Тестирование KVRT 2020

AlexeyK

<p>Вторая часть сражения с малварью. Запустил KVRT в безопасном режиме, найдено несколько объектов, выбрал лечение без перезагрузки. После рестарта в обычном режиме снова запустил KVRT - обнаружил еще несколько объектов, запустил лечение с перезагрузкой. После рестарта выполнено полное сканирование - обнаружено 69 объектов, выбрал нейтрализацию всех. После перезагрузки ОС попытался установить KIS 21.2 - происходит сбой установки, тихий режим /s также не работает.</p>
<p>Таким образом, в данном случае KVRT не решил проблему с блокировкой установки антивируса.</p>
<p>Добавил видео и трейсы по предыдущей ссылке.</p>
<p><img src="https://i5.imageban.ru/out/2020/12/14/f18400819dfd2362b3e182aa998406e6.png" alt="" width="753" height="216" /></p>
<p></p>

ANGElDRAGON

<p>@alexeyk said in <a href="/post/11771" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>Вторая часть сражения с малварью. Запустил KVRT в безопасном режиме, найдено несколько объектов, выбрал лечение без перезагрузки. После рестарта в обычном режиме снова запустил KVRT - обнаружил еще несколько объектов, запустил лечение с перезагрузкой. После рестарта выполнено полное сканирование - обнаружено 69 объектов, выбрал нейтрализацию всех. После перезагрузки ОС попытался установить KIS 21.2 - происходит сбой установки, тихий режим /s также не работает.</p>
<p>Таким образом, в данном случае KVRT не решил проблему с блокировкой установки антивируса.</p>
<p>Добавил видео и трейсы по предыдущей ссылке.</p>
<p><img src="https://i5.imageban.ru/out/2020/12/14/f18400819dfd2362b3e182aa998406e6.png" alt="" width="753" height="216" /></p>
<p></p>
</blockquote>
<p>Получается KVRT не может корректно откатить все вредоносные действия вируса.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-frown.gif" alt="frown" /></p>
<p>Служба восстановления ОС тоже не работает?</p>
<p>Можете воспользоваться <a href="https://forum.kasperskyclub.ru/topic/78566-resheno-kis-otreagiroval-soobshhenijami-majner-posle-ustanovki-igrovogo-softa/?do=findComment&amp;comment=1061843" target="_blank" rel="noopener">этим скриптом</a>, он должен все поправить.</p>
<p></p>
<p>Есть подозрение, что он не справится и с подобным вирусом <a href="https://forum.kasperskyclub.ru/topic/78269-heurtrojanmsilminergen-peresozdaetsja/" target="_blank" rel="noopener">из этой темы.</a></p>

AlexeyK

<p>@angeldragon said in <a href="/post/11770" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Установка MR3 запускается?</blockquote>
<p>Нет, то же самое, добавил видео туда же.</p>

ANGElDRAGON

<p>@alexeyk said in <a href="/post/11773" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>@angeldragon said in <a href="/post/11770" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Установка MR3 запускается?</blockquote>
<p>Нет, то же самое, добавил видео туда же.</p>
</blockquote>
<p>Тогда лучше завести отдельный баг для MR3 здесь: <a href="/category/258/installation-removal-updates" target="_blank" rel="noopener">https://eap.kaspersky.com/category/258/installation-removal-updates</a></p>
<p>Нужны логи установки и GSI</p>

AlexeyK

<p>@angeldragon said in <a href="/post/11772" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Служба восстановления ОС тоже не работает?</blockquote>
<p>Вы имеете в виду после всех лечений? Не посмотрел этот момент, а снимок уже закрыл. Но вообще да, восстановление системы блокируется (скрин). Скрипт не нужен, это же тестовая виртуальная машина.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /></p>
<p><img src="https://i3.imageban.ru/out/2020/12/14/1fc7368dcb15c5fa638eacb27ae75d2a.png" alt="" width="360" height="175" /></p>
<blockquote>
<p>Тогда лучше завести отдельный баг для MR3 здесь: <a href="/category/258/installation-removal-updates" target="_blank" rel="noopener">https://eap.kaspersky.com/category/258/installation-removal-updates</a></p>
<p>Нужны логи установки и GSI</p>
</blockquote>
<p>Честно говоря, не вижу, где сказано об изменении в установке, обсуждается процесс обновления версий. Я уже отправил информацию по данному инциденту.</p>

AlexeyK

<p>@angeldragon said in <a href="/post/11772" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Есть подозрение, что он не справится и с подобным вирусом из этой темы.</blockquote>
<p>Если у Вас есть возможность получить этот семпл, могу проверить и его. Только отсылайте в личку, а то вредители в общем доступе - нехорошо.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-wink.gif" alt="wink" /></p>

