Перейти к содержанию

Рекомендуемые сообщения

Опубликовано
21.06.2023 в 14:40, Viktor сказал:
21.06.2023 в 10:22, Friend сказал:

1. Пытаются ли разработчики продукта решить проблему с установкой антивируса после действия майнера, чтобы пользователи лишний раз не обращались в поддержку и антивирус сам удалял все последствия майнера после успешной установки, пример, одной темы на форуме? Или же майнер сильнее?

Решение проблемы есть – это Kaspersky Virus Removal Tool. На вопрос на форуме наш сотрудник сегодня ответит. Борьба малвары и антивируса – это борьба меча и щита, и те и другие совершенствуют свои техники и тактики.

 

  • Ответов 33
  • Создана
  • Последний ответ

Топ авторов темы

  • thyrex

    7

  • Viktor

    6

  • Friend

    4

  • andrew75

    4

Опубликовано

Друзья, развернутый ответ по KVRT вы получите сегодня вечером, а пока буду рад ответить на любые другие ваши вопросы.

  • Согласен 1
Опубликовано
5 часов назад, thyrex сказал:

Вот пример темы. Утилита запустилась, но проблему с последствиями решить не смогла.

 

Из словесного описания неясно что происходит. Запрошу логи.

 

5 часов назад, thyrex сказал:

Или вот еще пример логов после лечения утилитой в переименованном виде. Для родной папки права исправлены, а остальное кому оставлено? Это пародия, а не лечение.


Про это я писал "Основная задача KVRT - пролечить активное заражение и дать установиться основному продукту ЛК (KIS, KES и др)". Лечить ESET, Bitdefender и остальных AV нам резона нет, это наши конкуренты. Можем добавить лечение "AV_block_remover" и подобных папок, которые создают ваши утилиты анализа. Пришлите список таких папок в личку - добавим их в лечение.

 

 

5 часов назад, thyrex сказал:

ни в ЛС, ни на оффоруме ничего писать не собираюсь


Тогда это жалоба ради жалобы. Улучшений волшебным образом не случится.
 

 

1 час назад, akoK сказал:

+++ к логам, майнер "недолечен" из-за батника которого нет в базах, хотя по данным opentip детект еще с  26 мая, 2023 висит Trojan.Win32.Agent.sb


К сожалению не понял к чему это. Напишите, пожалуйста, в личку детали.

Опубликовано

Добрый день.

 

Проблемы, связанные с противодействием со стороны нежелательного ПО процессу установки продукта действительно бывают. Техники очень разные.

 

Мы отказались от полностью автоматизированных механизмов, встроенных в инсталлятор нашего продукта, решающих такие инциденты, т.к. не все классы возникающих в процессе установки AV продукта проблем можно решить такими средствами. Понимая, что обособленная утилита все равно понадобиться – решили сосредоточить силы именно на ней.

 

Когда мы говорим про механизмы противодействия AV решениям мы должны понимать, что AV вендоры тут действительно всегда в роли догоняющих -  нет никакого смысла выпускать в паблик зловреда, механизмы которого не работают в момент его публикации.

Специфика “догонять” в конкретном случае еще и в том, что о методах, которыми нам противодействуют, мы узнаем только по факту обращений пользователей в нашу поддержку. Другими словами – источников информации с помощью которых мы могли бы проактивно реагировать на такие техники крайне мало.

 

Попытки самостоятельного решения таких проблем приносят пользы меньше, чем могли бы: если бы конкретные проблемы должным образом оформлялись в виде обращений в службу поддержки, где они бы решались квалифицированными инженерами, то решения выливались бы в новые процедуры лечения, получаемые KVRT и KRD посредством обновлений антивирусных баз. Это приносило бы пользу всем, снимая нагрузку и с форума и с неравнодушных людей, желающих предоставить помощь.

 

Теперь касаемо конкретных проблем невозможности установки AV продукта, затронутых в ветке:

С сожалением мы готовы констатировать, что артефактов, прикрепленных к упомянутым веткам с проблемами недостаточно, чтобы диагностировать и локализовать проблемы. А попыткам получить более широкий фидбек препятствуют политики kasperskyclub/нежелание пострадавших.

 

Мы понимаем, что это очень чувствительная проблема и предлагаем дальнейшие работы по подобным кейсам вести следующим образом:

  • со своей стороны мы готовы предоставить исчерпывающую инструкцию по сбору диагностической информации, необходимой инженерам для локализации и исправления проблем. 
    Ждем от вас предложений/пожеланий, кому предоставить/куда опубликовать инструкцию.
  • собранную диагностическую информацию будем ожидать от вас в виде обращений по официальным каналам в нашу службу поддержки или сюда.
  • в максимально сжатые сроки вы будете получать WA, а спустя некоторое время процедуры лечения в KVRT и KRD будут пополняться разобранными кейсами.

