Перейти к содержанию

Рекомендуемые сообщения

Опубликовано
21.06.2023 в 14:40, Viktor сказал:
21.06.2023 в 10:22, Friend сказал:

1. Пытаются ли разработчики продукта решить проблему с установкой антивируса после действия майнера, чтобы пользователи лишний раз не обращались в поддержку и антивирус сам удалял все последствия майнера после успешной установки, пример, одной темы на форуме? Или же майнер сильнее?

Решение проблемы есть – это Kaspersky Virus Removal Tool. На вопрос на форуме наш сотрудник сегодня ответит. Борьба малвары и антивируса – это борьба меча и щита, и те и другие совершенствуют свои техники и тактики.

 

  • Ответов 33
  • Создана
  • Последний ответ

Топ авторов темы

  • thyrex

    7

  • Viktor

    6

  • Friend

    4

  • andrew75

    4

Опубликовано
30 минут назад, Viktor сказал:

На вопрос на форуме наш сотрудник сегодня ответит

Его, к сожалению, наверно забанят, так как в том разделе все очень жестко.

31 минуту назад, Viktor сказал:

Борьба малвары и антивируса – это борьба меча и щита, и те и другие совершенствуют свои техники и тактики.

Да, это так, но как видно малвара сильнее антивирусных продуктов, что приходится почти всегда использовать сторонние утилиты, так как KVRT все-таки не может до конца все поправить и подобных обращений в разделе очень много. В целом видел статью в базе знаний: https://support.kaspersky.ru/kaspersky-for-windows/troubleshooting/installation/15974 , но все-таки хотелось бы без "лишних телодвижений" установить продукт.

Опубликовано (изменено)
32 minutes ago, Friend said:

Его, к сожалению, наверно забанят, так как в том разделе все очень жестко.

Да, это так, но как видно малвара сильнее антивирусных продуктов, что приходится почти всегда использовать сторонние утилиты, так как KVRT все-таки не может до конца все поправить и подобных обращений в разделе очень много. В целом видел статью в базе знаний: https://support.kaspersky.ru/kaspersky-for-windows/troubleshooting/installation/15974 , но все-таки хотелось бы без "лишних телодвижений" установить продукт.

Ну что, сожалею, вы забанили руководителя группы разработки антируткит-технологий и одновременно признанного эксперта в KVRT.

Изменено пользователем Viktor
  • Улыбнуло 1
Опубликовано
37 минут назад, Viktor сказал:

Ну что, сожалею, вы забанили руководителя группы разработки антируткит-технологий и одновременно признанного эксперта в KVRT.

1. Прежде, чем говорить о бане, неплохо было бы проверять информацию. Сообщение было просто заменено модераторским тегом. Как уже было написано выше, в разделе лечения действуют свои правила, нарушать которые не следует любому пробегавшему мимо, тем более по нику невозможно определить принадлежность к компании.

 

2. Среди хэлперов не принято без нужды выдавать рекомендации, не дождавшись выполнения уже выданных. А тут появляется некто неизвестный и пытается раздавать советы.

 

3. Еще с момента появления первых майнеров, не обладающих современными "способностями" по блокировке защитного ПО и его установки, хэлперы просили детект сменить с безобидного not-virus и сразу начинать лечение. Нас не захотели услышать.

 

С тех пор пришлось разработать свой инструмент устранения последствий наиболее злобных вариантов майнера, методы его применения при противодействии со стороны майнера, а окончательно дочищать последствия в виде той же блокировки прав доступа к папкам защитного ПО уже с помощью сторонних утилит.

  • Like (+1) 2
Опубликовано (изменено)
4 часа назад, Viktor сказал:

Решение проблемы есть – это Kaspersky Virus Removal Tool

утилита с фиксированным именем, которая по-умолчанию распаковывает данные в папку также с фиксированным именем, по определению не будет эффективна против зловреда, который блокирует антивирусные продукты по имени и по пути установки.

Я пытался объяснить это на оф. форуме "признанному эксперту в KVRT", но он, к сожалению, считает что все нормально и достаточно переименовать KVRT.

 

2 часа назад, thyrex сказал:

С тех пор пришлось разработать свой инструмент устранения последствий наиболее злобных вариантов майнера, методы его применения при противодействии со стороны майнера, а окончательно дочищать последствия в виде той же блокировки прав доступа к папкам защитного ПО уже с помощью сторонних утилит.

а что мешает компании разработать специализированную утилиту для таких случаев и подгружать ее при необходимости при установке продукта. Либо просто встроить эти функции в установщик.

 

Вместо этого есть замечательная статья на портале техподдержки, где пользователю, для которого в 90% случаев командная строка это ругательное слово, предлагается выполнить несколько сложных команд в командной строке для сброса ограничений.

 

Изменено пользователем andrew75
Опубликовано
2 hours ago, andrew75 said:

утилита с фиксированным именем, которая по-умолчанию распаковывает данные в папку также с фиксированным именем, по определению не будет эффективна против зловреда, который блокирует антивирусные продукты по имени и по пути установки.

Я пытался объяснить это на оф. форуме "признанному эксперту в KVRT", но он, к сожалению, считает что все нормально и достаточно переименовать KVRT.

