Jump to content
Autopsy

KTS и Mutabaha

Recommended Posts

Добрый вечер господа.

 

Не имея возможности найти общий язык с поддержкой, решил обратиться на форум. Небольшая вводная: осталось немного до времени очередного продления лицензии, но тут KTS подкинул мне сюрприз, который объективно заставляет меня сомневаться в том, что, скажем, этого будет достаточно.

 

Итак, лицензия на 2 ПК, второй ПК у матери, с которым она мягко говоря на "вы". Обратилась с банальной жалобой: количество рекламы в браузере превзошло разумные пределы. Я подключился и довольно быстро наткнулся на следующие проблемы:

 

1) Поиск в Google, Youtube рандомно кидал на рекламу во всю вкладку

2) В KTS была жалоба на потенциальную опасность пары файлов в директори "Program Files/Elex-tech/YAC" но попытки лечения были импотентныбеспомощны

3) Удалить директорию этого YAC было невозможно, оказы досттупа, включая отказ доступа при смене прав

4) От отчаяния был скачан Dr.WEB CureIt, он и обнаружил в этой директорию целую плеяду вариаций Adware.Mutabaha

6) CureIt удалил около 24 экземпляров, но 6 из них появлялись на прежнем месте

7) Полное сканирование CureIt нашло драйвера от этой Мутабахи, и после лечения отвалилась сеть. Видимо он и до сети добрался. После перезагрузки сеть восстановилась. Все проблемы исчезли.

 

Немного из общения с поддержкой [орфоргафия сохранена]:

Я: Это Adware?

Они: Проверка приложения не выявило угроз

Я: Не могли бы вы тогда пояснить, каковы критерии в вашем понимании adware и не adware?

Они: Мы с удовольствием бы ответили на Ваши вопросы, но к сожалению они относятся не в нашей компетенции

 

И теперь вопрос: как бы Вы поступили на моём месте? Сочли бы вы достаточным для защиты всего лишь продлить лицензию на флагманский продукт Kaspersky?

 

Спасибо

 

post-9683-1476114220_thumb.jpg

Share this post


Link to post

Жаловаться в ТП надо было только не неспособность удалить файл.

2) В KTS была жалоба на потенциальную опасность пары файлов в директори "Program Files/Elex-tech/YAC" но попытки лечения были импотентныбеспомощны

Детект есть, но почему не может удалить обнаруженный файл - это проблема.

Share this post


Link to post
Жаловаться в ТП надо было только не неспособность удалить файл.

 

Детект есть, но почему не может удалить обнаруженный файл - это проблема.

 

Как я выше указывал, 6 файлов Mutabaha просто восстанавливал после удаления, включая эти два со скриншота

Share this post


Link to post
Детект есть, но почему не может удалить обнаруженный файл - это проблема.

Скорее всего не проблема.

Вся адвара в авторежиме детектится, и.... все.

Запрос на лечение можно получить только в ручном режиме, либо (если авторежим) - то опять же - ручками тыкуть на "исправить проблему"

Share this post


Link to post
И теперь вопрос: как бы Вы поступили на моём месте?

Послал бы проблемный драйвер в Вирлаб.

Потому как лечения нет не почему-то там, а из-за отсутствия детекта.

Share this post


Link to post
Послал бы проблемный драйвер в Вирлаб.

Потому как лечения нет не почему-то там, а из-за отсутствия детекта.

Дроппер я передал в поддержку, было бы желание его изучить, вместе с тем что он тянет. Хотя может быть и изучили, но теперь непонятно, либо это линия партии на недетект таких Adware-й, и тогда продления лицензии на KTS не будет достаточно, либо смотрели только то что я передал, тогда это просто бесполезная поддержка, и с этим хоть и трудно, но можно жить.