 

Спасибо.

 

С уважением, Владислав Пинтийский.

Руководитель отдела развития антивирусных технологий.

Опубликовано
1 час назад, Vladislav P. сказал:

А попыткам получить более широкий фидбек препятствуют политики kasperskyclub/нежелание пострадавших.

Всё что просил ваш коллега я дал и даже больше. Если что-то нужно ещё, то пишите в ЛС. 

Опубликовано
23.06.2023 в 17:20, Vladislav P. сказал:

Теперь касаемо конкретных проблем невозможности установки AV продукта, затронутых в ветке:

С сожалением мы готовы констатировать, что артефактов, прикрепленных к упомянутым веткам с проблемами недостаточно, чтобы диагностировать и локализовать проблемы.

  

22.06.2023 в 19:19, Yury S. сказал:

Основная задача KVRT - пролечить активное заражение и дать установиться основному продукту ЛК (KIS, KES и др).

Cудя по свежей статье в базе знаний, техподдержка обладает необходимой информацией для диагностирования и локализации данной проблемы.

 

Опубликовано (изменено)
23.06.2023 в 14:11, Yury S. сказал:

Лечить ESET, Bitdefender и остальных AV нам резона нет, это наши конкуренты.

Честно, я думаю, что антивирусная утилита должна чистить полностью все "хвосты" вируса, а не частично, даже если это как-то затрагивает конкурентов,  все-таки репутация важнее и я хотел бы, что после использование утилиты мне не приходилось запускать утилиту конкурента, чтобы дополнительно дочистить "хвосты" вируса или выполнять доп. действия.

23.06.2023 в 17:20, Vladislav P. сказал:

Мы отказались от полностью автоматизированных механизмов, встроенных в инсталлятор нашего продукта, решающих такие инциденты, т.к. не все классы возникающих в процессе установки AV продукта проблем можно решить такими средствами.

Очень плохо, все-таки для самых популярных проблем стоило решить в рамках инсталлятора. :(

  

23.06.2023 в 17:20, Vladislav P. сказал:

AV вендоры тут действительно всегда в роли догоняющих

Это понятно, но догонять нужно чуть-чуть быстрее, а не годами ;), хотя бы за месяца 2-3.

 

23.06.2023 в 17:20, Vladislav P. сказал:

KRD посредством обновлений антивирусных баз

Увы, KRD уже достаточно современные устройства просто не поддерживает, либо не грузиться, либо другая проблема... до обновления баз там не дойти.

 

23.06.2023 в 17:20, Vladislav P. сказал:

собранную диагностическую информацию будем ожидать от вас в виде обращений по официальным каналам в нашу службу поддержки

Наверно все-таки у вас должно быть достаточно диагностических данных для локализации этой проблемы, особенно которые обращаются по официальным каналам, как минимум Get System Info (GSI) пользователи присылают. Вот пример темы, где видно что на заднем фоне завершено сканирование утилиты, но при этом ошибка установки сохраняется:

https://forum.kaspersky.com/topic/не-устанавливается-34708

Можно еще посмотреть из этого раздела последние темы штук 20-30 и также заметите, что утилита не до конца все чистит последствия и не все детектирует, пример:

 

Изменено пользователем Friend
Опубликовано

@akoK уже отправил скачанный с торрента дроппер. Пусть изучают, может и с хэлперами поделятся результатами (но вероятность этого близка к нулю). Хотя за всё это время в компании могли бы потрудиться сами раздобыть образцы. В вирлабе куда больше возможностей, в т.ч. и по снятию протектора, которым защищены все последние версии майнера.

Опубликовано
21.06.2023 в 22:26, Friend сказал:

То есть проблема не в утилите KVRT, а в том что уже несколько месяцев, даже лет не могут победить этот майнер.

Вообще-то этот майнер хелперам известен минимум с июня 2020.

Про скорость решения проблем с KVRT можно посмотреть на примере темы: https://forum.kaspersky.com/topic/не-могу-запустить-kvrt-28479/

Цитата

зафиксировали проблему про блок по имени, а исправили только 25 мая 2023.

 

Насчёт того, что KVRT не может решить все проблемы в его защиту добавлю, что этот майнер действительно очень часто обновляется. При этом активно автором майнера отслеживаются наши утилиты и даже в коде майнера майнера встречались и оскорбления в наш адрес. В частности в адрес @Sandor

И порой вношу изменения в утилиту, а уже через два дня выходит новая версия майнера в которой эти изменения учтены. Учитывая скорость доработок KRVT то понятно, что с подобным он справиться не сможет.

