Jump to content

WhKitten

Members
  • Content Count

    172
  • Joined

  • Last visited

Everything posted by WhKitten

  1. http://forum.kaspersky.com/index.php?s=&am...t&p=2115463 скачайте приклеплённый скрипт, запустите (пароль на архив virus) и подтвердите добавление в автозагрузку и перезагрузку компьютера, нажав два раза любую клавишу (понятно дело, что подтверждения я добавил специально и их можно из скрипта убрать удалив команду pause).
  2. http://forum.kaspersky.com/index.php?s=&am...t&p=2115463 reg add %KEY_AUTORUN% /v %VIRUS_NAME% /t REG_SZ /d "\"%~0\" StartEicar" /f
  3. Сейчас да, но скрипт прописывается в автозагрузку вообще-то и этот код выполняется только после перезагрузки компьютера и антивирус вирус в этом случае не всегда обнаруживает.
  4. Выполните эти безобидные четыре команды в Пуск\Выполнить\cmd при включённом антивирусе увидите вирус. set VIRUS_EXE="%Temp%\AVTest.exe" echo X5O^!P%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE^!$H+H* > %VIRUS_EXE% echo * starting virus %VIRUS_EXE%
  5. Тема про то, что KAV и KIS могут не блокировать вирусы в автозагрузке, а не про то, что они не блокируют непонятные скрипты. Непонятные скрипты антивирус блокировать не должен, блокировать скрипт при записи в автозагрузку тоже. А вот когда скрипт распаковал известный вирус, который в базах, уже должен сработать антивирус. Тут писалось, что компьютер не может быть заражён при включённом антивирусе и вирус не может быть прописаться в автозагрузку, но я вроде продемонстрировал, что это не так. Можно конечно всё свалить на пользователя, но лично я сталкивался, когда надо запускать подозрительные файлы (когда перепрошивал телефон, к примеру) и нужно нажимать Allow в диалогах антивируса. А так естественно любое заражение вина пользователя. И одно дело, когда антивирус не блокирует непонятный скрипт, а другое дело, когда антивирус не блокирует, распакованный этим скриптом известный вирус. Я думаю, если пользователь получить сообщение о том, что скрипт распаковывает известный вирус, он его немедленно захочет завершить и проверить свой комп. Но если он получит сообщение, что это просто непонятный скрипт, то он его может и запустить и скорей всего запустит.
  6. Не должен. Но я думаю пользователь не хотел бы запускать EICAR, который в базе вирусов антивируса в отличие от скрипта, который может и не вирус.
  7. Пользователь скачал файл с Интернета, запустил и в диалоге антивируса на запуск он непременно нажмёт Block? Почему? Он уже принял решения запустить этот файл, когда скачивал и запускал.
  8. Не, ну это не Use Case. Давайте с "безопасными" настройками по умолчанию. А тут у некоторых вообще только KAV, какой у них HIPS? @echo off echo Antivirus Startup Protection Test Script set KEY_AUTORUN="HKCU\Software\Microsoft\Windows\CurrentVersion\Run" set VIRUS_NAME="AVTest Eicar Virus Startup Script" set VIRUS_EXE="%TEMP%\%~n0.exe" set VIRUS_LOG="%TEMP%\%~n0.log" if "%1"=="StartEicar" goto :start_eicar echo * removing file from autostart reg delete %KEY_AUTORUN% /v %VIRUS_NAME% /f echo * adding file to autostart pause reg add %KEY_AUTORUN% /v %VIRUS_NAME% /t REG_SZ /d "\"%~0\" StartEicar" /f echo * rebooting computer pause shutdown -r -f -t 0 goto :eof :start_eicar echo * unpacking virus echo X5O^!P%%@AP[4\PZX54(P^^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE^!$H+H* > %VIRUS_EXE% echo * starting virus %VIRUS_EXE% echo ****************************************************************************** echo ERRORLEVEL: %errorlevel% (0 means virus execution) if errorlevel 216 goto :fail if errorlevel 1 goto :pass goto :fail goto :eof :pass echo GOOD ANTIVIRUS PASS THE TEST! pause goto :eof :fail echo VERY BAD, ANTIVIRUS FAIL THE TEST! pause goto :eof Забыл добавить удаление вируса. Этот скрипт вирус не удаляет - удалять надо вручную AVTest.exe из %TEMP% или дождаться когда антивирус загрузиться и удалит. Или командой del %Temp%\AVTest.exe чтобы удалить из автозагрузки надо запустить скрипт и закрыть окно AVTest.7z
  9. Настройки сбрасывали на настройки по умолчанию? Ничего не пингуется с настройками по умолчанию?
  10. Если не вылезла, значит не запустился. :-) У меня вылезала, видимо компьютер послабее.
