank" rel="noopener">UDS:Trojan-Dropper.Win32.Autoit.gen</a>. Если его внести в исключения, то из него производится другая малварь. Ещё после его запуска появляется безопасный файл "repack.exe", на который антивирус пока не реагирует. Все комментарии о вирусах там  подтирают.  </p>

AlexeyK

<p>@angeldragon <strong><a href="/user/dmitry-vorontsov" target="_blank" rel="noopener" data-username="Dmitry.Vorontsov" data-uid="751">Dmitry.Vorontsov   </a><a href="/user/yury-spravtsev" target="_blank" rel="noopener" data-username="Yury.Spravtsev" data-uid="4900">Yury.Spravtsev</a></strong></p>
<p>Ну что сказать: дело дрянь. Действительно, антивирус не устанавливается - инсталляция прерывается через секунду после запуска. С KVRT тоже ничего не получается: после запуска идет некоторое время анализ, но потом сканер также выгружается. Иногда вылетает почти сразу, иногда успевает от 1 до 3 объектов обнаружить. Интересно, что ДЗ периодически закрывается под действием малвари. Проверял на Windows 7 x64 в VirtualBox.</p>
<p>Видео и трейсы прилагаю: <a href="https://cloud.qainfo.ru/s/E2dHqVaFgfOUyrm" target="_blank" rel="noopener">https://cloud.qainfo.ru/s/E2dHqVaFgfOUyrm</a></p>
<p>С -freboot: после рестарта ОС KVRT не запускается, ручной запуск не работает. Трейсы добавил.</p>

ANGElDRAGON

<p>@alexeyk said in <a href="/post/11765" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>@angeldragon <strong><a href="/user/dmitry-vorontsov" target="_blank" rel="noopener" data-username="Dmitry.Vorontsov" data-uid="751">Dmitry.Vorontsov   </a><a href="/user/yury-spravtsev" target="_blank" rel="noopener" data-username="Yury.Spravtsev" data-uid="4900">Yury.Spravtsev</a></strong></p>
<p>Ну что сказать: дело дрянь. Действительно, антивирус не устанавливается - инсталляция прерывается через секунду после запуска. С KVRT тоже ничего не получается: после запуска идет некоторое время анализ, но потом сканер также выгружается. Иногда вылетает почти сразу, иногда успевает от 1 до 3 объектов обнаружить. Интересно, что ДЗ периодически закрывается под действием малвари. Проверял на Windows 7 x64 в VirtualBox.</p>
<p>Видео и трейсы прилагаю: <a href="https://cloud.qainfo.ru/s/E2dHqVaFgfOUyrm" target="_blank" rel="noopener">https://cloud.qainfo.ru/s/E2dHqVaFgfOUyrm</a></p>
<p>С -freboot: после рестарта ОС KVRT не запускается, ручной запуск не работает. Трейсы добавил.</p>
</blockquote>
<p>Надеялся, что новый KVRT  сможет побороть этот вирус, оказывается ошибался <img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-sealed.gif" alt="sealed" /></p>
<p>Установка <a href="/topic/2943/kav-kis-kts-ks-kfa-ksos-21-3-2-142-mr3/34" target="_blank" rel="noopener">MR3 запускается</a>?  Там должны были внести доработки.</p>

AlexeyK

<p>Вторая часть сражения с малварью. Запустил KVRT в безопасном режиме, найдено несколько объектов, выбрал лечение без перезагрузки. После рестарта в обычном режиме снова запустил KVRT - обнаружил еще несколько объектов, запустил лечение с перезагрузкой. После рестарта выполнено полное сканирование - обнаружено 69 объектов, выбрал нейтрализацию всех. После перезагрузки ОС попытался установить KIS 21.2 - происходит сбой установки, тихий режим /s также не работает.</p>
<p>Таким образом, в данном случае KVRT не решил проблему с блокировкой установки антивируса.</p>
<p>Добавил видео и трейсы по предыдущей ссылке.</p>
<p><img src="https://i5.imageban.ru/out/2020/12/14/f18400819dfd2362b3e182aa998406e6.png" alt="" width="753" height="216" /></p>
<p></p>