 

а что мешает компании разработать специализированную утилиту для таких случаев и подгружать ее при необходимости при установке продукта. Либо просто встроить эти функции в установщик.

 

Вместо этого есть замечательная статья на портале техподдержки, где пользователю, для которого в 90% случаев командная строка это ругательное слово, предлагается выполнить несколько сложных команд в командной строке для сброса ограничений.

 

Друзья, вашу боль с утилитой KVRT я уже понял, но она относится не к моему направлению, поэтому я посчитал наиболее эффективным свести вас напрямую с командой разработки, что и сделал.

  • Улыбнуло 2
Опубликовано (изменено)
21 минуту назад, Viktor сказал:

Друзья, вашу боль с утилитой KVRT я уже понял, но она относится не к моему направлению, поэтому я посчитал наиболее эффективным свести вас напрямую с командой разработки, что и сделал.

так понятно, что это не ваша область. Но вы сами подставились, когда начали реагировать на соответствующие вопросы :)

А позицию команды разработки мы сегодня еще раз увидели - у них все хорошо. Причем уже года три как все хорошо.

Изменено пользователем andrew75
Опубликовано
17 minutes ago, andrew75 said:

так понятно, что это не ваша область. Но вы сами подставились, когда начали реагировать на соответствующие вопросы :)

А позицию команды разработки мы сегодня еще раз увидели - у них все хорошо. Причем уже года три как все хорошо.

Кажется, я начинаю терять нить ваших мыслей. Я ответил на вопрос, а также пригласил эксперта, который помог пользователю, пользователь доволен: 

Если у вас накопился негатив, касающийся KVRT, вы можете его передать в команду, ребята ответят. Можете, кстати, с ними интервью назначить, если у вас "накипело". Если хотите через меня - ну давайте, пришлите мне в личку полный список пожеланий и вопросов по KVRT, я организую вам обратную связь и встречу с командой.

 

  • Like (+1) 1
Опубликовано (изменено)
19 минут назад, Viktor сказал:

Кажется, я начинаю терять нить ваших мыслей.

Тут немного иное, просто большинство пользователей хотят, чтобы продукт при установке сам автоматический исправлял это все  (не хватает прав на папку, сам правил это и т.п.), а не заставлял запускать дополнительные утилиты+ выполнять доп. команды, так как лечение майнера до сих пор не выполнено полностью.

Были случае когда майнер чудесным образом при работающем антивирусе мог заблокировать все папки продукта и после перезагрузки антивирус уже не запускался).:coffee: То есть проблема не в утилите KVRT, а в том что уже несколько месяцев, даже лет не могут победить этот майнер. Да и обращений с этим майнеров в поддержку достаточно, знаю что заводили багу и обещали ее поправить, но как видно ее приоритет понижен и передумали править, так как появилась хорошая статья в базе знаний. 

Изменено пользователем Friend
Опубликовано
12 minutes ago, Friend said:

Тут немного иное, просто большинство пользователей хотят, чтобы продукт при установке сам автоматический исправлял это все  (не хватает прав на папку, сам правил это и т.п.), а не заставлял запускать дополнительные утилиты+ выполнять доп. команды, так как лечение майнера до сих пор не выполнено полностью.

Были случае когда майнер чудесным образом при работающем антивирусе мог заблокировать все папки продукта и после перезагрузки антивирус уже не запускался).:coffee: То есть проблема не в утилите KVRT, а в том что уже несколько месяцев, даже лет не могут победить этот майнер. Да и обращений с этим майнеров в поддержку достаточно, знаю что заводили багу и обещали ее поправить, но как видно ее приоритет понижен и передумали править, так как появилась хорошая статья в базе знаний. 

Теперь понял, вернусь с ответом до конца интервью.

  • Спасибо (+1) 1
Опубликовано
1 час назад, Viktor сказал:

пригласил эксперта, который помог пользователю, пользователь доволен

Хотел бы я посмотреть на этого эксперта, когда бы он посоветовал начать борьбу с майнером при помощи KVRT c нуля. А так да, есть повод для гордости: утилита смогла наконец без проблем дочистить помехи, когда основная работа была сделана до этого.

Опубликовано
10 часов назад, Viktor сказал:

Если у вас накопился негатив, касающийся KVRT,

@Friend все правильно написал. Вопросы прежде всего к разработчикам антивируса (причем обоих веток). У меня есть тикет в ТП, по поводу невозможности установки продукта из-за действий майнера. Два с половиной года назад мне ответили, что проблема известна и будет исправлена в следующей версии. Сколько за это время вышло новых версий? А воз и ныне там. 

Опубликовано
54 minutes ago, andrew75 said:

А воз и ныне там. 

Ну вы друзья, это... не стесняйтесь, если есть еще какие-либо проблемы с другими продуктами - пишите, будем решать, я уже понял, что, как вы заметили, "подставился", начав реагировать на вопросы. Будем решать, надеюсь, что получится, а если не получится - у меня адвокат знакомый есть, на деньги, правда ориентирован, но, как мы уже выяснили выше, в ЛК компенсационный пакет очень хороший, смогу себе позвонить. А не удастся - в крайнем случае на исправительные работы поеду (путешествовать, как мы уже знаем, люблю), можно, например, на Урал к Мирному Атому, места там красивые.

