Jump to content
Sign in to follow this  
Sapsan932

KIS пропускает вирус

Recommended Posts

Добрый день.

 

 

- Зашел на официальный сайт Driver Pack Solution. Скачал вышеназванный дистрибутив.

- Проверил репутацию скачанного файла в KSN перед запуском файла. Все "горит зеленым". Программака в KSN доверенная - более 10 тыс. пользователей ее используют.

- Проверил еще скачанный файл на вирусы KIS2016. Чисто.

- Ну раз Касперский говорит, что всё в порядке - запустил файл на исполнение. Название файла exe с оф. сайта: DriverPack-17-Online_665865928.1485887403 Обновил драйвера с помощью данной утилиты и получил вирус в системе, который прошляпили KIS и KSN.

- При запуске файла обнаружился вирус. Троян. Этот вирус удалить нельзя. Если Driver Pack Solution не запущен - вирус не идентифицирует KIS. Как только вновь программу запускаю - KIS16 сразу идентифицирует вирус, но сделать с ним ничего не может. В карантин ничего не бросает. Просит перезагрузить, чтоб "устранить", перезагружаю. Не лечит. После перезагрузки PC - вирусов нет. Только запускаю Driver Pack Solution - KIS16 снова идентифицирует этот вирус и снова, чтобы устранить требует перезагрузиться... Три раза пробовал перезагружался по требованию KIS16. Результата ноль.

 

Если я удалю этот exe файл Driver Pack Solution - проблема, вероятно, уйдет. Но вопрос в том, что этот троян успел мне сделать на компе и на что будет влиять в дальнейшем. Ведь с помощью этого Driver Pack Solution, которого Касперский оценил, как "без вирусов" и "надёжный" я установил и обновил много драйверов... А KIS заставлял выполнять бесчисленные действия по перезагрузке с нулевым КПД устранения проблемы. Доверие к KIS и KSN подорвано в целом. Зачем они тогда нужны, если при проверке файла ими пишет, что вирусов нет, а при запуске этого же файла - вирус есть? Вопрос...

 

 

Share this post


Link to post
- При запуске файла обнаружился вирус. Троян.

Так вирус, или троян?

 

Этот вирус удалить нельзя. Если Driver Pack Solution не запущен - вирус не идентифицирует KIS. Как только вновь программу запускаю - KIS16 сразу идентифицирует вирус, но сделать с ним ничего не может. В карантин ничего не бросает. Просит перезагрузить, чтоб "устранить", перезагружаю. Не лечит. После перезагрузки PC - вирусов нет.

Почему ничего нельзя сделать, и почему не лечит, если после перезагрузки вирусов нет?

 

Только запускаю Driver Pack Solution - KIS16 снова идентифицирует этот вирус и снова, чтобы устранить требует перезагрузиться... Три раза пробовал перезагружался по требованию KIS16. Результата ноль.

Как же это результата ноль, если после перезагрузки вирусов нет?

 

Если я удалю этот exe файл Driver Pack Solution - проблема, вероятно, уйдет.

Совершенно не обязательно его удалять. Достаточно не запускать.

 

Но вопрос в том, что этот троян успел мне сделать на компе и на что будет влиять в дальнейшем.

На этот вопрос невозможно ответить, не имея файла.

 

Ведь с помощью этого Driver Pack Solution, которого Касперский оценил, как "без вирусов" и "надёжный" я установил и обновил много драйверов... А KIS заставлял выполнять бесчисленные действия по перезагрузке с нулевым КПД устранения проблемы.

Одно не исключает другого. Я понятия не имею как работает этот Driver Pack Solution, но рискну предположить, что если он качает файлы из Интернета, то просто подменив скачиваемый файл, можно получить не то, что хотелось бы.

Наконец, я не исключая и ложного срабатывания.

 

Доверие к KIS и KSN подорвано в целом. Зачем они тогда нужны, если при проверке файла ими пишет, что вирусов нет, а при запуске этого же файла - вирус есть? Вопрос...

Затем, что помимо проверки файлов есть еще и поведенческие детекты при исполнении, которые невозможно получить не запустив файл.

Share this post


Link to post
Так вирус, или троян?

KIS16 выдал (дословно) "вирус". И идентифицировал его далее, написав "троян". А вообще-то троян - это тоже вирус :)

Почему ничего нельзя сделать, и почему не лечит, если после перезагрузки вирусов нет?