 

Кстати раз поддержка написала что Адвари там нет, я этот архив креплю к заявке (кстати exe-шник с валидной ЭЦП). Кто доверится Касперскому и установит, слабо (шутка)? yet_another_cleaner_sfto.rar

Edited by Autopsy

Share this post


Link to post
Кстати раз поддержка написала что Адвари там нет, я этот архив креплю к заявке (кстати exe-шник с валидной ЭЦП). Кто доверится Касперскому и установит, слабо (шутка)? yet_another_cleaner_sfto.rar

Подпись как раз таки заблокирована. ;)

 

А что насчет техподдержки, то думаю мы с вами оба хорошо понимаем, что поддержка не решает вопросы вида "а не вирус ли это". ;)

Вот если у вас окошко антивируса не открывается, или там установка завершается ошибкой - то тогда вам туда.

 

Share this post


Link to post

Не слабо. Что негативного ожидать?

При установке КИС (2018) в интерактивном режиме выдавал много запросов, ну как и положено. после переключения в автоматический примолк. По окончании установки обнаружил рекламные модули, удалил их.

1) Поиск в Google, Youtube рандомно кидал на рекламу во всю вкладку

Поиск в яндексе в гугле проблем не показал. Рекламы не добавилось. IE и firefox/

post-174146-1476127492_thumb.png

post-174146-1476127499_thumb.png

post-174146-1476127506_thumb.png

post-174146-1476127512_thumb.png

Edited by Денис-НН

Share this post


Link to post
Не слабо. Что негативного ожидать?

При установке КИС (2018) в интерактивном режиме выдавал много запросов, ну как и положено. после переключения в автоматический примолк. По окончании установки обнаружил рекламные модули, удалил их.

 

Поиск в яндексе в гугле проблем не показал. Рекламы не добавилось. IE и firefox/

Было бы интересно теперь пройтись по system32 CureIt-ом, если конечно K в интерактиве дал взлететь драйверам. Я очкую после этих танцев с бубном, простите

Share this post


Link to post

Норма. На диске С ничего только во временной папке остатки установщика их много , драйверов нет.

 

А в случае проблем поможет нам святой Акронис.

post-174146-1476128905_thumb.png

Edited by Денис-НН

Share this post


Link to post
И теперь вопрос: как бы Вы поступили на моём месте? Сочли бы вы достаточным для защиты всего лишь продлить лицензию на флагманский продукт Kaspersky?
если ТП не компетентна отвечать на мой вопрос, я бы попросил их запросить ответ от компетентых людей, в данном случае вирусных аналитоков.

если они утверждают, что проверка файлов угроз не выявила, то предоставил бы свои скриншоты на

В KTS была жалоба на потенциальную опасность пары файлов в директори

если мне в ручную не удаётся удалить файлы (а я бы удалял не при обычной загрузке ОС, а в безопасном режиме с поддержколй Командной строки), то есть раздел Борьба с вирусами, запросил бы помощи у консультантов, предоставив все необходимые логи.

В общем был бы благодарен, что АВ продукта Лаборатории известил об угрозе, огорчился бы, что угроза хорошо защищается от удаления програмным способом АВ продукта. Предпринял шаги для недопущения попадания на ПК мамы файлов, которые АВ продукт тем более все же детектирует как угрозы.

Лицензию бы продлил.

Share this post


Link to post

SafeNetFilter.sys - not-a-virus:AdWare.Win32.ELEX.yp

iSafeKrnlBoot.sys - not-a-virus:AdWare.Win32.ELEX.yo

 

Так что проверка и не могла найти, да и сейчас не сможет (обновление еще не вышло).

 

Послал бы проблемный драйвер в Вирлаб.

Потому как лечения нет не почему-то там, а из-за отсутствия детекта.

Share this post


Link to post

Детект видимо добавили, хотя немного странно - эвристический. Насчёт дальнейших действий нужно будет думать, потому что это на моей памяти третий случай с подменой сборок браузеров, записей в ярлыки каких-то странных параметров и прочих проникновений рекламы. К сожалению всех деталей я не знаю, что и как проникало, но я видел факты: есть антивирус, есть и явные следы крайне наглого поведения адвари. Неприятно что при этом приходится пользоваться сторонними инструментами.

 

Всем спасибо :supercool:

 

post-9683-1476207141_thumb.png

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.