Maratka
-
Posts
1029 -
Joined
-
Last visited
Posts posted by Maratka
-
-
Установите антивирус БЕЗ установки драйверов, на полностью голую систему.
Понадобится полный дистрибутив, не онлайн-версия.
Ну вот например:
https://dl.comss.org/download/kaspersky4win21.13.5.506_ru-ru_full.exe
Новее нет вроде бы, но новее и не нужно. Скачайте его заранее. Будет перезагружаться?
-
Для поиска несовместимого ПО не нужно устанавливать антивирус.
Но и взяться на чистой системе ему особо неоткуда, предположу, что проблема в железке. Ну либо Вы что-то недоговариваете насчет установленного ПО. -
1 час назад, ThadCastle сказал:
Что бы не играть в перетягивание каната, давай рассмотрим ситуацию по другому, когда ты съедаешь только бутер и после этого тебе становится плохо, причина в организме или бутере?
Я не ем бутеры, в особенности из известной американской сети, не так давно ставшей российской, как раз потому, что мне от них бывает плохо.
1 час назад, ThadCastle сказал:К примеру когда каспер делает осмотр системы, он может подсвечивать фрост и говорить что мы конфликтуем, просьба воздержаться от запуска или т.п.
Для того, чтобы каспер это сделал, производитель игры должен написать касперу, когда он планирует решить проблему, в 2024-м году, или позже. Ибо сам "каспер" для начала должен получить этот функионал, который очевидно кто-то должен написать и протестировать. А потом, после тестирования окажется, что оно уже не нужно, ибо проблема исправлена.
1 час назад, ThadCastle сказал:Где? Если речь о данной теме форума, то это плевок в пользователя.
Согласен, не исправить проблему в игре за два месяца, это перебор.
-
1
-
-
4 минуты назад, ThadCastle сказал:
Снес антивир и не жалею, обидно только за то, что это платный продукт.
А чего бы не снести игру, если проблема в ней, а не в антивирусе?
-
пользуйтесь этой инструкцией:
тот кто кинул вирус с извинениями видео mbr удалите нужно быстро
-
1
-
-
Появлялось, и автоматически, в соответствии с принятыми Вами настройками нажалось "лечить".
-
1
-
-
Не нужно в этом окне ничего добавлять в исключения, да и невозможно по сути то, т.к. Вы уже до этого согласились с лечением. Т.е. что предполагается тогда лечить, то что в исключениях?
-
6 минут назад, Friend сказал:
В авторежиме (по умолчанию) для детектов KSN (UDS) там только варианты лечения 🙂
Ну это игра слов. Можно сказать "лечить зараженный вирусом файл, удалить тройнскую программу". Но это долго. Потому, обычно оно формулируется иначе "лечить систему". Троян в любом случае вылечить не выйдет, ибо в нем нет полезного кода, и потому он будет удален.
-
Насколько я представляю, исключение по хешу как раз для того и нужно, чтобы не писать 100500 других исключений.
-
1 час назад, am1902 сказал:
Тогда скажите, как надо правильно заполнить поле Объект?
Именно так и сделать. Только с новым уже детектом. А еще лучше добавить исключение по md5.
1 час назад, am1902 сказал:P.S. По-моему, в самом окне не хватает кнопки Игнорировать
Ее тут и не должно быть. Кнопка была в предыдущем окне. Если у Вас его не было, значит был включен авторежим, выключайте его.
-
От него не нужно избавляться, ему нужно не давать появляться, т.е. не соглашаться на лечение/удаление угрозы.
-
Кстати...
Помнится, что для обо страждущих, которые вне всякого сомнения есть, в былые времена, но когда техотдел возглавлял Коля Гребенников, выкладывали тут на форуме нужные модули, те, что не вошли еще в готовый продукт, или патч для него, но в которых пребелому правили. Как раз для того, чтобы во-первых, убедится, что проблемы нет, а во-вторых - удовлетворить страждущих.
Почему бы и сейчас так не сделать? Само собой, написать, что полных тестов не было, что берете и ставите этот драйвер под свою ответственность, и т.д? -
Это все здорово, но т.к. проблему выявили, где она, и почему, но не правили, ибо правка будет только в версии 21.15 (ну т.е. оно может уже и исправлено, но только в бета-версии), то это я считаю, что маловероятно. Причем крайне маловероятно. У автора темы так тоже было по ходу - ставил, проверял, обновлял, опять что-то ставил... И проблема пропадала, а потом - опять вылезала.
-
14 часов назад, andrew75 сказал:
@Maratka, на всякий случай - политикой форума запрещено просить GSI у пользователей.