Как же это результата ноль, если после перезагрузки вирусов нет?

Для этого я как раз и создал тему, чтобы узнать "почему?" KIS находит вирус только при включенном приложении. Я программу включил - KIS вирус идентифицировал. Хотя вируса там вообще быть не должно, о чем мне перед этим KIS на пару с KSN сказали. В карантин KIS не кинул, вылечить не смог, предлагает "устранить", требует для этого перезагрузку. Понятно, что устранив и перезагрузившись пользователь думает, что угроза устранена. После перезагрузки KIS не идентифицирует более вирусов на PC и не находит вируса при выборочном сканировании конкретно данного файла exe программы. Но при запуске этого же файла программы вирус появляется вновь. И так до бесконечности... Я же описал это уже ранее. У меня просьба, читать более внимательно.

Совершенно не обязательно его удалять. Достаточно не запускать.

<_< Тема не создана для того, чтобы спросить совета удалять ли мне этот файл или не запускать.

На этот вопрос невозможно ответить, не имея файла.

Как это не имея файла? Я подробно описал вплоть до ресурса местонахождения и до названия файла, где его можно скачать. Или Вы предлагаете загрузить кинуть файл с вирусом прям сюда или запостить активную ссылку? Это запрещено.

Одно не исключает другого. Я понятия не имею как работает этот Driver Pack Solution, но рискну предположить, что если он качает файлы из Интернета, то просто подменив скачиваемый файл, можно получить не то, что хотелось бы.

Это секрет Полишинеля, что троян маскируется под другие программы или подменяет скачиваемые файлы... Вопрос в том, что в KIS и KSN это доверенный и безвирусный файл. А мне теперь систему из-за Касперского откатывать... То, что у меня в KIS16 модуль "безопасные платежи" хронически не работает, я уже смирился... Но говорить, что вируса нет на файл, где он есть - это последняя капля! От такого ПО в последнее время больше проблем, чем пользы.

Наконец, я не исключая и ложного срабатывания.

Три раза подряд?? Я же писал. Сомневаюсь, что ложное. На оф. сайте компании в комментариях к продукту некто один из пользователей несколько часов назад также указал, что там вирус.

Затем, что помимо проверки файлов есть еще и поведенческие детекты при исполнении, которые невозможно получить не запустив файл.

При чем тут поведенческие детекты? Вирус в файле или есть, или его нет. KSN высвечивает файл доверенным, которым пользуются более 10 тыс. пользователей (интересно, у них у всех тоже вирус?), а KIS в нем вирусов не находит, пока файл не запущен. Смысл превентивной предпроверки антивирусом в том и состоит, чтобы этот вирус найти до того, как пользователь запустит файл exe и активирует вирус. Т.е., чтоб не дать этому случится. Вы же не проверяете исправность тормозов авто на скоростном спуске? Если тормоза не сработали, о чем детектирует факт аварии, то значит не исправные. Вы же хотите, чтобы тормоза были всегда исправные, чтоб аварии не случилось. В нашем случае, чтоб не случилось заражения PC вредоносным ПО. А чтоб видеть в системе "поведенческие детекты" вируса - антивирус для этого не нужен.

 

Уважаемый "Русский", спасибо за ответ, но у меня к Вам просьба не писать более не по существу конкретного вопроса.

Edited by Sapsan932

Share this post


Link to post
При чем тут поведенческие детекты? Вирус в файле или есть, или его нет.
При том, что, если не запускать файл, то KIS может найти вредонос только в том случае, если он есть в базах. Если в базах его нет, то антивирус исследует поведение файла и, в случае подозрения, определяет его как вредоносный. В этом случае бывают ложные срабатывания. Вы пишите, что KIS определяет его как троян, интересно было бы посмотреть каким компонентом он это делает.

Что мог натворить зловред? Да что угодно или ничего, если его сразу заблокировал антивирус.

И последнее - троян это не вирус.

Share this post


Link to post
KIS16 выдал (дословно) "вирус". И идентифицировал его далее, написав "троян".

Хотелось бы увидеть это на скриншоте.

 

А вообще-то троян - это тоже вирус :)

Да вот как раз такие ровно наоборот.

 

Для этого я как раз и создал тему, чтобы узнать "почему?" KIS находит вирус только при включенном приложении. Я программу включил - KIS вирус идентифицировал. Хотя вируса там вообще быть не должно, о чем мне перед этим KIS на пару с KSN сказали.