ANGElDRAGON

<p>@alexeyk said in <a href="/post/11771" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>Вторая часть сражения с малварью. Запустил KVRT в безопасном режиме, найдено несколько объектов, выбрал лечение без перезагрузки. После рестарта в обычном режиме снова запустил KVRT - обнаружил еще несколько объектов, запустил лечение с перезагрузкой. После рестарта выполнено полное сканирование - обнаружено 69 объектов, выбрал нейтрализацию всех. После перезагрузки ОС попытался установить KIS 21.2 - происходит сбой установки, тихий режим /s также не работает.</p>
<p>Таким образом, в данном случае KVRT не решил проблему с блокировкой установки антивируса.</p>
<p>Добавил видео и трейсы по предыдущей ссылке.</p>
<p><img src="https://i5.imageban.ru/out/2020/12/14/f18400819dfd2362b3e182aa998406e6.png" alt="" width="753" height="216" /></p>
<p></p>
</blockquote>
<p>Получается KVRT не может корректно откатить все вредоносные действия вируса.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-frown.gif" alt="frown" /></p>
<p>Служба восстановления ОС тоже не работает?</p>
<p>Можете воспользоваться <a href="https://forum.kasperskyclub.ru/topic/78566-resheno-kis-otreagiroval-soobshhenijami-majner-posle-ustanovki-igrovogo-softa/?do=findComment&amp;comment=1061843" target="_blank" rel="noopener">этим скриптом</a>, он должен все поправить.</p>
<p></p>
<p>Есть подозрение, что он не справится и с подобным вирусом <a href="https://forum.kasperskyclub.ru/topic/78269-heurtrojanmsilminergen-peresozdaetsja/" target="_blank" rel="noopener">из этой темы.</a></p>

AlexeyK

<p>@angeldragon said in <a href="/post/11770" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Установка MR3 запускается?</blockquote>
<p>Нет, то же самое, добавил видео туда же.</p>

ANGElDRAGON

<p>@alexeyk said in <a href="/post/11773" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>@angeldragon said in <a href="/post/11770" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Установка MR3 запускается?</blockquote>
<p>Нет, то же самое, добавил видео туда же.</p>
</blockquote>
<p>Тогда лучше завести отдельный баг для MR3 здесь: <a href="/category/258/installation-removal-updates" target="_blank" rel="noopener">https://eap.kaspersky.com/category/258/installation-removal-updates</a></p>
<p>Нужны логи установки и GSI</p>

AlexeyK

<p>@angeldragon said in <a href="/post/11772" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Служба восстановления ОС тоже не работает?</blockquote>
<p>Вы имеете в виду после всех лечений? Не посмотрел этот момент, а снимок уже закрыл. Но вообще да, восстановление системы блокируется (скрин). Скрипт не нужен, это же тестовая виртуальная машина.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /></p>
<p><img src="https://i3.imageban.ru/out/2020/12/14/1fc7368dcb15c5fa638eacb27ae75d2a.png" alt="" width="360" height="175" /></p>
<blockquote>
<p>Тогда лучше завести отдельный баг для MR3 здесь: <a href="/category/258/installation-removal-updates" target="_blank" rel="noopener">https://eap.kaspersky.com/category/258/installation-removal-updates</a></p>
<p>Нужны логи установки и GSI</p>
</blockquote>
<p>Честно говоря, не вижу, где сказано об изменении в установке, обсуждается процесс обновления версий. Я уже отправил информацию по данному инциденту.</p>

AlexeyK

<p>@angeldragon said in <a href="/post/11772" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Есть подозрение, что он не справится и с подобным вирусом из этой темы.</blockquote>
<p>Если у Вас есть возможность получить этот семпл, могу проверить и его. Только отсылайте в личку, а то вредители в общем доступе - нехорошо.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-wink.gif" alt="wink" /></p>

ANGElDRAGON

<p>@alexeyk said in <a href="/post/11776" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>@angeldragon said in <a href="/post/11772" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Есть подозрение, что он не справится и с подобным вирусом из этой темы.</blockquote>
<p>Если у Вас есть возможность получить этот семпл, могу проверить и его. Только отсылайте в личку, а то вредители в общем доступе - нехорошо.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-wink.gif" alt="wink" /></p>
</blockquote>
<p>Этого семпла, к сожалению, у меня нет. Может быть он есть у @<a href="/user/sq" target="_blank" rel="noopener">SQ</a></p>

