Майнеры и KVRT

[thyrex]

21.06.2023 в 14:40, Viktor сказал:

21.06.2023 в 10:22, Friend сказал:

1. Пытаются ли разработчики продукта решить проблему с установкой антивируса после действия майнера, чтобы пользователи лишний раз не обращались в поддержку и антивирус сам удалял все последствия майнера после успешной установки, пример, одной темы на форуме? Или же майнер сильнее?

Решение проблемы есть – это Kaspersky Virus Removal Tool. На вопрос на форуме наш сотрудник сегодня ответит. Борьба малвары и антивируса – это борьба меча и щита, и те и другие совершенствуют свои техники и тактики.

 

[Friend]

30 минут назад, Viktor сказал:

На вопрос на форуме наш сотрудник сегодня ответит

Его, к сожалению, наверно забанят, так как в том разделе все очень жестко.

31 минуту назад, Viktor сказал:

Борьба малвары и антивируса – это борьба меча и щита, и те и другие совершенствуют свои техники и тактики.

Да, это так, но как видно малвара сильнее антивирусных продуктов, что приходится почти всегда использовать сторонние утилиты, так как KVRT все-таки не может до конца все поправить и подобных обращений в разделе очень много. В целом видел статью в базе знаний: https://support.kaspersky.ru/kaspersky-for-windows/troubleshooting/installation/15974 , но все-таки хотелось бы без "лишних телодвижений" установить продукт.

[Viktor]

32 minutes ago, Friend said:

Его, к сожалению, наверно забанят, так как в том разделе все очень жестко.

Да, это так, но как видно малвара сильнее антивирусных продуктов, что приходится почти всегда использовать сторонние утилиты, так как KVRT все-таки не может до конца все поправить и подобных обращений в разделе очень много. В целом видел статью в базе знаний: https://support.kaspersky.ru/kaspersky-for-windows/troubleshooting/installation/15974 , но все-таки хотелось бы без "лишних телодвижений" установить продукт.

Ну что, сожалею, вы забанили руководителя группы разработки антируткит-технологий и одновременно признанного эксперта в KVRT.

Изменено 21 июня, 2023 пользователем Viktor

[thyrex]

37 минут назад, Viktor сказал:

Ну что, сожалею, вы забанили руководителя группы разработки антируткит-технологий и одновременно признанного эксперта в KVRT.

1. Прежде, чем говорить о бане, неплохо было бы проверять информацию. Сообщение было просто заменено модераторским тегом. Как уже было написано выше, в разделе лечения действуют свои правила, нарушать которые не следует любому пробегавшему мимо, тем более по нику невозможно определить принадлежность к компании.

 

2. Среди хэлперов не принято без нужды выдавать рекомендации, не дождавшись выполнения уже выданных. А тут появляется некто неизвестный и пытается раздавать советы.

 

3. Еще с момента появления первых майнеров, не обладающих современными "способностями" по блокировке защитного ПО и его установки, хэлперы просили детект сменить с безобидного not-virus и сразу начинать лечение. Нас не захотели услышать.

 

С тех пор пришлось разработать свой инструмент устранения последствий наиболее злобных вариантов майнера, методы его применения при противодействии со стороны майнера, а окончательно дочищать последствия в виде той же блокировки прав доступа к папкам защитного ПО уже с помощью сторонних утилит.

[andrew75]

4 часа назад, Viktor сказал:

Решение проблемы есть – это Kaspersky Virus Removal Tool

утилита с фиксированным именем, которая по-умолчанию распаковывает данные в папку также с фиксированным именем, по определению не будет эффективна против зловреда, который блокирует антивирусные продукты по имени и по пути установки.

Я пытался объяснить это на оф. форуме "признанному эксперту в KVRT", но он, к сожалению, считает что все нормально и достаточно переименовать KVRT.

 

2 часа назад, thyrex сказал:

С тех пор пришлось разработать свой инструмент устранения последствий наиболее злобных вариантов майнера, методы его применения при противодействии со стороны майнера, а окончательно дочищать последствия в виде той же блокировки прав доступа к папкам защитного ПО уже с помощью сторонних утилит.