Ну меня вполне бы устроила только его часть, которую сам и писал. Это та его фиговина, которая единственная в отчете в RTF-формате, дететкт анамалий в ОС, в основном - несовместимое ПО, но не только. Скажем она дететит и SP для ОС, вида SP2 для Windows 7 (такого нет), или ОС без SP, когда он есть, да много чего еще... Сверяет время на NTP-серверах и локальное. Ну в общем, там много чего такого интересного есть. При этом, никакой конфиденциальной информации не собирает в принципе, ибо не обучена на это, я как разработчик - могу утверждать.
А остальная часть GSI мне особо без надобности, я там все одно ничего не понимаю.Кстати, эту часть отчета вполне можно и самому почитать, там обычный английский, без сленга и технических терминов. Т.е. если запрещено давать GSI сюда, то можно просить его собрать, открыть вот тот файл, и самому почитать. Не найдет ничего - ну просто человек потеряет 10 минут времени, а найдет - ему подсказка будет, куда копать.
Ну вот например, один из моих любимых детектов, вручную по GSI такое вроде бы не поймаешь:
If OS_ver Like "*Windows 7*" = True Then
If OS_ver Like "*Service Pack 1*" = True Then
If ntoskrnl_version_string Like "*win7_rtm*" = True Then
'обнаружено несовпадение версий: сочетание win7_rtm и SP1 невозможно
found = found + 1
detected_string = detected_string + OS_ver + " is detected." + Chr(13) + "Strange number of the Service Pack is detected:" _
+ Chr(13) + "Version of ntoskrnl.exe is " + ntoskrnl_version_string + ", but the operating system reports, that its is Service Pack 1 " + Chr(13) + Chr(13)
End If
End If
End If -
Ну правильно. Пусть расскажет и покажет. Не откажусь и GSI посмотреть.
А по майнерам - насколько я себе представляю их работу, система будет "ватная", ибо постоянная загрузка на CPU и/или GPU, т.е. в этом случае - жалобы были бы другими. Но конечно же, что исключить этого тоже нельзя.Что же до жалоб на форум, то понятно, что это - пустозвон. Ибо ты сначала вопрос задай, а не шашкой махай "все вокруг дураки, я один Д'Артаньян".
-
1 час назад, andrew75 сказал:
вы так в этом уверены? Просто так антивирусы не отказываются запускаться.
С другой стороны, заразить ОС буквально за несколько минут, учитывая, что в ней изначально есть антивирус, который конечно не особо хорошо лечит систему, но как превентивная защита - неплох - это тоже сложно.
В этом смысле, нужно смотреть, что там за беда по логам, ну может видео или скриншоты пострадавший покажет, ибо не установиться антивирус ЛК может по многим причинам, например -ОС слишком старая, скажем RTM от 2015-го года, и она банально не знает современных подписей, а потому заблокирует установку драйверов современного антивируса. Но вот старенький антивирус, скажем версия 17/18/19 туда поставится без проблем.Или наоборот, ОС весьма новая (возможно - бета-версия) - на них коммерческие антивирусы ЛК становится отказываются, и только бета-версию же антивируса установить на бету ОС можно.
Или релиз, последний - 22 года. На него не получится установить старый антивирус, года скажем 17. Почему - думаю все понимают, если нет - потому, что его не тестировали на этой ОС, т.е. для него эта операционка - некая неизвестная система.
-
1 час назад, AlexeyK сказал:
Ну и на окно "Репутация программы" смотреть, оказывается, нужно критически, так как доверенная репутация еще совсем не означает отсутствие детекта другими модулями.
Именно. Если есть желание - пишите им в ТП, чтобы делали в интерфейсе "как есть", а не "как им хочется". Хотя возможно оно и обычная ошибка, типа "не учли", т.е. в одном окне (втором у меня выше) они приводят реальную информацию, а в первом - там наследуют код из какой-то там версии 2011/12, ну может 15... Тогда пусть правят!
Да, кстати...
Подписанный Икар я Вам не дам, у меня уже давно рассосалось нечто, что называется "соглашение о не разглашении", но почему-то за ЛК таки болею. Так много знакомых, там приятели... в общем - не дам.
Но если ТП попросит - пусть пишет тут ко мне вопрос, вот тут на форуме. Если им надо для понимания, как оно. Я и сам не знаю, как оно, мне его копать в архиве с ~2000 утилит. Им - дам понятно. Хотя - зачем, у них поди нет проблемы написать примитивный дропер, и подписать. Воспроизводить (что очевидно) придется им самим, а не Вам, но т.к. там воспроизводить особо нечего - авось руки не отвалятся, за 1,5 минуты. Дальше, еще 1,5 минуты будет воспроизводить тестлаб (но это не факт, вероятность малая, техподдержка имеет право самостоятельно заводить ошибки в их системе учета, если проблема очевидна).