ANGElDRAGON

<p>@alexeyk said in <a href="/post/11775" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Вы имеете в виду после всех лечений? Не посмотрел этот момент, а снимок уже закрыл. Но вообще да, восстановление системы блокируется (скрин).</blockquote>
<p>Да, я так понимаю KVRT  же должен полностью устранять действия вируса, а в итоге снова не смог этого сделать.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-sealed.gif" alt="sealed" /></p>

AlexeyK

<p>@angeldragon Еще раз повторил удаление зловредов. Начал скан в безопасном режиме, несколько раз перезагружал для выполнения лечения. Раза с третьего сканер восстановил hosts (зловред блокировал доступ к нескольким десяткам сайтов, в первую очередь к антивирусным). Но восстановление системы не работает. Хотя, тут скорее всего малварь или системные файлы повредила, или реестр. Так что вряд ли тут KVRT что-то может сделать, это же не PDM с откатом изменений.</p>
<p><img src="https://i2.imageban.ru/out/2020/12/15/14b27cc014adc8615f77b631493f4820.png" alt="" width="1098" height="178" /></p>

ANGElDRAGON

<p>@alexeyk said in <a href="/post/11782" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>@angeldragon Еще раз повторил удаление зловредов. Начал скан в безопасном режиме, несколько раз перезагружал для выполнения лечения. Раза с третьего сканер восстановил hosts (зловред блокировал доступ к нескольким десяткам сайтов, в первую очередь к антивирусным). Но восстановление системы не работает. Хотя, тут скорее всего малварь или системные файлы повредила, или реестр. Так что вряд ли тут KVRT что-то может сделать, это же не PDM с откатом изменений.</p>
<p><img src="https://i2.imageban.ru/out/2020/12/15/14b27cc014adc8615f77b631493f4820.png" alt="" width="1098" height="178" /></p>
</blockquote>
<p>Ранее <a href="https://forum.kasperskyclub.ru/topic/78566-resheno-kis-otreagiroval-soobshhenijami-majner-posle-ustanovki-igrovogo-softa/?do=findComment&amp;comment=1061843" target="_blank" rel="noopener">предоставленный скрипт</a> восстанавливает службу восстановления, это же может сделать и KVRT.</p>

AlexeyK

<p>@angeldragon said in <a href="/post/11783" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>это же может сделать и KVRT.</blockquote>
<p>Каким образом?</p>

ANGElDRAGON

<p>@alexeyk said in <a href="/post/11785" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Каким образом?</blockquote>
<p><a href="https://forum.kasperskyclub.ru/topic/78566-resheno-kis-otreagiroval-soobshhenijami-majner-posle-ustanovki-igrovogo-softa/?do=findComment&amp;comment=1061843" target="_blank" rel="noopener">Ранее указанном скрипте</a> ничего нестандартного нет, этот же скрипт может выполнять и KVRT при лечение найденного вируса.</p>
<p>@dmitry-vorontsov, @yury-spravtsev тестирование идет или уже все?</p>

Dmitry.Vorontsov

<p>@angeldragon</p>
<blockquote>
<p><a href="https://forum.kasperskyclub.ru/topic/78566-resheno-kis-otreagiroval-soobshhenijami-majner-posle-ustanovki-igrovogo-softa/?do=findComment&amp;comment=1061843" target="_blank" rel="noopener">Ранее указанном скрипте</a><span> </span>ничего нестандартного нет, этот же скрипт может выполнять и KVRT при лечение найденного вируса.</p>
</blockquote>
<p>Нет так все просто. </p>
<p>Вы видели содержимое скрипта? Он удаляет некоторые каталоги которые создала малвара. Вы хотите чтобы KVRT при запуске удалял каталоги созданные другими антивирусами и прочими программами?</p>
<p></p>
<blockquote>
<p><a href="/uid/751" target="_blank" rel="noopener">@dmitry-vorontsov</a>,<span> </span><a href="/uid/4900" target="_blank" rel="noopener">@yury-spravtsev</a><span> </span>тестирование идет или уже все?</p>
</blockquote>
<p>Идет, мы исправляем найденные проблемы. Скоро будет новая версия для тестирования</p>

AlexeyK

<p>@dmitry-vorontsov А есть возможность доработки с целью недопущения закрытия KVRT во время работы малварью? Или тут остается только безопасный режим?</p>