 

А насчёт доп. информации за эти годы я не раз отправлял дропперы этого майнера в вирлаб. Так что образцы у них были, в том числе и знакомым аналитикам тоже скидывал и знаю, что его поведение изучали.

23.06.2023 в 14:11, Yury S. сказал:

Можем добавить лечение "AV_block_remover" и подобных папок, которые создают ваши утилиты анализа.

Просьба тогда добавить и папку "AutoLogger". Она точно также блокируется майнером и эта утилита которая используется в каждой теме тут для запроса логов.

И она также на основе AVZ.

 

Кстати, по поводу AVZ. Я понимаю, что тут отвечают представили команды разработки KVRT, а AVZ это к Олегу Зайцеву, но он также является часть KVRT поэтому надеюсь получить ответ на вопрос.
Уже много лет есть проблема, что вирусы, в том числе и вышеупомянутый майнер блочит даже полиморный AVZ. При чём блочит элементарно по классу окна. Почему нельзя в полиморфе менять его название?

Олегу про это писал, хеши вируса ему тоже скидывал,  тем не менее уже несколько лет этот вопрос (и не только этот) без ответа.

  • Согласен 1
Опубликовано (изменено)

Апдейт по теме.

 

  

21.06.2023 в 22:26, Friend сказал:

большинство пользователей хотят, чтобы продукт при установке сам автоматический исправлял это все  (не хватает прав на папку, сам правил это и т.п.)


Написал разработчика продукта - проблему исправили. С KASPERSKY 21.14 права на папки будут восстанавливаться в инсталлере.

 

22.06.2023 в 08:26, andrew75 сказал:

@Friend все правильно написал. Вопросы прежде всего к разработчикам антивируса (причем обоих веток). У меня есть тикет в ТП, по поводу невозможности установки продукта из-за действий майнера. Два с половиной года назад мне ответили, что проблема известна и будет исправлена в следующей версии. Сколько за это время вышло новых версий? А воз и ныне там. 


См выше. Почему ТП не смогла продавить изменения не знаю. Возможно было мало жалоб от платных пользователей.


 

21.06.2023 в 15:20, Friend сказал:

В целом видел статью в базе знаний: https://support.kaspersky.ru/kaspersky-for-windows/troubleshooting/installation/15974 , но все-таки хотелось бы без "лишних телодвижений" установить продукт.


Выглядит что статья устарела, т.к. "лишние телодвижения" сейчас выполняются автоматом в KVRT. Возможно исправим статью.

 

 

23.06.2023 в 12:33, akoK сказал:

+++ к логам, майнер "недолечен" из-за батника которого нет в базах, хотя по данным opentip детект еще с  26 мая, 2023 висит Trojan.Win32.Agent.sb


Разобрались в личке, был недетект BAT файла. Исправили и доработали автодетект.

 

 

23.06.2023 в 08:13, thyrex сказал:

Вот пример темы. Утилита запустилась, но проблему с последствиями решить не смогла.


Разобрались в личке, был недетект MSI файла. Исправили и доработали детект.
 

 

26.06.2023 в 15:49, Friend сказал:


В конце года планируем выпуск новой версии KRD. Наверняка будет бета тестирование, следите за анонсами.
 

 

7 часов назад, regist сказал:

Просьба тогда добавить и папку "AutoLogger". Она точно также блокируется майнером и эта утилита которая используется в каждой теме тут для запроса логов.

И она также на основе AVZ.


Добавили в KVRT лечение папки AutoLogger и других лечащих утилит, которые используются на этом форуме. Уже доступно в публичном KVRT.
 

 

7 часов назад, regist сказал:

Кстати, по поводу AVZ. Я понимаю, что тут отвечают представили команды разработки KVRT, а AVZ это к Олегу Зайцеву, но он также является часть KVRT поэтому надеюсь получить ответ на вопрос.


Сейчас AVZ не входит в KVRT.

 

 

7 часов назад, regist сказал:

Уже много лет есть проблема, что вирусы, в том числе и вышеупомянутый майнер блочит даже полиморный AVZ. При чём блочит элементарно по классу окна. Почему нельзя в полиморфе менять его название?

Олегу про это писал, хеши вируса ему тоже скидывал,  тем не менее уже несколько лет этот вопрос (и не только этот) без ответа.


Напишу Олегу.

 

Изменено пользователем Yury S.
  • Спасибо (+1) 2
Опубликовано
42 минуты назад, Yury S. сказал:

Разобрались в личке, был недетект MSI файла. Исправили и доработали детект.
 