  • Like (+1) 1
  • Улыбнуло 2
Опубликовано (изменено)
19 часов назад, thyrex сказал:

Хотел бы я посмотреть на этого эксперта, когда бы он посоветовал начать борьбу с майнером при помощи KVRT c нуля. А так да, есть повод для гордости: утилита смогла наконец без проблем дочистить помехи, когда основная работа была сделана до этого.


Сообщите, пожалуйста, известные вам сценарии/малвару которые KVRT вылечить не может. Можете завести отдельную ветку на форуме, можете личным сообщением.

 

Мне известны:
1) Малвара точится на имя файла/процесса KVRT.exe и блокирует запуск. Лечится переименованием KVRT.exe. В процессе сканирования переименованным KVRT он чинит эту настройку.
2) Малвара точится на заголовок окна лицензионного соглашения KVRT. Лечится запуском с параметром "-accepteula". Также уже сделали доработку по обходу это кейса, ждёт следующего выпуска KVRT.
3) Малвара блокирует папку C:\KVRT2020_Data. Текущий KVRT такое обходит самостоятельно.

Сейчас KVRT не чистит мусор оставшийся от малвары - "плохие" настройки ОС, потенциально нежелательное ПО (вроде iobit) и т.п. Основная задача KVRT - пролечить активное заражение и дать установиться основному продукту ЛК (KIS, KES и др). А в продукте уже есть компоненты для исправления/удаления мусора, пользователь может ими воспользоваться.

А вообще, конечно, ручная обработка надёжнее, т.к. само тело малвары может по каким-либо причинам не детектироваться и KVRT тогда её не пролечит.

В этой теме прошу не отвечать, чтобы не засорять оффтопом.

 

Изменено пользователем Yury S.
  • Like (+1) 1
  • Спасибо (+1) 2
Опубликовано

Всё же напишу здесь последний пост о работе KVRT (ибо ни в ЛС, ни на оффоруме ничего писать не собираюсь).

 

Вот пример темы. Утилита запустилась, но проблему с последствиями решить не смогла.

 

Или вот еще пример логов после лечения утилитой в переименованном виде. Для родной папки права исправлены, а остальное кому оставлено? Это пародия, а не лечение.

  • Like (+1) 1
  • Согласен 1
Опубликовано

+++ к логам, майнер "недолечен" из-за батника которого нет в базах, хотя по данным opentip детект еще с  26 мая, 2023 висит Trojan.Win32.Agent.sb

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Yann
      Автор Yann
      Добрый день!
      Проблема с вирусом/майнером, нагружал CPU до максимальных значений и система в целом была нестабильна.
      При открытии диспетчера задач несколько раз автоматически закрывал его или сбрасывал нагрузку на процессор, впрочем через другие утилиты мониторинга нагрузку можно было наблюдать постоянно.
      Попытался скачать Dr.Web что бы провести скан, поскольку защитник винды ничего не показал, но вирус не дал запустить экзешник установщика из за отсутствия прав администратора.
      После этого я не на шутку перепугался и полностью снес винду, отформатировал/удалил каждый раздел на дисках и установил новую.
      Первым же делом скачал Dr.Web, в этот раз установка прошла без проблем и я провел полный скан который ничего не нашёл, посчитав что проблемы окончены начал скачивать гугл хром, но при попытке установки его экзешника антивирус заругался на угрозу и поместил экзешник и ещё один файл,в карантин и брэндмауер указал что процесс updater.exe пытается выйти в сеть и разумеется я запретил ему это, при этом я снова получил ошибку об отсутствии необходимых прав.
      После этого система кажется стабильной, ошибки с правами и повышенной нагрузки я не наблюдаю, провел ещё проверку с помощью Kaspersky Virus Removal tool и все было чисто, но я совершенно не уверен в том что так будет всегда и хотел бы получить экспертное мнение.
      Прикладываю логи автологера и скриншот файлов попавших в карантин:

      CollectionLog-2025.08.22-04.48.zip
    • Amurkin
      Автор Amurkin
      Добрый день! Новый ноутбук стал сильно греться даже в простое. Подозреваю майнер. Прошу помочь!CollectionLog-2025.08.09-12.09.zip
    • Isik
      Автор Isik
      Малварбайт обнаружил процесс исходящего траффика в пути- C:\Users\user\AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC, потом это появлялось снова и снова. В диспетчере задач обнаружил три процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Что это такое не пойму, никогда ничего подобного не видел. Заранее благодарю.
    • Vovkaproshka
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
    • wekai
      Автор wekai
      помогите с майнером. пытался по уже доступному туториалу удалить его, но у меня он всё еще сохранился. прикрывается под update.exe.
      Где обитает:
      1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
      появляется каждые минут 10 после закрытия, сам закрывает диспечер задач, если компьютер стоит афк.
      вообще в точности похожая ситуация с этим постом, может быть у меня что-то не так я не знаю. надеюсь на вашу помощь и отклик.
       
×
×
  • Создать...