Перейти к содержанию

Рекомендуемые сообщения

  В 21.06.2023 в 11:40, Viktor сказал:
  В 21.06.2023 в 07:22, Friend сказал:

1. Пытаются ли разработчики продукта решить проблему с установкой антивируса после действия майнера, чтобы пользователи лишний раз не обращались в поддержку и антивирус сам удалял все последствия майнера после успешной установки, пример, одной темы на форуме? Или же майнер сильнее?

Показать  

Решение проблемы есть – это Kaspersky Virus Removal Tool. На вопрос на форуме наш сотрудник сегодня ответит. Борьба малвары и антивируса – это борьба меча и щита, и те и другие совершенствуют свои техники и тактики.

Показать  

 

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 33
  • Создана
  • Последний ответ

Топ авторов темы

  • thyrex

    7

  • Viktor

    6

  • Friend

    4

  • andrew75

    4

  В 23.06.2023 в 05:13, thyrex сказал:

Вот пример темы. Утилита запустилась, но проблему с последствиями решить не смогла.

Показать  

 

Из словесного описания неясно что происходит. Запрошу логи.

 

  В 23.06.2023 в 05:13, thyrex сказал:

Или вот еще пример логов после лечения утилитой в переименованном виде. Для родной папки права исправлены, а остальное кому оставлено? Это пародия, а не лечение.

Показать  


Про это я писал "Основная задача KVRT - пролечить активное заражение и дать установиться основному продукту ЛК (KIS, KES и др)". Лечить ESET, Bitdefender и остальных AV нам резона нет, это наши конкуренты. Можем добавить лечение "AV_block_remover" и подобных папок, которые создают ваши утилиты анализа. Пришлите список таких папок в личку - добавим их в лечение.

 

 

  В 23.06.2023 в 05:13, thyrex сказал:

ни в ЛС, ни на оффоруме ничего писать не собираюсь

Показать  


Тогда это жалоба ради жалобы. Улучшений волшебным образом не случится.
 

 

  В 23.06.2023 в 09:33, akoK сказал:

+++ к логам, майнер "недолечен" из-за батника которого нет в базах, хотя по данным opentip детект еще с  26 мая, 2023 висит Trojan.Win32.Agent.sb

Показать  


К сожалению не понял к чему это. Напишите, пожалуйста, в личку детали.

Ссылка на комментарий
Поделиться на другие сайты

Добрый день.

 

Проблемы, связанные с противодействием со стороны нежелательного ПО процессу установки продукта действительно бывают. Техники очень разные.

 

Мы отказались от полностью автоматизированных механизмов, встроенных в инсталлятор нашего продукта, решающих такие инциденты, т.к. не все классы возникающих в процессе установки AV продукта проблем можно решить такими средствами. Понимая, что обособленная утилита все равно понадобиться – решили сосредоточить силы именно на ней.

 

Когда мы говорим про механизмы противодействия AV решениям мы должны понимать, что AV вендоры тут действительно всегда в роли догоняющих -  нет никакого смысла выпускать в паблик зловреда, механизмы которого не работают в момент его публикации.

Специфика “догонять” в конкретном случае еще и в том, что о методах, которыми нам противодействуют, мы узнаем только по факту обращений пользователей в нашу поддержку. Другими словами – источников информации с помощью которых мы могли бы проактивно реагировать на такие техники крайне мало.

 

Попытки самостоятельного решения таких проблем приносят пользы меньше, чем могли бы: если бы конкретные проблемы должным образом оформлялись в виде обращений в службу поддержки, где они бы решались квалифицированными инженерами, то решения выливались бы в новые процедуры лечения, получаемые KVRT и KRD посредством обновлений антивирусных баз. Это приносило бы пользу всем, снимая нагрузку и с форума и с неравнодушных людей, желающих предоставить помощь.

 

Теперь касаемо конкретных проблем невозможности установки AV продукта, затронутых в ветке:

С сожалением мы готовы констатировать, что артефактов, прикрепленных к упомянутым веткам с проблемами недостаточно, чтобы диагностировать и локализовать проблемы. А попыткам получить более широкий фидбек препятствуют политики kasperskyclub/нежелание пострадавших.