Мне самому оно даже где-то интересно будет узнать, как оно по факту рулится, и как оно должно быть.Нашел у себя.
MD5- 887CF57C9F8227AC07157E5E75CFAE1FПодпись 2008.
Если нужно ТП - они найдут, по хешу - более чем реально.-
1
-
-
2 часа назад, AlexeyK сказал:
Иногда пользователи отключают это доверие, так как видят в ней потенциальную опасность из-за такой расплывчатой формулировки.)
То проблемы индейцев. Ну если нормально, в нормальных условиях. Я знаю, как оно работает, потому отключать не вижу смысла.
С другой стороны, вообще говоря любая технология - потенциально уязвима, и даже не просто потенциально, а реально. Ошибиться могут все. KSN не исключение. Да и список белых подписей - он белый, пока подпись не украли. Т.е. всегда будет лаг между реальным заражением еще доверенного, и исключением его из базы, той или другой.2 часа назад, AlexeyK сказал:Почему идет в доверенные из-за информации из KSN, а не по анализу ЦП? Значит этот файл все-таки каким-то образом в KSN проведен или как?
Не знаю. Возможно, в данном случае оно вот так выставлено в приоритетах.
Я лет 15 назад подписал по случаю дропер Икара. В ЛК подписал, подписью ЛК, чьей же еще, если там работал? Ну и забыл про него надолго. А тут вдруг вспомнил, года через два, и запустил. И был в конторе взрыв мозга на добрых две недели, ибо нельзя его детектить, но и не детектить нельзя. Видать оттуда и пошли эти вещи, что Вы тут спросили - приоритет подпись/KSN/детекта в базах/детекта по поведению и может еще чего, вроде типа детекта, ну скажем не-вирус - это одно, а вирус - это уже другое.
Как оно сейчас - не скажет никто, не ума это техподдержки. Запросы в Вирлаб делать - не факт, что и там ответят, они за подписи не отвечают. Ну т.е. спросить теоретически Вы можете (при случае, если пойдете на это - вот про Икар им напомните, что выше я написал) - мол как оно должно быть? Но то, что Вам ответят (а не попросят трейсы, они могут, это их дежурный вопрос, могут и GSI запросить, почему бы и нет?) - вместо того, чтобы прочитать вопрос и передать его по уровню компетенции в другой отдел - это не уверен. Но т.е. ответ Вы то конечно получите, но вот что раньше 2024-го успеете - не гарантирую!-
1
-
-
Очевидно, что при отключении детекта оно уже не детектируется.
-
Кстати, еще впомнил.. Давно это писал, когда еще сам в ЛК работал, непричлично оно в GUI написано, ибо чисто технически - неверно. Я про это окно:
Что такое "доверять подписям"? Очевидно, что доверять всему подписанному, т.е. я заплачу денег (не особо много, моей зарплаты хватает), подпишу своей подписью - и все что ли, оно доверенное?
Нет конечно! Эта надпись в пункте настроек означает, что доверять оно будет только подписанному, из белого списка подписей. Т.е. ну наверное детектить ПО с подписью ЛК оно не будет. С подписью Microsoft - вероятно тоже. И то, и другое - ну наверное потому, что это будет абсурд какой-то, если так сделать. А вот ПО с подписью (условно) Realtek - а почему бы и нет, благо, что десяток лет назад у них была утечка (т.е. условный я мог купить их подпись на черном рынке, и подписать ей заведомую малвару). Так вот, в GUI нужно писать, как оно есть, а не как написано, что де "доверять заведомо безопасным подписям" (юротдел ЛК сформулировать так, чтобы к ним исков не было поди сможет).2 часа назад, AlexeyK сказал:Сертификат просто доверенный, уточнения "без подтверждения" нет (если я правильно понял, о чем речь).
А в данном случае перебивает детект. Т.е. оно заведомо круто, но вот оно детектится, а что детектится - не может быть доверенным.
Т.е. все, что детектится, но не проходит точечно по хешу в KSN как доверенное - оно не доверенное (не путать с недоверенным, это опять же детект точечный, и через именно что KSN), в этом случае оно попадет не в ограниченную группу, а именно что "недоверенную", и (не знаю как сейчас, но несколько лет тому так было) - будет удалено физически ХИПСом. -
4 часа назад, Friend сказал:
( Это будет что-то из фантастики, так как в Free версии собрать трассироки через интерфейс продукта невозможно, нужно лезть в реестр системы)
Командная строка вроде бы работает, или тоже отменили? Если работает - поди батник могут в техподдержке дать!