Еще раз, специально для тугодумов повторю:

1) Троян (или вирус) может СКАЧИВАТЬСЯ программой при скачивании драйверов. Тогда как внутри программы его нет (как нет и драйверов).

2) Троян (или вирус) может детектироваться по поведению программы, либо какой-то скачиваемой ею части драйверов. А потому детект всегда будет только после запуска.

3) Это может быть ложное срабатывание.

 

Как это не имея файла? Я подробно описал вплоть до ресурса местонахождения и до названия файла, где его можно скачать

Прошу прощения, но я не научился еще делать выводы по файлу на основании лишь его имени.

Скачайте его сами, и посмотрите, что там скачивается.

 

Три раза подряд?? Я же писал. Сомневаюсь, что ложное.

Да хоть сто раз. Да хоть пока рука запускать не отсохнет.

Детект будет до тех пор, покуда:

1) Скачивается то, что детектируется

2) В базах антивируса существует данная сигнатура.

И без разницы, ложное оно или не ложное.

 

На оф. сайте компании в комментариях к продукту некто один из пользователей несколько часов назад также указал, что там вирус.

Тем интереснее, что мешало ему указать, что там вирус два месяца назад, когда программа впервые появилась.

Может все дело как раз таки в том, что вируса в ней нет и никогда не было? :D

Edited by Русский

Share this post


Link to post
Антивирус не пишет "безвирусный". Он пишет "угроз не обнаружено" при проверке файла.
Ну и что? Ещё раз - в КИС есть МНОГО технологий обнаружения заразы. Одна из технологий заразу обнаружила. Может быть это действительно опасный файл, может ложное срабатывание. Читайте внимательнее.

 

Share this post


Link to post

Ну на самом деле как раз таки очень большая разница.

Нет в природе антивирусов, которые бы гарантировали, что вирусов нет. Есть только антивирусы, которые могут гарантировать, что они ничего не обнаружили. ;)

 

Владелец же темы может умышленно, а может по незнанию выдает второе за первое, на основании чего выдвигает какие-то претензии.

Share this post


Link to post

Весьма вероятно, что в скачанном файле его не было, а создаётся он при установке.

Share this post


Link to post
Еще раз, специально для тугодумов

Просьба не писать в теме.

Доктор веб определяет файл как потенциально опасную программу, но не как троянскую http://online4.drweb.com/cache/?i=67658153...44f66e522182fd4

Значит молодец, доктор веб. А Kaspersky Online Scanner определяет файл, как полностью "чистый".

34511892c205.png

Какой вывод предлагаете сделать? Сносить Касперского и ставить "доктор Веб", т.к. последний предупреждает пользователя о том, что не может Касперский? )

Возможно, автор темы намекает на то, что этот файл надо бы классифицировать как Riskware или not-a-virus, так как эта программа (Driver Pack Solution), возможно, скачивает какие-то файлы.

Да, именно. Какая-то пометка же для пользователя должна хоть быть. Я понимаю это так: есть путь, последовательность из пункта А в пункт Б. Пункт А (запуск вышеназванного exe файла программы) ведёт в пункт Б (установка вредоносного ПО на компьютер пользователя). KIS16 классифицирует пункт "А", как доверенную программу и без вирусов, но в пункте Б вредоносное ПО всегда появляется. Я вот не могу понять. Если в базах Касперского имеется данная угроза, которая классифицируется в пункте Б, при этом чётко известно, что вредоносное ПО в п"Б" всегда появляется после запуска пункта"А"- то почему же у Касперского пункт "А" - "чистая" доверенная программа а-ля без вредоносного ПО, если известна причинно-следственная связь появления вредоносного ПО после ее запуска? По-моему, вполне серьезный и логичный вопрос.

 

Подчеркну, имеется особенность. KIS16 детектирует это вредоносное ПО тогда, когда я просто включаю DRIVERPACKSOLUTION, но не выполняю с помощью него никаких действий. Программа предназначена для обнаружения и скачивания драйверов. Т.е. я ее просто включаю, но при этом с помощью программы я не скачиваю абсолютно никаких драйверов или ПО из интернета. Ничего. Тут же сигналит файловый антивирус. Напрашивается вывод, что в программу встроен какой-то код, который это делает даже тогда, когда пользователь ничего не скачивает сам. Т.е., похоже на то, что программа загружает сама, не маскируясь под другие программы при скачке их пользователем.