а что мешает компании разработать специализированную утилиту для таких случаев и подгружать ее при необходимости при установке продукта. Либо просто встроить эти функции в установщик.

 

Вместо этого есть замечательная статья на портале техподдержки, где пользователю, для которого в 90% случаев командная строка это ругательное слово, предлагается выполнить несколько сложных команд в командной строке для сброса ограничений.

 

Изменено 21 июня, 2023 пользователем andrew75

[Viktor]

2 hours ago, andrew75 said:

утилита с фиксированным именем, которая по-умолчанию распаковывает данные в папку также с фиксированным именем, по определению не будет эффективна против зловреда, который блокирует антивирусные продукты по имени и по пути установки.

Я пытался объяснить это на оф. форуме "признанному эксперту в KVRT", но он, к сожалению, считает что все нормально и достаточно переименовать KVRT.

 

а что мешает компании разработать специализированную утилиту для таких случаев и подгружать ее при необходимости при установке продукта. Либо просто встроить эти функции в установщик.

 

Вместо этого есть замечательная статья на портале техподдержки, где пользователю, для которого в 90% случаев командная строка это ругательное слово, предлагается выполнить несколько сложных команд в командной строке для сброса ограничений.

 

Друзья, вашу боль с утилитой KVRT я уже понял, но она относится не к моему направлению, поэтому я посчитал наиболее эффективным свести вас напрямую с командой разработки, что и сделал.

[andrew75]

21 минуту назад, Viktor сказал:

Друзья, вашу боль с утилитой KVRT я уже понял, но она относится не к моему направлению, поэтому я посчитал наиболее эффективным свести вас напрямую с командой разработки, что и сделал.

так понятно, что это не ваша область. Но вы сами подставились, когда начали реагировать на соответствующие вопросы

А позицию команды разработки мы сегодня еще раз увидели - у них все хорошо. Причем уже года три как все хорошо.

Изменено 21 июня, 2023 пользователем andrew75

[Viktor]

17 minutes ago, andrew75 said:

так понятно, что это не ваша область. Но вы сами подставились, когда начали реагировать на соответствующие вопросы

А позицию команды разработки мы сегодня еще раз увидели - у них все хорошо. Причем уже года три как все хорошо.

Кажется, я начинаю терять нить ваших мыслей. Я ответил на вопрос, а также пригласил эксперта, который помог пользователю, пользователь доволен: 

Если у вас накопился негатив, касающийся KVRT, вы можете его передать в команду, ребята ответят. Можете, кстати, с ними интервью назначить, если у вас "накипело". Если хотите через меня - ну давайте, пришлите мне в личку полный список пожеланий и вопросов по KVRT, я организую вам обратную связь и встречу с командой.

 

[Friend]

19 минут назад, Viktor сказал:

Кажется, я начинаю терять нить ваших мыслей.

Тут немного иное, просто большинство пользователей хотят, чтобы продукт при установке сам автоматический исправлял это все  (не хватает прав на папку, сам правил это и т.п.), а не заставлял запускать дополнительные утилиты+ выполнять доп. команды, так как лечение майнера до сих пор не выполнено полностью.

Были случае когда майнер чудесным образом при работающем антивирусе мог заблокировать все папки продукта и после перезагрузки антивирус уже не запускался). То есть проблема не в утилите KVRT, а в том что уже несколько месяцев, даже лет не могут победить этот майнер. Да и обращений с этим майнеров в поддержку достаточно, знаю что заводили багу и обещали ее поправить, но как видно ее приоритет понижен и передумали править, так как появилась хорошая статья в базе знаний. 

Изменено 21 июня, 2023 пользователем Friend

[Viktor]

12 minutes ago, Friend said:

Тут немного иное, просто большинство пользователей хотят, чтобы продукт при установке сам автоматический исправлял это все  (не хватает прав на папку, сам правил это и т.п.), а не заставлял запускать дополнительные утилиты+ выполнять доп. команды, так как лечение майнера до сих пор не выполнено полностью.