  11. Перетестировал, но подождал 5 минут на экране входа в систему (ввода логина и пароля) - KIS заблокировал EICAR... т.е. видимо драйвер не успевает до конца загрузится... Мой скрипт в 14ом сообщении темы. http://forum.kaspersky.com/index.php?s=&am...t&p=2115200 Хороший пример как вирус может запустится, скрипт антивирусом недетектируется, отключать его не надо. При запуске скрипт создаёт EICAR и пытается его запустить. Но, как я сейчас выяснил на быстром компьютере может и не воспроизводится... PS. Могу переписать скрипт, чтобы он добавлял себя в автозагрузку, но это ИМХО лишнее...
  12. А как вы узнаете, дал ли КИС ему запустится или нет? Почему не: EICAR запустился, отработал, а Каспеский нашёл его уже после этого. Воспользуйтесь моим скриптом, там это очевидней. У меня EICAR очень хорошо запускается. Буду рад, если мне подскажут галку, которая ему не позволит. Типа притормозить загрузку ОС до загрузки антивируса.
  13. Ну, а на видео что делают? Только там более опасная вещь, чем EICAR. А мой скрипт чем хуже, запускается по автозагрузке, создаёт EICAR и запускает его (удачно)? Этого недостаточно? После выполнения EICAR с компьютера удаляется, так что к старту антивируса детектировать уже нечего... но malware к примеру могло вывести из строя антивирус, зашифроваться и прочее.
  14. Попробовал. Удалил скрипт из Trusted, распаковал его сразу в папку Автозагрузка в меню пуск. Перезагрузил компьютер. Вирус запустился. Антивирус даже его не заметил. Это поведение отключается? Я не требую детекта моего скрипта написанного сегодня, я требую 100% детекта для известного вируса EICAR в базах всех антивирусов!
  15. Можно не добавлять. Что изменится, если я сразу в автозагрузку скрипт положу и комп ребутну?
  16. так у Вас ничего не пингуется, причём тут антивирус вообще?
  17. Version 6.3.9600 вот версия Windows 8.1 настоящая. У Вас видимо Preview.
  18. Не ну это не нормально... Windows 8.1 64-bit, KIS 2013 path I, галка Consede operating system resources at computer startup не стоит. Написал скрипт (во вложении, пароль virus, добавил в Trusted группу) поместил в автозагрузку. При загрузке получаю: Antivirus Startup Protection Test Script This code is not a virus, but an antivirus should detect an unpacked virus at least after start. * unpacking virus * starting virus This version of AVTest.exe is not compatible with the version of Windows that you're running. Check your computer's system information and then contact the software publisher. * open log file Т.е. вирус запустился, но он несовместим с 64-битными версиями Windows. Если бы это был не EICAR то компу конец. Антивирус кстати ругнулся только через минуту. Собсно сейчас понял, что в Trusted группу можно не добавлять - сразу в автозагрузку достаточно... AVTest.7z
  19. Настройки сбросили по умолчанию? Программы в Trusted группах? Без антивируса точно пинг и трассировка работает?
  20. Сбросьте настройки антивируса на настройки по умолчанию ( http://support.kaspersky.ru/6273 ). Выполните tracert -d 8.8.8.8 и tracert -d login.p1.worldoftanks.net Добавьте игру и все программы Microsoft в Trusted группу. Поищите какие-нибудь подозрительные записи в отчётах антивируса.
  21. http://www.kaspersky.ru/internet-security-downloads у меня качается: kis14.0.0.4651ru-ru.exe это разве патч B? если выбрат EN качается kis14.0.0.4651aEN_4879.exe
  22. Английская по ссылке выше, с 5096 и буквами ab в названии установщика?
  23. В 99% процентов случаев в документации про "открыть порты" пишут какую-то чушь. Игнорируйте это. Вам не нужно открывать никакие порты, чтобы играть в WorldOfTanks.exe, просто разрешите игре выход в Интернет, добавив в Trusted группу. А если отключить антивирус игра работает? Если отключить только файрволл? Что-то мне подсказывает, что дело вообще не в этом...
  24. Положим драйвер антивируса блокирует доступ к вирусам после запуска. Запускаются драйвера до входа пользователя в систему и до userinit - очень рано, но этого достаточно, чтобы заблокировать 100% вирусов, которые не прописались, как драйвер или в MBR. В MBR или в качестве драйвера вирусы теперь прописываться не могут. Windows имеет встроенный механизм защиты. UEFI Secure Boot не позволяет прописываться вирусам в MBR и в качестве драйверов, так как BIOS и Windows не загружают неподписанный код. Правда всё это, начиная с Windows 8.
  25. Нету русской версии для Windows 8.1. Ждите или ставьте английскую: http://downloads-am.kasperskyamericas.com/...51abEN_5096.exe Или антивирус уже стоит, но не работает?
×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.