Jump to content

King Arthur

Members
  • Content count

    115
  • Joined

  • Last visited

About King Arthur

  • Rank
    Cadet

Recent Profile Visitors

457 profile views
  1. Понятно. Могли уже пофиксить, я в саппорт параллельно с форумом написал. Либо в разных версиях разная реакция. Пока не могу проверить - комп далеко. Это всё конечно замечательно, но когда детектится банальная команда командной строки в файле, который даже не является исполняемым - это таки перегиб. KAV не впервые палки в колёса вставляет моим скриптам. В прошлый раз благодаря ложному детекту curl'a он пролечил батник вырезав все строки, где он упоминался (так же, как он лечил hosts). Благо, сейчас вся автоматика переведена на ручной режим.
  2. Написал команду для автозапуска и только успел сохранить её в текстовый файл на рабочем столе, как KAV заорал дурным голосом, что мол обнаружен вирус Trojan.BAT.StartPage.nz, реакция была на команду start "" /MIN cmd /c D:\PORTAB~2\STREAM~1.6\streamripper.exe "http://jfm1.hostingradio.ru:14536/metal.mp3" -D "%q - %A - %T" -d d:\records\ Я конечно всё понимаю, но по моему со стороны эвристики это перегиб. Или это не эвристика, а сигнатуры ? Логи посмотреть не успел.
  3. Которые за столько времени никто не отловил и не заметил во время бета-тестинга ? Хм ... Вы сами-то пробовали восстановить данные даже через 5 минут после их удаления на системном разделе, когда у вас уже работает браузер с десятками вкладок, ворохом софта и подкачкой ? Я пробовал. В eula есть такой пункт ? Если не затруднит, процитируйте. Возьмите любой детектируемый объект и пропишите его в качестве команды в bat, к примеру call eicar.com, а потом просканьте файл. Как вариант запустите батник на выполнение. Антивирус детектируемый объект должен залочить/удалить, а батник "пролечить" от "невалидных" строк. Чуть позже проделаю это у себя, когда комп будет в зоне досягаемости. Задам. Только неясно тогда зачем этот форум, ежели разработчики сюда не заглядывают.
  4. То есть то, что антивирус ведёт себя в данной ситуации как самый натуральный вирус портя данные своим алгоритмом лечения и не делая при этом резервных копий (ака карантин) упорно игнорируется ? Ну ОК, чё. Мне трудно было предположить, что антивирус может испортить данные, но на будущее я учту этот фактор. Раздел системный, подкачка там же, кластеры давно перезаписаны. Есть хорошее выражение - "работает - не трогай". Последний реинсталл касперского привёл к постоянному падению оного и последующему реинсталлу системы ибо никакие пляски с бубном не помогали. Ну а коль вы это считаете старьём, почему для данного продукта до сих пор поддерживаются базы и выпускаются патчи ? Так вероятно или исправлен ? Хотя это в принципе не сложно проверить - на другой машине у меня есть 18-й kav, так что на досуге поиграюсь с eicar'ами и с прочими "ложными" срабатываниями, но хотелось бы услышать комментарий разработчиков ибо проблема ведь серьёзная.
  5. Пришёл мейл от вирусдеска Теперь осталось разобраться с проблемой означенной постом выше.
  6. Отправил файл в virusdesk, проверил на virustotal https://www.virustotal.com/ru/file/3ea539370cd70ce9946910a1fb5e955f567e36166cd4de165ecbb5a800f4209e/analysis/1518795284/ реакция лишь у KAV и zonealarm (2/67), а судя по последнему, кем-то проведённому скану, 5 дней назад, там было по нулям. *** Теперь вернёмся к исходной проблеме - как восстановить то, что наудалял из моего bat-скрипта антивирус ?
  7. А я думал фильтр форума его не пропустит, но раз выгрузка прошла не стал удалять. Меня не ложное срабатывание интересует, а то что последовало далее и то, как мне вернуть похеренные антивирусом данные.
  8. В данном случае антивирус повёл себя как вирус, удалив данные и не предоставив возможности для отката. Теперь получается, если включён автомат в настройках скана/файлового антивируса, то строки, которые содержат любой exe-к, который будет признан антиврусом заражённым, будет выпилен из используемых батников (а только ли их ???) без возможности вернуть всё назад ? Это звездец товарищи.