 

Мы понимаем, что это очень чувствительная проблема и предлагаем дальнейшие работы по подобным кейсам вести следующим образом:

  • со своей стороны мы готовы предоставить исчерпывающую инструкцию по сбору диагностической информации, необходимой инженерам для локализации и исправления проблем. 
    Ждем от вас предложений/пожеланий, кому предоставить/куда опубликовать инструкцию.
  • собранную диагностическую информацию будем ожидать от вас в виде обращений по официальным каналам в нашу службу поддержки или сюда.
  • в максимально сжатые сроки вы будете получать WA, а спустя некоторое время процедуры лечения в KVRT и KRD будут пополняться разобранными кейсами.

 

Спасибо.

 

С уважением, Владислав Пинтийский.

Руководитель отдела развития антивирусных технологий.

Ссылка на комментарий
Поделиться на другие сайты

  В 23.06.2023 в 14:20, Vladislav P. сказал:

А попыткам получить более широкий фидбек препятствуют политики kasperskyclub/нежелание пострадавших.

Показать  

Всё что просил ваш коллега я дал и даже больше. Если что-то нужно ещё, то пишите в ЛС. 

Ссылка на комментарий
Поделиться на другие сайты

  В 23.06.2023 в 14:20, Vladislav P. сказал:

Теперь касаемо конкретных проблем невозможности установки AV продукта, затронутых в ветке:

С сожалением мы готовы констатировать, что артефактов, прикрепленных к упомянутым веткам с проблемами недостаточно, чтобы диагностировать и локализовать проблемы.

Показать  

  

  В 22.06.2023 в 16:19, Yury S. сказал:

Основная задача KVRT - пролечить активное заражение и дать установиться основному продукту ЛК (KIS, KES и др).

Показать  

Cудя по свежей статье в базе знаний, техподдержка обладает необходимой информацией для диагностирования и локализации данной проблемы.

 

Ссылка на комментарий
Поделиться на другие сайты

  В 23.06.2023 в 11:11, Yury S. сказал:

Лечить ESET, Bitdefender и остальных AV нам резона нет, это наши конкуренты.

Показать  

Честно, я думаю, что антивирусная утилита должна чистить полностью все "хвосты" вируса, а не частично, даже если это как-то затрагивает конкурентов,  все-таки репутация важнее и я хотел бы, что после использование утилиты мне не приходилось запускать утилиту конкурента, чтобы дополнительно дочистить "хвосты" вируса или выполнять доп. действия.

  В 23.06.2023 в 14:20, Vladislav P. сказал:

Мы отказались от полностью автоматизированных механизмов, встроенных в инсталлятор нашего продукта, решающих такие инциденты, т.к. не все классы возникающих в процессе установки AV продукта проблем можно решить такими средствами.

Показать  

Очень плохо, все-таки для самых популярных проблем стоило решить в рамках инсталлятора. :(

  

  В 23.06.2023 в 14:20, Vladislav P. сказал:

AV вендоры тут действительно всегда в роли догоняющих

Показать  

Это понятно, но догонять нужно чуть-чуть быстрее, а не годами ;), хотя бы за месяца 2-3.

 

  В 23.06.2023 в 14:20, Vladislav P. сказал:

KRD посредством обновлений антивирусных баз

Показать  

Увы, KRD уже достаточно современные устройства просто не поддерживает, либо не грузиться, либо другая проблема... до обновления баз там не дойти.

 

  В 23.06.2023 в 14:20, Vladislav P. сказал:

собранную диагностическую информацию будем ожидать от вас в виде обращений по официальным каналам в нашу службу поддержки

Показать  

Наверно все-таки у вас должно быть достаточно диагностических данных для локализации этой проблемы, особенно которые обращаются по официальным каналам, как минимум Get System Info (GSI) пользователи присылают. Вот пример темы, где видно что на заднем фоне завершено сканирование утилиты, но при этом ошибка установки сохраняется:

https://forum.kaspersky.com/topic/не-устанавливается-34708

Можно еще посмотреть из этого раздела последние темы штук 20-30 и также заметите, что утилита не до конца все чистит последствия и не все детектирует, пример:

 

Изменено пользователем Friend
Ссылка на комментарий
Поделиться на другие сайты

@akoK уже отправил скачанный с торрента дроппер. Пусть изучают, может и с хэлперами поделятся результатами (но вероятность этого близка к нулю). Хотя за всё это время в компании могли бы потрудиться сами раздобыть образцы. В вирлабе куда больше возможностей, в т.ч. и по снятию протектора, которым защищены все последние версии майнера.