ANGElDRAGON

<p>@alexeyk said in <a href="/post/11776" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>@angeldragon said in <a href="/post/11772" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Есть подозрение, что он не справится и с подобным вирусом из этой темы.</blockquote>
<p>Если у Вас есть возможность получить этот семпл, могу проверить и его. Только отсылайте в личку, а то вредители в общем доступе - нехорошо.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-wink.gif" alt="wink" /></p>
</blockquote>
<p>Этого семпла, к сожалению, у меня нет. Может быть он есть у @<a href="/user/sq" target="_blank" rel="noopener">SQ</a></p>

ANGElDRAGON

<p>@alexeyk said in <a href="/post/11775" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Вы имеете в виду после всех лечений? Не посмотрел этот момент, а снимок уже закрыл. Но вообще да, восстановление системы блокируется (скрин).</blockquote>
<p>Да, я так понимаю KVRT  же должен полностью устранять действия вируса, а в итоге снова не смог этого сделать.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-sealed.gif" alt="sealed" /></p>

AlexeyK

<p>@angeldragon Еще раз повторил удаление зловредов. Начал скан в безопасном режиме, несколько раз перезагружал для выполнения лечения. Раза с третьего сканер восстановил hosts (зловред блокировал доступ к нескольким десяткам сайтов, в первую очередь к антивирусным). Но восстановление системы не работает. Хотя, тут скорее всего малварь или системные файлы повредила, или реестр. Так что вряд ли тут KVRT что-то может сделать, это же не PDM с откатом изменений.</p>
<p><img src="https://i2.imageban.ru/out/2020/12/15/14b27cc014adc8615f77b631493f4820.png" alt="" width="1098" height="178" /></p>

ANGElDRAGON

<p>@alexeyk said in <a href="/post/11782" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>@angeldragon Еще раз повторил удаление зловредов. Начал скан в безопасном режиме, несколько раз перезагружал для выполнения лечения. Раза с третьего сканер восстановил hosts (зловред блокировал доступ к нескольким десяткам сайтов, в первую очередь к антивирусным). Но восстановление системы не работает. Хотя, тут скорее всего малварь или системные файлы повредила, или реестр. Так что вряд ли тут KVRT что-то может сделать, это же не PDM с откатом изменений.</p>
<p><img src="https://i2.imageban.ru/out/2020/12/15/14b27cc014adc8615f77b631493f4820.png" alt="" width="1098" height="178" /></p>
</blockquote>
<p>Ранее <a href="https://forum.kasperskyclub.ru/topic/78566-resheno-kis-otreagiroval-soobshhenijami-majner-posle-ustanovki-igrovogo-softa/?do=findComment&amp;comment=1061843" target="_blank" rel="noopener">предоставленный скрипт</a> восстанавливает службу восстановления, это же может сделать и KVRT.</p>

AlexeyK

<p>@angeldragon said in <a href="/post/11783" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>это же может сделать и KVRT.</blockquote>
<p>Каким образом?</p>

ANGElDRAGON

<p>@alexeyk said in <a href="/post/11785" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>Каким образом?</blockquote>
<p><a href="https://forum.kasperskyclub.ru/topic/78566-resheno-kis-otreagiroval-soobshhenijami-majner-posle-ustanovki-igrovogo-softa/?do=findComment&amp;comment=1061843" target="_blank" rel="noopener">Ранее указанном скрипте</a> ничего нестандартного нет, этот же скрипт может выполнять и KVRT при лечение найденного вируса.</p>
<p>@dmitry-vorontsov, @yury-spravtsev тестирование идет или уже все?</p>

Dmitry.Vorontsov

<p>@angeldragon</p>
<blockquote>
<p><a href="https://forum.kasperskyclub.ru/topic/78566-resheno-kis-otreagiroval-soobshhenijami-majner-posle-ustanovki-igrovogo-softa/?do=findComment&amp;comment=1061843" target="_blank" rel="noopener">Ранее указанном скрипте</a><span> </span>ничего нестандартного нет, этот же скрипт может выполнять и KVRT при лечение найденного вируса.</p>
</blockquote>
<p>Нет так все просто. </p>
<p>Вы видели содержимое скрипта? Он удаляет некоторые каталоги которые создала малвара. Вы хотите чтобы KVRT при запуске удалял каталоги созданные другими антивирусами и прочими программами?</p>
<p></p>
<blockquote>
<p><a href="/uid/751" target="_blank" rel="noopener">@dmitry-vorontsov</a>,<span> </span><a href="/uid/4900" target="_blank" rel="noopener">@yury-spravtsev</a><span> </span>тестирование идет или уже все?</p>
</blockquote>
<p>Идет, мы исправляем найденные проблемы. Скоро будет новая версия для тестирования</p>