 

Sorry, вчера не было времени разб[/b][/b]ираться детально, делать скрины и расписывать подробно. Итак:

1) KSN детектирует файл так:

3ebd9f04e7bd.png

А выборочная проверка детектирует exe файл так:

afd89467801c.png

2) KIS16 детектирует вредоносное ПО так: HEUR:Trojan.Skript.StartPageTask.a

3) Путь файла указывает такой: C:\Users\...\AppData\Roaming\DRPSu\temp

4)При этом в папке по этому пути данный файл найти нельзя. Открыл скрытые папки, но и скрытого файла также нет.

5) Лечит оно его так:

fffac0f78fc3.png

6)KIS16 пишет, что обнаруженный файл будет удалён после перезагрузки компьютера. После рестарта обнаруживает его снова и снова. Т.е. и вылечить не может и в карантин не бросает.

А еще, если ввести в Яндекс HEUR:Trojan.Skript.StartPageTask.a, то первой строкой в поисковике выдаёт соседнюю ветку на фан-клубе Касперского https://forum.kasperskyclub.ru/index.php?showtopic=54272. Там тоже человек пишет про аналогичное HEUR:Trojan.Skript.StartPageTask.a, только оно у него лежит по другому пути в C:\Windows\System32 и установилось с какой-то другой программой. Так что проблема имеет место быть.

 

P.S. Спойлеры для удобочитаемости не получилось вставить на форум. Вставлял, как обычно, но форум, видимо, не принимает такой формат...

Edited by Sapsan932

Share this post


Link to post
Значит молодец, доктор веб. А Kaspersky Online Scanner определяет файл, как полностью "чистый".
34511892c205.png

Какой вывод предлагаете сделать? Сносить Касперского и ставить "доктор Веб", т.к. последний предупреждает пользователя о том, что не может Касперский? )

Ну раз вам так спокойнее - ставьте.

 

Да, именно. Какая-то пометка же для пользователя должна хоть быть. Я понимаю это так: есть путь, последовательность из пункта А в пункт Б. Пункт А (запуск вышеназванного exe файла программы) ведёт в пункт Б (установка вредоносного ПО на компьютер пользователя). KIS16 классифицирует пункт "А", как доверенную программу и без вирусов, но в пункте Б вредоносное ПО всегда появляется.

Вы неправильно понимаете. Вредоносное ПО МОЖЕТ появится после запуска данной программы. А может и не появится.

Ситуация совершенно аналогично работе ЛЮБОЙ программы, умеющие что-либо скачивать из интернета. Однако почему-то никто не просит задетектировать браузеры.

 

Я вот не могу понять. Если в базах Касперского имеется данная угроза, которая классифицируется в пункте Б, при этом чётко известно, что вредоносное ПО в п"Б" всегда появляется после запуска пункта"А"- то почему же у Касперского пункт "А" - "чистая" доверенная программа а-ля без вредоносного ПО, если известна причинно-следственная связь появления вредоносного ПО после ее запуска? По-моему, вполне серьезный и логичный вопрос.

Потому что между "А" и "Б" нет никакой прямой связи. Завтра после запуска программы "А" ничего вредоносного не появится, но зато начнет появляться после запуска программы "С".

 

Share this post


Link to post
Вы неправильно понимаете. Вредоносное ПО МОЖЕТ появится после запуска данной программы. А может и не появится. Ситуация совершенно аналогично работе ЛЮБОЙ программы, умеющие что-либо скачивать из интернета. Однако почему-то никто не просит задетектировать браузеры.

 

Да, ситуация была бы аналогична любой программе, умеющей что-либо скачивать из интернета (напр. браузер), если бы не одно "но". Когда я просто открываю браузер и ничего в нём не делаю и не загружаю - браузер не начинает тайно без участия пользователя проявлять активность скачивая и затем устанавливая какое-то вредоносное/ненужное ПО самостоятельно или выполнять какие-то скрипты. Данная программа тоже не должна, но она начинает. :)

 

Конечно, это очевидно, что вредоносное ПО может появится, а может и не появится. Т.е. вероятность 50% / 50%. Но в KSN файл доверенный, что вводит пользователя в заблуждение, указывая на то, что вероятность появления вредоносного ПО после запуска файла 0%. Доктор веб почему-то посчитал нужным написать, что файл заражен и в нём присутствует потенциально нежелательное ПО. Интересно - почему? (вопрос риторический, ответа не требует)

 

У меня проблемы, собственно, нет. Я зашел в безопасный режим и откатил систему на точку восстановления. И все дела. :D

 

Но пользуясь продуктами Касперского уже пятнадцатый год (и что-то с каждым годом наблюдаю все больше заморочек ) - просто посчитал нужным написать об этом тут, потому как всё же хотелось бы, чтобы о таких вещах, как ВОЗМОЖНОСТЬ установки нежелательного ПО - KIS предупреждал бы заранее (тем более, что HEUR:Trojan.Script.StartPageTask.a есть в его базе).

