Перейти к содержанию

Как победить taskkill /IM avp.exe ?


Илья Беккер

Рекомендуемые сообщения

Видновс 7, касперский интернет сектьюрити последний

 

У меня сын научился обходить родительский контроль касперского, вырубает он его по схеме 

 

 

 

ЛЮБИМЫЙ СПОСОБ - через консоль! Для начала создадим BAT-файл в корне какого-нить диска для этого зайдем в блокнот и напишем для верности три строки - "taskkill /IM avp.exe /F" без ковычек разумеетсяsmile.gif)) А три для того чтобы грохнуть все процессы ибо можно заметить в диспечере задач два процесса Касперского. И сохраняем файл как "c:\1.bat" (опять без ковычекsmile.gif)) ) Пол дела сделаноsmile.gif)) А ща заходим в консоль - Пуск - Выполнить CMD и вводим комманду "at 18:02 c:\1.bat /interactive" поясню - at это консольный вариант планировщика заданий, 18:02 эт время НО не текущее, а на минуту-две больше текущего (эт уже от скорости печати в английской раскладке зависит), c:\1.bat - наш файл разумеется и /interactive комманда интеративного запуска программы от имени пользователя SYSTEM который имеет прав больше чем админ. Сейчас ждем назначенного времени и.... Касперский вылетаетsmile.gif))) У этого способа есть существенные преимущества - не нужно перезагружаться и присутствует элемент творчестваsmile.gif))

 

Ну так как он уже взрослый, учится на программиста (пока в школе еще) у нас началось нечто вроде соревнования, которое мы не скрываем.

Я пытаюсь защитить каспера - он его обойти.

 

В итоге я даел ему обычную учетку (у меня запароленная админская). Так он через биос загружается в лайф СД и по схеме выше опять вырубает касперского.

 

Причем перезагрузка не воскрешает каспера - он остается убитым навсегда, процессы его выключены и вручную не запускаются.

Помогает только переустановка.

 

Так же я замтеил в настройках процесса касперского что он на 1-2 сбой должен перезапускаться, а на дальнейшие сбои ничего.

Я попытаося изменить эту опцию чтобы он всегда перезапускался - но "Ошибка доступа", хотя я админ и в настройках Диска С у меня тоже все привелегии.

 

В общем помогите, как победить taskkill /IM avp.exe  ?

Изменено пользователем Илья Беккер
Ссылка на комментарий
Поделиться на другие сайты

А отключить загрузку со всех устройств кроме диска и запоролить БИОС не пробовали?

 

Описанный вами способ не должен помогать при загрузке с LiveCD/USB.

Думаю он использует что-то другое. Например просто удаляет файл avp.exe, как вариант.

Изменено пользователем andrew75
Ссылка на комментарий
Поделиться на другие сайты

Наверное никак. Знание сила.

 

паролить БИОС не выход - найдет отвёртку, вскроет корпус и сбросит БИОС.

Изменено пользователем Денис-НН
Ссылка на комментарий
Поделиться на другие сайты

Ну пока так и сделал - запаролил биос, а с ним договорились что он не будет трогать батарейку :)))

Так он зараза через какую то перемычку сбрасывает пароль :)))

В общем пока сильно закрутил корпус, а отвертка есть только у меня :)))

 

Но хотелось бы как нить программно ...

Изменено пользователем Илья Беккер
Ссылка на комментарий
Поделиться на другие сайты

Реальной защиты от специалиста нет. Иначе бы при любом сбое защиты комьпьютер приходилось бы выкидывать. Если есть физический доступ к компьютеру то всегда есть возможность получить доступ к данным. (шифрование всего диска в вашем случае не вариант).

 

Остаётся радоваться знаниям ребёнка.

Изменено пользователем Денис-НН
Ссылка на комментарий
Поделиться на другие сайты

Вы считаете что сложно найти отвертку? )

При загрузке с внешнего носителя с системой можно сделать все что угодно.

Изменено пользователем andrew75
Ссылка на комментарий
Поделиться на другие сайты

 

 


Так он через биос загружается в лайф СД и по схеме выше опять вырубает касперского.
я не совсем понял вот эту фразу. Может в безопасный режим?
Ссылка на комментарий
Поделиться на другие сайты

Ну может и в безопастный. А разве в безопасном учетные записи не действуют? Что он будет делать в безпастном со своей обычной учетки?