Ссылка на комментарий
Поделиться на другие сайты

  В 21.06.2023 в 19:26, Friend сказал:

То есть проблема не в утилите KVRT, а в том что уже несколько месяцев, даже лет не могут победить этот майнер.

Показать  

Вообще-то этот майнер хелперам известен минимум с июня 2020.

Про скорость решения проблем с KVRT можно посмотреть на примере темы: https://forum.kaspersky.com/topic/не-могу-запустить-kvrt-28479/

  Цитата
Показать  

зафиксировали проблему про блок по имени, а исправили только 25 мая 2023.

 

Насчёт того, что KVRT не может решить все проблемы в его защиту добавлю, что этот майнер действительно очень часто обновляется. При этом активно автором майнера отслеживаются наши утилиты и даже в коде майнера майнера встречались и оскорбления в наш адрес. В частности в адрес @Sandor

И порой вношу изменения в утилиту, а уже через два дня выходит новая версия майнера в которой эти изменения учтены. Учитывая скорость доработок KRVT то понятно, что с подобным он справиться не сможет.

 

А насчёт доп. информации за эти годы я не раз отправлял дропперы этого майнера в вирлаб. Так что образцы у них были, в том числе и знакомым аналитикам тоже скидывал и знаю, что его поведение изучали.

  В 23.06.2023 в 11:11, Yury S. сказал:

Можем добавить лечение "AV_block_remover" и подобных папок, которые создают ваши утилиты анализа.

Показать  

Просьба тогда добавить и папку "AutoLogger". Она точно также блокируется майнером и эта утилита которая используется в каждой теме тут для запроса логов.

И она также на основе AVZ.

 

Кстати, по поводу AVZ. Я понимаю, что тут отвечают представили команды разработки KVRT, а AVZ это к Олегу Зайцеву, но он также является часть KVRT поэтому надеюсь получить ответ на вопрос.
Уже много лет есть проблема, что вирусы, в том числе и вышеупомянутый майнер блочит даже полиморный AVZ. При чём блочит элементарно по классу окна. Почему нельзя в полиморфе менять его название?

Олегу про это писал, хеши вируса ему тоже скидывал,  тем не менее уже несколько лет этот вопрос (и не только этот) без ответа.

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты

Апдейт по теме.

 

  

  В 21.06.2023 в 19:26, Friend сказал:

большинство пользователей хотят, чтобы продукт при установке сам автоматический исправлял это все  (не хватает прав на папку, сам правил это и т.п.)

Показать  


Написал разработчика продукта - проблему исправили. С KASPERSKY 21.14 права на папки будут восстанавливаться в инсталлере.

 

  В 22.06.2023 в 05:26, andrew75 сказал:

@Friend все правильно написал. Вопросы прежде всего к разработчикам антивируса (причем обоих веток). У меня есть тикет в ТП, по поводу невозможности установки продукта из-за действий майнера. Два с половиной года назад мне ответили, что проблема известна и будет исправлена в следующей версии. Сколько за это время вышло новых версий? А воз и ныне там. 

Показать  


См выше. Почему ТП не смогла продавить изменения не знаю. Возможно было мало жалоб от платных пользователей.


 

  В 21.06.2023 в 12:20, Friend сказал:

В целом видел статью в базе знаний: https://support.kaspersky.ru/kaspersky-for-windows/troubleshooting/installation/15974 , но все-таки хотелось бы без "лишних телодвижений" установить продукт.

Показать  


Выглядит что статья устарела, т.к. "лишние телодвижения" сейчас выполняются автоматом в KVRT. Возможно исправим статью.

