Posts made by Yury.Spravtsev

KVRT 2020 was published! Build 20.0.6.0

Documentation https://support.kaspersky.com/kvrt2020

Thank you all for participating!

@murat5038 said in KVRT 2020 testing:

https://cloud.qainfo.ru/s/ykCSbld81Iy882B

The working file name appears to be incorrect. The wrong file is running.

https://cloud.qainfo.ru/s/ZODFYHy41OaUlWn

File description appears in task manager who worked as administrator.

https://cloud.qainfo.ru/s/v0sBxL9aqIw6VSg

Running file name does not appear in the marked section.

https://cloud.qainfo.ru/s/hQb3ysNVHAxWHle

Folder image of the incorrectly running file.

It's by design.

@murat5038 said in KVRT 2020 testing:

https://cloud.qainfo.ru/s/91t0OmTUwTadwYt

Although the given beta is up to date, it warns that "update now".

(It probably could be because it's beta.)

Fixed in release.

KVRT 2020 выпущен! Сборка 20.0.6.0. 

Документация https://support.kaspersky.ru/kvrt2020

Спасибо всем за участие!

@angeldragon said in Тестирование KVRT 2020:

я так понимаю, KVRT до сих пор не научился лечить результаты майнера?Раздел просто кишит темами не получается установить Kaspersky

Обещали как раз в этой версии сделать доработки, но, наверно, как и с анти-баннером в итоге вышло: вирус сильнее, мы пока изучим его, а потом все доделаем или уже вирус сам прекратит свою активность.

Разделяю ваше негодование. К сожалению, эта часть в компетенции команды занимающейся антивирусными базами, влияния на которую у нас нет. Пытаемся пробить доработку, но пока идёт туго. С нашей стороны в KVRT 2020 сделали успешный запуск утилиты.

Из позитивных моментов - доработка в обновляемых базах, т.е. не тормозит выпуск KVRT 2020. Т.е. когда сделают можно будет скачать KVRT 2020 со свежими базами и корректно пролечиться.

@alexeyk said in Тестирование KVRT 2020:

Налицо очевидное преимущество: зловреды сразу детектируются независимо от их активности и каталога запуска. Не знаю, что же мешает добавить в KVRT аналогичную возможность определять недавно запущенные файлы. Может есть какая-то серьезная особенность в работе? Может не хватает каких-то прав доступа?

В KAVKIS такое поведение реализуется драйвером который живёт в системе. В KVRT по умолчанию драйвера нет, т.к. сама утилита не инсталлируется в систему. Можно включить поведение аналогичное KAVKIS через параметр -freboot (https://support.kaspersky.ru/15680).

Реальной проблемы в поведении по умолчанию нет, т.к. если малвара активна (т.е. делает что-то плохое сейчас или будет автоматически запускаться), то KVRT её обнаружит. Если малвара лежит мёртвым грузом где-нибудь в TEMP - она не является проблемой.

Release Candidate available!

Build 20.0.5.0 is available at https://devbuilds.s.kaspersky-labs.com/kvrt/beta/20.0.5.0/kvrt.exe

Please note that traces disabled. Use "-trace" parameter for enable traces.

Появился релиз кандидат!

Сборка 20.0.5.0 доступна по ссылке https://devbuilds.s.kaspersky-labs.com/kvrt/beta/20.0.5.0/kvrt.exe

Обратите внимание, что трассировки выключены. Чтобы их включить нужно запускать с параметром -trace.

Из найденных в данном топике проблем исправлены:

• тут тоже нет предупреждения о последующем после обратного отсчета действии
• При нажатие кнопки "Restore default action" не удаляются галочки с каталогов, которые были добавлены мной

Заметное изменение - если русский язык и не установлен антивирус Касперского, то по окончании сканирования предлагается установка KAV.

@sq said in Тестирование KVRT 2020:

Если создать файлы "KVRT_Data" и "KVRT2020_Data", то версия 2015 запускается, однако сканировани не работает. В случае 2020 выдается ошибка, что не может создаться каталог.Этой фичей уже давно пользуются злоумышлиники с майнерами, что не дает пользователям использовать различные продукты для сканирования, например KVRT.

Надеюсь, вы сможете что-то придумать, чтобы это обойти, иначе KVRT, будет полезен не во всех случаях. особенно если файлы будут скрытые и имееть аттрибут системный.

Примеров в интернете хватает : https://forum.kasperskyclub.ru/topic/78804-resheno-ne-zapuskaetsja-proverka-na-virusy-v-kvrt/

Выше обсуждалась малвара - она делала каталог KVRT_Data с урезанными права. Это исправлено. Кейс с файлом не правили, посмотрим что можно сделать. В любом случае всего предусмотреть невозможно, малвара будет находить способы блокировки. Для обхода проблемы пользователю достаточно указать параметр "-d путь" для смены продуктового каталога. Напишем на алерте это подробнее.

@sq said in Тестирование KVRT 2020:

Я запустил одновременно KVRT2020 и KVRT2015. Заметил, что в 2015 версии кнопка close не активна во время сканирования, а в 2020 версии активная, т.е. я могу закрыть в любой момент.

Также в 15 версии указано в результате, что вредононое ПО не найдено, а в 20 что сканирование завершено.По мне информативней было бы, если было бы указано что вредоносное ПО не найдено.

Спасибо, обсудим как лучше сделать.

@sq said in Тестирование KVRT 2020:

При этом 2015 версия завершила сканирование быстрее и на 4 файла в отчете больше.

Это нормально. Время и число файлов постоянно меняется, т.к. постоянно запускаются/завершаются фоновые процессы.