Share this post


Link to post
Да, ситуация была бы аналогична любой программе, умеющей что-либо скачивать из интернета (напр. браузер), если бы не одно "но". Когда я просто открываю браузер и ничего в нём не делаю и не загружаю - браузер не начинает тайно без участия пользователя проявлять активность скачивая и затем устанавливая какое-то вредоносное/ненужное ПО самостоятельно или выполнять какие-то скрипты. Данная программа тоже не должна, но она начинает. :)

А у меня начинает. Например он скачивает обновления для себя родимого.

 

Конечно, это очевидно, что вредоносное ПО может появится, а может и не появится. Т.е. вероятность 50% / 50%. Но в KSN файл доверенный, что вводит пользователя в заблуждение, указывая на то, что вероятность появления вредоносного ПО после запуска файла 0%. Доктор веб почему-то посчитал нужным написать, что файл заражен и в нём присутствует потенциально нежелательное ПО. Интересно - почему? (вопрос риторический, ответа не требует)

Вы вероятно невнимательно прочитали то, что написано выше.

Повторюсь:

 

Нет в природе антивирусов, которые бы гарантировали, что вирусов нет. Есть только антивирусы, которые могут гарантировать, что они ничего не обнаружили. ;)

 

Но пользуясь продуктами Касперского уже пятнадцатый год (и что-то с каждым годом наблюдаю все больше заморочек ) - просто посчитал нужным написать об этом тут, потому как всё же хотелось бы, чтобы о таких вещах, как ВОЗМОЖНОСТЬ установки нежелательного ПО - KIS предупреждал бы заранее (тем более, что HEUR:Trojan.Script.StartPageTask.a есть в его базе).

Фокус состоит в том, что его нет в базе ;)

И честно говоря, я лично несколько сомневаюсь, что это вредоносный файл.

Share this post


Link to post
Нет в природе антивирусов, которые бы гарантировали, что вирусов нет. Есть только антивирусы, которые могут гарантировать, что они ничего не обнаружили.

Слушайте, капитан, неужели Вы искренне полагаете и считаете, что это кому-то непонятно? Разве я писал/требовал 100% гарантий, что вирусов нет? Абсурд какой. Каждый знает, что ПО Касперского поставляется и работает на условиях "как есть"... Если Вам интересна та глобальная тематика, которую Вы мне постоянно зачем-то упорно повторяете и пытаетесь навязать - создайте свою тему, найдите единомышленников для общения.

 

Мой месседж заключался в другом, в пожелании, (после анализа той ситуации, что была у меня), что было бы хорошо, если бы антивирус сигнализировал/выдавал уведомление, при проверке/перед запуском файла, что существует вероятность установки нежелательного ПО если данный конкретный файл запустить. Не более, не менее. А пользователь увидев такое, принимал бы уже сам исходя из этого решение - запускать файл или нет. Пример. Я запустил этот файл. Прецедент установки вредоносного/нежелательного ПО при запуске данного файла имеется? Имеется. И не только у меня. Вопрос: имеется какой-то процент вероятности того, что с запуском данной программы у других пользователей так же установится нежелательное ПО? Конечно имеется. Так почему бы и не сделать уведомление о возможности этого события, если прецеденты установки нежелательного ПО имеются, вместо того, чтобы писать "чисто", "доверенно"? Русский, если Вам конкретно не нравится данное мое пожелании - Ваше дело. Моё дело - предложить. И не исключено, что найдутся люди, которые сочтут предложение рациональным (DrWeb же посчитал рациональным выдавать такое уведомление.)

 

Тема закрыта. Благодарю всех принявших участие в обсуждении. :)

Edited by Sapsan932

Share this post


Link to post
Guest
This topic is now closed to further replies.
Sign in to follow this  

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.