 

 

  В 23.06.2023 в 09:33, akoK сказал:

+++ к логам, майнер "недолечен" из-за батника которого нет в базах, хотя по данным opentip детект еще с  26 мая, 2023 висит Trojan.Win32.Agent.sb

Показать  


Разобрались в личке, был недетект BAT файла. Исправили и доработали автодетект.

 

 

  В 23.06.2023 в 05:13, thyrex сказал:

Вот пример темы. Утилита запустилась, но проблему с последствиями решить не смогла.

Показать  


Разобрались в личке, был недетект MSI файла. Исправили и доработали детект.
 

 

  В 26.06.2023 в 12:49, Friend сказал:
Показать  


В конце года планируем выпуск новой версии KRD. Наверняка будет бета тестирование, следите за анонсами.
 

 

  В 29.06.2023 в 14:06, regist сказал:

Просьба тогда добавить и папку "AutoLogger". Она точно также блокируется майнером и эта утилита которая используется в каждой теме тут для запроса логов.

И она также на основе AVZ.

Показать  


Добавили в KVRT лечение папки AutoLogger и других лечащих утилит, которые используются на этом форуме. Уже доступно в публичном KVRT.
 

 

  В 29.06.2023 в 14:06, regist сказал:

Кстати, по поводу AVZ. Я понимаю, что тут отвечают представили команды разработки KVRT, а AVZ это к Олегу Зайцеву, но он также является часть KVRT поэтому надеюсь получить ответ на вопрос.

Показать  


Сейчас AVZ не входит в KVRT.

 

 

  В 29.06.2023 в 14:06, regist сказал:

Уже много лет есть проблема, что вирусы, в том числе и вышеупомянутый майнер блочит даже полиморный AVZ. При чём блочит элементарно по классу окна. Почему нельзя в полиморфе менять его название?

Олегу про это писал, хеши вируса ему тоже скидывал,  тем не менее уже несколько лет этот вопрос (и не только этот) без ответа.

Показать  


Напишу Олегу.

 

Изменено пользователем Yury S.
  • Спасибо (+1) 2
Ссылка на комментарий
Поделиться на другие сайты

  В 29.06.2023 в 21:19, Yury S. сказал:

Разобрались в личке, был недетект MSI файла. Исправили и доработали детект.
 

Показать  

Очень сомневаюсь, что этот инсталлятор имеет функционал дроппера, который меняет настройки системы. Даже если и встречается в темах с майнером. Дело было в том "мусоре" для сторонних АВ-решений, с которым практически справился AVBR.

 

Меня больше интересует, получилось ли снять обертку Themida и получить оригинал AutoIt-скрипта.

Ссылка на комментарий
Поделиться на другие сайты

По этому майнеру есть ещё версия которая отбирает права у пользователей и единственная учётка с правами админа остаётся учётка Джона.
В этом случае продукты ЛК получается вообще бесполезны, в том числе и KRD и опять остаётся надежда только на самопальные Live CD.

А в KRD похоже даже редактор реестра убрали :(.

 

Ссылка на комментарий
Поделиться на другие сайты

  • 1 месяц спустя...

Майнер эволюционирует, а KVRT так и не умеет с ним справиться

Неужели так трудно проверять задачи Планировщика и настроить эвристику на подозрительные батники?

  • Like (+1) 2
Ссылка на комментарий
Поделиться на другие сайты

  В 19.08.2023 в 13:09, thyrex сказал:

Майнер эволюционирует, а KVRT так и не умеет с ним справиться

Показать  

Да, кажись майнер еще начал создавать ветки ключей, которые мешают установки антивируса.

@regist  будет доработана утилита с учетом "новых" фишек майнера?