Были случае когда майнер чудесным образом при работающем антивирусе мог заблокировать все папки продукта и после перезагрузки антивирус уже не запускался). То есть проблема не в утилите KVRT, а в том что уже несколько месяцев, даже лет не могут победить этот майнер. Да и обращений с этим майнеров в поддержку достаточно, знаю что заводили багу и обещали ее поправить, но как видно ее приоритет понижен и передумали править, так как появилась хорошая статья в базе знаний. 

Теперь понял, вернусь с ответом до конца интервью.

[thyrex]

1 час назад, Viktor сказал:

пригласил эксперта, который помог пользователю, пользователь доволен

Хотел бы я посмотреть на этого эксперта, когда бы он посоветовал начать борьбу с майнером при помощи KVRT c нуля. А так да, есть повод для гордости: утилита смогла наконец без проблем дочистить помехи, когда основная работа была сделана до этого.

[andrew75]

10 часов назад, Viktor сказал:

Если у вас накопился негатив, касающийся KVRT,

@Friend все правильно написал. Вопросы прежде всего к разработчикам антивируса (причем обоих веток). У меня есть тикет в ТП, по поводу невозможности установки продукта из-за действий майнера. Два с половиной года назад мне ответили, что проблема известна и будет исправлена в следующей версии. Сколько за это время вышло новых версий? А воз и ныне там. 

[Viktor]

54 minutes ago, andrew75 said:

А воз и ныне там. 

Ну вы друзья, это... не стесняйтесь, если есть еще какие-либо проблемы с другими продуктами - пишите, будем решать, я уже понял, что, как вы заметили, "подставился", начав реагировать на вопросы. Будем решать, надеюсь, что получится, а если не получится - у меня адвокат знакомый есть, на деньги, правда ориентирован, но, как мы уже выяснили выше, в ЛК компенсационный пакет очень хороший, смогу себе позвонить. А не удастся - в крайнем случае на исправительные работы поеду (путешествовать, как мы уже знаем, люблю), можно, например, на Урал к Мирному Атому, места там красивые.

[Yury S.]

19 часов назад, thyrex сказал:

Хотел бы я посмотреть на этого эксперта, когда бы он посоветовал начать борьбу с майнером при помощи KVRT c нуля. А так да, есть повод для гордости: утилита смогла наконец без проблем дочистить помехи, когда основная работа была сделана до этого.

Сообщите, пожалуйста, известные вам сценарии/малвару которые KVRT вылечить не может. Можете завести отдельную ветку на форуме, можете личным сообщением.

 

Мне известны:
1) Малвара точится на имя файла/процесса KVRT.exe и блокирует запуск. Лечится переименованием KVRT.exe. В процессе сканирования переименованным KVRT он чинит эту настройку.
2) Малвара точится на заголовок окна лицензионного соглашения KVRT. Лечится запуском с параметром "-accepteula". Также уже сделали доработку по обходу это кейса, ждёт следующего выпуска KVRT.
3) Малвара блокирует папку C:\KVRT2020_Data. Текущий KVRT такое обходит самостоятельно.

Сейчас KVRT не чистит мусор оставшийся от малвары - "плохие" настройки ОС, потенциально нежелательное ПО (вроде iobit) и т.п. Основная задача KVRT - пролечить активное заражение и дать установиться основному продукту ЛК (KIS, KES и др). А в продукте уже есть компоненты для исправления/удаления мусора, пользователь может ими воспользоваться.

А вообще, конечно, ручная обработка надёжнее, т.к. само тело малвары может по каким-либо причинам не детектироваться и KVRT тогда её не пролечит.

В этой теме прошу не отвечать, чтобы не засорять оффтопом.

 

Изменено 22 июня, 2023 пользователем Yury S.

[thyrex]

Всё же напишу здесь последний пост о работе KVRT (ибо ни в ЛС, ни на оффоруме ничего писать не собираюсь).

 

Вот пример темы. Утилита запустилась, но проблему с последствиями решить не смогла.

 

Или вот еще пример логов после лечения утилитой в переименованном виде. Для родной папки права исправлены, а остальное кому оставлено? Это пародия, а не лечение.

[akoK]

+++ к логам, майнер "недолечен" из-за батника которого нет в базах, хотя по данным opentip детект еще с  26 мая, 2023 висит Trojan.Win32.Agent.sb