Ссылка на комментарий
Поделиться на другие сайты

Есть конечно дополнительные средства защиты от подобных атак, но они предназначены для организаций. В них как раз реализован контроль целостности, который в таких случаях спасает. На КЦ ставится тот же антивирус, настройки биоса. И при следующем изменении всего этого, обычный пользователь не сможет авторизоваться, будет заблокирован до момента пока админ не решит вопрос.

Отличная усложненая задача для вашего ребёнка)) Такое СЗИ можно вполне легально найти на оф сайтах с лицензией.

P.S перезагрузка в безопасносный режим ему тут не поможет.

Ссылка на комментарий
Поделиться на другие сайты

я не совсем понял вот эту фразу. Может в безопасный режим?

ТС не знает точно, что делает сын, он просто предполагает.

Думаю он грузится с внешнего носителя и удаляет какие-то файлы антивируса.

Ссылка на комментарий
Поделиться на другие сайты

 

 


обычный пользователь не сможет
Если есть доступ к телу, то создать себе ещё одну учётку с правами админа не проблема. Тут уже ставить пароль на БИОС, потом пломбу на системник и договариваться, что пломбу он трогать не будет. При желание конечно всё равно можно найти обход, но тогда будет уже сложней.
Ссылка на комментарий
Поделиться на другие сайты

Если есть доступ к телу, то создать себе ещё одну учётку с правами админа не проблема.

не получиться. Учётка проходит верификации в СЗИ.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • jobsdata
      От jobsdata
      Добрый день. Столкнулся с такой проблемой.
      На 2024 год купили лицензию на 100 ПК, скачал с оф. сайта установщик 12 версии.
      Ставлю чистую Windows 8.1, ставлю Агента администрирования, ставлю KES 12.
      При установке драйверов на принтера (один по USB, другой по сети), все ставится, принтера печатают пробные страницы, НО в Устройствах и принтерах их НЕ видно!
      Зайти в программу, например в Word, в списке принтеров их можно выбрать, они печатают.
      Потом через какое то время они появляются в Устройствах и принтера.
      Ставил так на 4 компьютера (Windows 8.1, Агента, KES) - вроде жалоб пока нет, что не видно принтера.
       
      Сейчас поставил на 2 ПК (Windows 8.1, Агента, KES) - пробные страницы ОК. На следующий день отваливается Сетевой принтер - не доступен.
       
      В общем что я хотел спросить, где в KSC отключить так, чтоб Kaspersky вообще не приставал к принтерам? Не к сетевым, не по USB которые...
       
      Я в KSC, в Политике, добавил все принтера (см. картинку)
       
      Поможет мне это?

    • Евгений223
      От Евгений223
      Грузит компьютер ужасно,при попытке открыть диспетчер,он закрывается,при попытке загуглить ваш сайт закрывает браузер,при любой попытке запроса как удалить майнер закрывает браузеры.
    • NKTN
      От NKTN
      Всем доброго времени суток!
      Второй день пытаюсь победить данный майнер, тщетно - качественно пробрался в недры системы(
      AutoLogger вырубает на запуске! AV block - результатов нет. Вроде пишет, что нашел лишнего пользователя и даже как будто всё удаляет, но при перезагрузке всё на месте. Такое ощущение, что где то прописана копия глубоко... не чистка реестра ни удаление всего, что напоминает файлы winserv.exe, taskhost.exe и taskhostw.exe, результатов не приносит(
      Научился руками его рубить. В свойствах папок снимаю галку со "скрывать системные файлы", в диспетчере задач вырубаю их (winserv.exe, taskhost.exe и taskhostw.exe), пока он тупит и не рубит мне окно, открываю путь к папкам где все это лежит и удаляю. После этого все работает нормально, но после перезагрузки всё опять возвращается.
      К сообщению прикладываю файл CollectionLog-2023.08.21-22.56.zip проверка выполнена в "Безопасном режиме"
      CollectionLog-2023.08.21-22.56.zip
    • nilitos
      От nilitos
      Откуда то подцепил microsofthosts со всеми вытекающими. Avbr не запускается и так далее
×
×
  • Создать...