  • Like (+1) 1
Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Flawor_Swift
      Автор Flawor_Swift
      Доброго времени суток! В состоянии покоя через некоторое время ноутбук начинает сильно шуметь, как будто бы я на нем активно активно работаю. Из необычного еще  окно "Безопасность  Windows" При открытии фризит и выдает черный экран на пару минут. Другие проявления типичные майнеру, по типу невозможности зайти на сайты, создавать папки или запускать антивирусы отсутствуют.  KVRT и Cureit  не нашли ничего вредоносного

      CollectionLog-2024.11.14-01.14.zip
    • Fast_diesel
      Автор Fast_diesel
      Касперский тотал секьюрити вирус HEUR: Trojan. Multi.GenBadur.genw Расположение: Системная память, после лечения с перезагрузкой опять его нашел, а потом лечение с перезагрузкой и опять он тут. KTS его тоже находит, лечит, но после перезагрузки он опять тут. Windows 11, с последними обновлениями.
      Данная проблема возможно появилась после скачивания и установки игр с Torrent с сайта https://stoigr.org/dlya-geimpada/10267-hogwarts-legacy.html
      CollectionLog-2024.11.08-21.18.zip
    • wolfson
      Автор wolfson
      Доброго дня. Столкнулся с проблемой. На компьютере, вероятно, был майнер который загружал ссд и оперативку. Решил переустановить виндовс 10, но к несчастью, после перезагрузки, всё заканчивается на выборе носителя с установенной ОС Windows с сайта производителя. До этого хотел обновить биос и всё делал по инструкции с сайта материнки, но процесс зависает и пишет, что файл поврежден. После, по видосикам с ютуба, скачал avbr и miner search, всё делал по инструкции. И, вроде как, всё хорошо, но переустановить виндовс всё так же не получается. С биосом такая же проблема. 
      Люди добрые, огромнейшая просьба подсказать как справиться с данной проблемой. Спасибо заранее.
    • Medoed Stepa
      Автор Medoed Stepa
      Недавно заметил что у меня очень сильно начал греться процессор, после запуска компьютера, FPS  начал проседать и.т.д
      Захожу в диспетчер задач вначале высокая загрузка, потом падает ( на форумах говорится что это нормально в первые 2-3с пока диспетчер задач считывает информацию), но  проблема в том что заходя через приложение MyASUS, показывается загрузка процессора которая в среднем составляет 30-40%, при только открытом этом приложении , дальше при открытии диспетчера задач загрузка падает до 3%  что в диспетчере задач что в приложении , но при закрытии сразу возрастает до 40%, так же сегодня заметил что если отключить интернет то загрузка тоже падает . Одним словом майнер в чистом виде.
      Писать бы на форум не стал не попробовав базовые способы решения , что было сделано: полная проверка через KVRT , Dr web Cureit , ручная проверка через монитор ресурсов , все виды проверок через Microsoft Defender (он кстати нашел троян и 1 вирус, но всё равно удалив их проблема не решилась)
       Физические проблемы с процессором и видеокартой сомнительны так как при запуске приложений-игр ,производительность заметно возрастает если держать свернутым диспетчере задач (производительность не возрастала бы в обратном случае)
      Все драйвера обновлены до последних версий и windows тоже, так же проверял на системные сбои через приложение LatencyMon (проблемы не были найдены)
      Из последнего ,что запускал необычного обходы для dicord и youtube  -Zapret , через командные строки , А так всегда пользуюсь только лицензированным ПО  и соблюдаю цифровую гигиену.
      Есть предположение что так как Zapret был запущен через командую строку от имени администратора ,антивирусы не могут его найти так как считают его расширением или программным ПО - Приложением (на данный момент  Zapret был деинсталлирован через командную строку (предположительно)) 
       
      Снизу прикрепил ,то что нашел Microsoft Defender
       
       


    • David Faker
      Автор David Faker
      Здравствуйте. Недавно скачал Microsoft Office и, видимо, там попался майнер. Долго боролся с ним. Еле запустил avbr. Потому что даже смена имени и директории не помогала. Вирус запрещал использовать msconfig, диспетчер задач, разнообразные службы Windows, в некоторых ситуациях запрещал использование CMD
       
      После первой попытки запустить AVbr - видимо сработала какая-то защита майнера и он обрубал все попытки разобраться в проблеме, не давая ничего сделать в этом направлении.
       
      Если кто встречался - поможет запуск AVbr в безопасном режиме.
       
      Помогите пожалуйста понять, удалился ли майнер с компьютера, а также остались ли хвосты. Прилагаю файлы с FRST. Заранее, спасибо вам большое
      FRST.txt Addition.txt
×
×
  • Создать...