  9. Сегодня, при использовании curl'a KAv (15-й версии) завопил что мол бинарник нехороший и хотя является легальной программой (угу, скачан с одного из ресурсов рекомендованного сайтом разработчика), может быть использован мошенниками и бла-бла-бла. И только я потянулся, дабы ткнуть кнопку "добавить в исключения" как KAV самовольно грохнул файл (повторилось дважды после восстановления из карантина), при том что в настройках проверки стояло "Информировать". Сейчас я уже понял, что эта настройка отвечает именно за проверку, а у файлового антивируса есть отдельная менюшка за ползунком. Только вот какая заковыка вылезла - KAV помимо "пролечивания" бинарника произвёл выпил всех строк с его содержанием из батника, не занося информации об этом в лог и не добавляя файлы в карантин. Есть запись о переносе батника в группу слабых ограничений, но это произошло спустя 7 минут после модификации и 2 минуты после добавления exe в исключения. И что мне теперь делать ??? Как восстановить результаты работы ? Сколько ещё батников KAV таким образом мог "погрызть" ? Свежих точек отката и бэкапов нет - от KAV я такой подлянки не ожидал. curl.exe
  10. Хоть с сетевыми атаками определились, но всё равно конкретики мало. Что у конкретно отвалится у фильтрации активности ? Опять же - на кой этот фильтр в KAV, если атаки фильтрует KIS ? Мутный элемент для рядового юзера одним словом А в верхних версиях он ещё и интегрирован в ядро антивируса, как я понимаю, мда ... Кстати, кто-нибудь на верхних версиях KIS проверял перегон данных на гигабитной сети ? В 100-мегабитной ограничивающий предел упирается в потолок 100 мегабитной сети и проблема может быть не заметна.
  11. Я рассчитывал на подобный ответ Только там не объясняется для чего ОН перехватывает пакеты. Если не для веб-фильтрации, то для чего ? Информация в той статье аналогична статье о сепулении сепулек
  12. Работает. Только этот метод не работает - скорость стабильно низкая, т.е. ничего не дезактивируется, хотя внешне отключается (возможно сработает после ребута, но я не проверял). Нашёл другой, более корректный (и рабочий) способ. Если судить по тому, что после выключения фильтра скорость стабильно возрастает втрое, а после стабильно падает втрое, думаю да - прозрачно. Да и чего вы взяли что я полностью отключаю фильтр ? Я его деактиаирую спустя n-e время после старта, а потом спустя n-e время включаю назад. BSOD'ами и глюками меня не напугаешь, я их достаточно нахватался когда столкнулся с недокументированной несовместимостью с Sandboxie 3.7 (недокументированной, потому что инсталлер KIS не признал этот софт несовместимым). При отключении/включении фильтра дестабилизации ОС не наблюдается. p.s. Движок глючит - всовывает в цитаты чужие имена. p.p.s Кстати, может просветите, за что ndis фильтр конкретно отвечает ? Мне казалось, он обеспечивает перехват траффика и веб-фильтрацию, только вот ежели его отключить, веб-фильтрация продолжает работать (браузерные плагины KAV/KIS отключены к слову), тогда встаёт резонный вопрос, а чем занимается ndis-фильтр тогда ??? Чем он занимается в KAV ? Чем он занимается в KIS ?
  13. Можно было сказать "штатными средствами этого не сделать, но я не в курсе как", тем более после того как я переспросил. Ответ данный вами выше подразумевал, что вы знаете решение. Ну тогда сорри - камень в ваш огород попал случайно Ослабление будет происходить лишь на время трансфера массивного объёма данных. Без ndis-фильтра это происходит втрое быстрее, далее фильтр вручную включается назад (см. батник в посте выше).
  14. andrew75, я так понимаю, проблемы индейцев шерифа не волнуют ? Так или иначе, решение я нашёл сам, это утилита - http://ss64.com/nt/nvspbind.html ID для unbinding'a "Kaspersky Anti-Virus NDIS 6 Filter" можно найти тут : HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4d36e974-e325-11ce-bfc1-08002be10318}\{C477F579-9F31-474D-86CC-E1567F0BFD1D} в ключе ComponentId В ветке чуть выше HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Network\{4d36e974-e325-11ce-bfc1-08002be10318} можно найти другие ветки, с идентификаторами фильтров воткнутых другим софтом. Тут можно найти список стандартных идентификаторов и примеры работы с программой https://stackoverflow.com/questions/33971179/enabling-disabling-network-adapter-property-programmatically Программа на дух не переносит русский язык и "Подключение по локальной сети" надо переименовать во что-то англоязычное, например "Network". Финальная команда будет такой nvspbind.exe /d "Network" KL_KLIM6 ну а батник, ради которого это всё затевалось, будет такой @echo off nvspbind.exe /d "Network" KL_KLIM6 pause nvspbind.exe /e "Network" KL_KLIM6 p.s. А 18-й KIS я тем не менее проверю, но позднее когда у меня будет достаточно свободного времени
  15. Ну я ещё поинтересуюсь в паре мест, касательно этого вопроса, но не думаю, что ответ будет сильно отличатся от ответа данного на форуме веба Производитель о заразе не знал, его подсунул субподрядчик аутсорсер, так что умышленное распространение вредоносного ПО не пришьёшь.
×

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.