AlexeyK

<p>@dmitry-vorontsov А есть возможность доработки с целью недопущения закрытия KVRT во время работы малварью? Или тут остается только безопасный режим?</p>

Dmitry.Vorontsov

<p>@alexeyk</p>
<blockquote>
<p><span>А есть возможность доработки с целью недопущения закрытия KVRT во время работы малварью? Или тут остается только безопасный режим?</span></p>
</blockquote>
<p>Еще не знаю, надо посмотреть</p>

ANGElDRAGON

<p>@dmitry-vorontsov said in <a href="/post/11791" target="_blank" rel="noopener">Тестирование KVRT 2020</a>:</p>
<blockquote>
<p>@angeldragon</p>
<blockquote>
<p><a href="https://forum.kasperskyclub.ru/topic/78566-resheno-kis-otreagiroval-soobshhenijami-majner-posle-ustanovki-igrovogo-softa/?do=findComment&amp;comment=1061843" target="_blank" rel="noopener">Ранее указанном скрипте</a><span> </span>ничего нестандартного нет, этот же скрипт может выполнять и KVRT при лечение найденного вируса.</p>
</blockquote>
<p>Нет так все просто. </p>
<p>Вы видели содержимое скрипта? Он удаляет некоторые каталоги которые создала малвара. Вы хотите чтобы KVRT при запуске удалял каталоги созданные другими антивирусами и прочими программами?</p>
<p></p>
<blockquote>
<p><a href="/uid/751" target="_blank" rel="noopener">@dmitry-vorontsov</a>,<span> </span><a href="/uid/4900" target="_blank" rel="noopener">@yury-spravtsev</a><span> </span>тестирование идет или уже все?</p>
</blockquote>
<p>Идет, мы исправляем найденные проблемы. Скоро будет новая версия для тестирования</p>
</blockquote>
<p>Как минимум службу восстановления системы Windows можно восстановить при лечении вируса, и сбросить атрибуты проблемных папок по умолчанию, иначе особого смысла нет от утилиты, так как он не может вылечить вирус, который блокирует установку собственных продуктов.</p>

AlexeyK

<p>@angeldragon Это какого же масштаба функционал должен быть в программе? И восстановление системы починить, и атрибуты папок сбросить... А еще зловреды могут файлы шифровать - надо добавить все дешифраторы. И подменять DNS - надо научить сбрасывать сетевые настройки. Отключать UAC - надо добавить возможность включать. И вообще, научить лечить все заражения.<img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-smile.gif" alt="smile" /> Все-таки, исходя из названия программы, основное ее назначение - удаление зловредов, а не восстановление всех функций системы.</p>

ANGElDRAGON

<p>@alexeyk дешифраторы явно лишнее <img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-wink.gif" alt="wink" /> Но восстанавливать основные функции ОС он должен, и как минимум восстанавливать возможность установки своего антивирусного продукта. <img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-cool.gif" alt="cool" />Обычно когда устанавливаешь KIS и возникает ошибка "<a href="https://support.kaspersky.ru/common/error/installation/13252#block5" target="_blank" rel="noopener">Возможно Ваш ПК заражен</a>" предлагается скачать KVRT, а тут он оказывается совершенно бесполезным.Один человек писал так:</p>
<blockquote>
<p>Прямая обязанность антивируса - уметь устанавливаться на компьютер с вирусами. Если он не способен запуститься в заражённой среде, его не следует рассматривать как антивирус вообще.</p>
</blockquote>

AlexeyK

<p>@angeldragon Ну это только один случай - не из легких, скажем так. Мы тут и участвуем в тестировании, чтобы выявлять в том числе и подобные проблемные места, что даст разработчикам возможность обдумать необходимость доработок. Но насколько это реально и необходимо - тут только им решать. <img src="/plugins/nodebb-plugin-composer-kl/vendor/tinymce/plugins/emoticons/img/smiley-laughing.gif" alt="laughing" /></p>

Dmitry.Vorontsov

<p>@angeldragon</p>
<blockquote>
<p><span>Но восстанавливать основные функции ОС он должен, и как минимум восстанавливать возможность установки своего антивирусного продукта.</span></p>
</blockquote>
<p>Проблема доведена до компетентного человека, и я надеюсь, у нас будет решение этой проблемы</p>
<p></p>