@virus_900 said in KVRT 2020 testing:

Windows 10 Pro Build 19042 EN All update KVRT 20.0.4.0

Description:

Incorrect definition language product.

Reproduction steps:

1. Download KVRT.
2. Launched the product. 

Actual result:

Language KVRT display to Russian and system to English.

Expected Result:

Language KVRT converge with system.

Please check your system locale. Seems it's "Russia".

Build updated!

Build 20.0.4.0 is available at https://devbuilds.s.kaspersky-labs.com/kvrt/beta/20.0.4.0/kvrt.exe

Please note that traces now located in C:\KVRT2020_Data\Traces folder.

Сборка обновлена!

Сборка 20.0.4.0 доступна по ссылке https://devbuilds.s.kaspersky-labs.com/kvrt/beta/20.0.4.0/kvrt.exe

Обратите внимание, что трассировки теперь лежат в папке C:\KVRT2020_Data\Traces.

Из найденных в данном топике проблем исправлены:

• После выполнения скана, закрытия программы и перезагрузки ОС из папки \drivers автоматически не удаляется драйвер klupd_ce844080a_kimul.sys.
• где сказано, что "Окно закроется через..." Не очень понятно, что будет через это время
• Если свернуть окно "Результаты проверки", то развернуть или закрыть его больше не получается
• Что-то в этой версии не работают как минимум -d, -custom, -customlist (в этих случаях сканер просто не запускается)
• При скане системного раздела прогресс останавливается на 1/3, после чего сканирование завершается и показывается результат.
• Если после проверки пропустить найденные объекты, то в главном окне нет предупреждения об угрозах, в отличии от 15 версии. И вообще информация более скудная.
• С KVRT тоже ничего не получается: после запуска идет некоторое время анализ, но потом сканер также выгружается

В процессе исправления:

• устраняет ли KVRT действия этого вируса, после которого невозможно установить антивирус, так как он блокирует создание необходимых ему папок?
• После перезагрузки ОС попытался установить KIS 21.2 - происходит сбой установки, тихий режим /s также не работает

@alexeyk said in Тестирование KVRT 2020:

@yury-spravtsev После работы KVRT в безопасном режиме все драйверы удаляются сразу при закрытии утилиты. Однако, после перезагрузки ОС в обычный режим в папке drivers оказываются драйверы утилиты, причем без рандомизации имен. Удаляются они только в безопасном режиме.

Трейсы: https://cloud.qainfo.ru/s/WtxAD8Z3xMJOXfu

У вас KSC установлен, это его файлы. У KVRT вместо "klif" рандомные символы.

@dmitry-vorontsov said in Тестирование KVRT 2020:

Если свернуть окно "Результаты проверки", то развернуть или закрыть его больше не получается.

Непорядок. Разберёмся.

Исправили, будет доступно в следующей версии.

@dmitry-vorontsov said in Тестирование KVRT 2020:

@angeldragon said in Тестирование KVRT 2020:

1. Почему-то детектирует файл, которым несколько месяцев не было проблем, подозреваю ложный детект

Ок. Разберёмся

Исправлено, проверяйте на той же сборке при работающей сети.

@alexeyk said in Тестирование KVRT 2020:

@autumnrain Еще такой момент по прогресс бару. При скане системного раздела прогресс останавливается на 1/3, после чего сканирование завершается и показывается результат. Если я правильно понимаю, это происходит потому, что на диске 3 раздела, и 100% было бы при выборе всех трех разделов. А значит 2/3 при выборе двух. Думаю, что лучше было бы показывать шкалу для выбранных областей, то есть за 100% брать только отмеченный для скана диск. А то получается, что этот прогресс отображает не то, что ожидается исходя из задачи сканирования.

Спасибо, будем воспроизводить.

@angeldragon said in Тестирование KVRT 2020:

@autumnrain said in Тестирование KVRT 2020:

@angeldragon said in Тестирование KVRT 2020:

Туда разве можно будет выкладывать не зашифрованные логи с персональными данными?

KVRT только формирует файл с отчетом. Что делать с ним дальше решать Вам.

Раньше, вроде, политика в отношении этого вопроса была жестче, и все логи по умолчанию шифровались, даже если никуда их не нужно было отправлять. Что-то изменилось в этом вопросе?

Современный KIS и KES тоже трассировки не шифруют. Потому что использовавшееся "шифрование" защитит только от бабушек и реальной пользы в нём было мало.

@dmitry-vorontsov said in Тестирование KVRT 2020:

@alexeyk said in Тестирование KVRT 2020:

А как вообще дела обстоят с дополнительными параметрами запуска? Что-то в этой версии не работают как минимум -d, -custom, -customlist

Очень странно. Пришлите файлы трейсировок из папки C:\KVRT2020_Data

Исправили, проблема была в русских символах в пути. Будет доступно в следующей версии.

@alexeyk said in Тестирование KVRT 2020:

@autumnrain Добрый день! После выполнения скана, закрытия программы и перезагрузки ОС из папки \drivers автоматически не удаляется драйвер klupd_ce844080a_kimul.sys.

Не удаётся воспроизвести. Запустите KVRT, закройте KVRT и пришлите соответствующий воспроизведению трейс.

@helios_07 said in KVRT 2020 testing:

I installed some malware, ran KVRT -> it wanted a reboot.

Please provide MD5 hashes of installed malware.

@helios_07 said in KVRT 2020 testing:

After the reboot i started the scan thats when KVRT crashed.

Malware injected to KVRT and crashed.