Очень сомневаюсь, что этот инсталлятор имеет функционал дроппера, который меняет настройки системы. Даже если и встречается в темах с майнером. Дело было в том "мусоре" для сторонних АВ-решений, с которым практически справился AVBR.

 

Меня больше интересует, получилось ли снять обертку Themida и получить оригинал AutoIt-скрипта.

Опубликовано

По этому майнеру есть ещё версия которая отбирает права у пользователей и единственная учётка с правами админа остаётся учётка Джона.
В этом случае продукты ЛК получается вообще бесполезны, в том числе и KRD и опять остаётся надежда только на самопальные Live CD.

А в KRD похоже даже редактор реестра убрали :(.

 

  • 1 месяц спустя...
Опубликовано

Майнер эволюционирует, а KVRT так и не умеет с ним справиться

Неужели так трудно проверять задачи Планировщика и настроить эвристику на подозрительные батники?

  • Like (+1) 2
Опубликовано
19.08.2023 в 16:09, thyrex сказал:

Майнер эволюционирует, а KVRT так и не умеет с ним справиться

Да, кажись майнер еще начал создавать ветки ключей, которые мешают установки антивируса.

@regist  будет доработана утилита с учетом "новых" фишек майнера?

  • Like (+1) 1

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Yann
      Автор Yann
      Добрый день!
      Проблема с вирусом/майнером, нагружал CPU до максимальных значений и система в целом была нестабильна.
      При открытии диспетчера задач несколько раз автоматически закрывал его или сбрасывал нагрузку на процессор, впрочем через другие утилиты мониторинга нагрузку можно было наблюдать постоянно.
      Попытался скачать Dr.Web что бы провести скан, поскольку защитник винды ничего не показал, но вирус не дал запустить экзешник установщика из за отсутствия прав администратора.
      После этого я не на шутку перепугался и полностью снес винду, отформатировал/удалил каждый раздел на дисках и установил новую.
      Первым же делом скачал Dr.Web, в этот раз установка прошла без проблем и я провел полный скан который ничего не нашёл, посчитав что проблемы окончены начал скачивать гугл хром, но при попытке установки его экзешника антивирус заругался на угрозу и поместил экзешник и ещё один файл,в карантин и брэндмауер указал что процесс updater.exe пытается выйти в сеть и разумеется я запретил ему это, при этом я снова получил ошибку об отсутствии необходимых прав.
      После этого система кажется стабильной, ошибки с правами и повышенной нагрузки я не наблюдаю, провел ещё проверку с помощью Kaspersky Virus Removal tool и все было чисто, но я совершенно не уверен в том что так будет всегда и хотел бы получить экспертное мнение.
      Прикладываю логи автологера и скриншот файлов попавших в карантин:

      CollectionLog-2025.08.22-04.48.zip
    • Amurkin
      Автор Amurkin
      Добрый день! Новый ноутбук стал сильно греться даже в простое. Подозреваю майнер. Прошу помочь!CollectionLog-2025.08.09-12.09.zip
    • Isik
      Автор Isik
      Малварбайт обнаружил процесс исходящего траффика в пути- C:\Users\user\AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC, потом это появлялось снова и снова. В диспетчере задач обнаружил три процесса Setup, которые ведут к папке 2xzjMMUGjeobOYtjoc0gOuMKKHC в Temp. Что это такое не пойму, никогда ничего подобного не видел. Заранее благодарю.
    • Vovkaproshka
      Автор Vovkaproshka
      После установки лоадера впнов появился процесс setup нагружает только оперативку.
      Doctor  web antivirus удаляет три трояна, после сетап пропадает из процессов, после перезагрузки процесс снова появляется, думаю прикрепился к какому-то приложению, через безопасный режим также после удаления и перезагрузки загружается,  находится по пути AppData\Local\Temp\2xzjMMUGjeobOYtjoc0gOuMKKHC
    • wekai
      Автор wekai
      помогите с майнером. пытался по уже доступному туториалу удалить его, но у меня он всё еще сохранился. прикрывается под update.exe.
      Где обитает:
      1 - в скрытой папке C:\Users\cinem\AppData\Local\Microsoft\Edge\System, папку невозможно увидеть, только перейти через строку адреса проводника;
      появляется каждые минут 10 после закрытия, сам закрывает диспечер задач, если компьютер стоит афк.
      вообще в точности похожая ситуация с этим постом, может быть у меня что-то не так я не знаю. надеюсь на вашу помощь и отклик.
       
×
×
  • Создать...