4 часа назад, AlexeyK сказал:Как раз столкнулся с подобной ситуацией. Создал запрос в ТП, пока был ответ только о "корректности детекта", обсуждение продолжается.
Тут нужно просто знать. А откуда знать, если оно не документировано, оно просто как данность?
В общем, первое окно - это что-то вроде того, что подпись не заблокирована (я только про подпись), т.е. если очень просто, оно не так, но в целом - можно и так сделать - то нет детекта заведомой малвары по подписи, он делается вроде бы как не очень сложно, и при этом детектит все, что ей подписано, т.е. базы для детекта получаются компакнтынми. Но и в белый лист заведомо доверенных подписей она тоже не добавлена.
Ну а второе окно - это как оно на деле, согласно информации выше обрабатывается.
То, что оно пишет касательно доверенности в KSN в первом - отдельная тема.-
1
-
-
А что ее решать? Вы все правильно написали. И да, он типичная бабушка, которая въезжает в тему настройки антивирусов примерно как я в тему рендеринга.
Но я немного о другом: не было бы проблем у антивируса, глядишь - меньше проблем было бы и у его пользователей.
Или мне одному кажется, что информация в приведенных мной окнах взаимоисключающая?
Нет, я то знаю, что она подразумевает. Но много ли пользователей с этим разберутся? Особенно в случае вот этой бесплатной версии, где получить второе окно в принципе невозможно?
А так имеем: он оплатил лицензию, скачал свою рендерку, посмотрел (ну может не посмотрел, но вполне возможно, что все же посмотрел), что ПО - безопасное, значит и вопросов к нему нет, запустил, и стал работать. Зачем ему настраивать исключение, даже если бы он знал, как их настраивать, и имел опыт настройки, если ПО заведомо безопасное, согласно его репутации? Ну и авторежим, который тоже не все знают, как выключить. Хотя дел там на 2,5 минуты, чтобы все красиво настроить, я например так делаю, ибо лишние алерты мне тоже не нужны:
Все антивирусы, что на трафике работают - настраиваю на блокировку. Файловый - тоже. Сканер - на уведомление. А вот относительно часто фалсящий ПДМ - работает со всеми алертами. И если оно продетектит что-то, что не нужно детекить - я ему прямо из алерта и скажу, что не надо мне туда лезть, оно "хорошее".
В результате, у меня почти авторежим, кроме ПДМ. При этом, даже если будет фолс ФА или сканера -ничего не удалится лишнего. Просто иконка изменит цвет, и потом можно спокойненько взять ведерко пива, и разобраться, что это было, по делу, или действительно сфолсило. Но у него то авторежим стоял, и потому при детекте -сразу прибил процесс, со всеми обрабатываемыми данными.Т.е. это я к чему: его проблему на все 100% уже решить невозможно, т.к. он УЖЕ потерял данные.
Решаемо только то, что он в будущем не будет данные терять. А для этого нужно настроить антивирус так, как я выше написал.Ну и ЛК конечно должна писать в окнах их антивирусов информацию, которая по-факту есть, а не которую они пишут. Тогда и вопросов будет меньше.
-
1 час назад, andrew75 сказал:
Проблема решается добавлением программы в исключения: https://support.kaspersky.ru/help/Kaspersky/Win21.14/ru-RU/227390.htm
Оно конечно решается, но...
Вот доверенная эта программа согласно подписи, или нет?
Вроде бы доверенная получается?
А вот и нет:
Детект понятно откуда в целом, а проблема (еще одна), что и в KSN этого ПО тоже нет. Что тоже не очевидно, в первом окне оно вроде бы доверенное по KSN. А во втором- заведомо не доверенное. Для малораспространенного ПО, разработчики которого не сотрудничают с ЛК - обычное дело.
Ну и отдельный вопрос, что ЛК очень уж ударяет на интерфейс для бабушек.
Ну поставь ты чекбокс в мастере установки, чтобы включить интерактив, нет, сначала пользователь должен обжечься, а потом, когда придет на форум или в ТП писать, ему скажут, что вот, есть такая у нас настроечка, там ты можешь решить сам, и даже прямо из алерта программу доверенной сделать. -
В 02.08.2023 в 22:23, Friend сказал:
тему можно добавить к причине/аргументам/пожеланию: почему нужно вернуть возможность отключать автообновление версии через интерфейс в настройках продукта, как это было раньше.
Причин там на самом деле миллион. Скажем первое же, что я сделал после установки Windows 11 - это перенес "Пуск" в левый угол. Я ничего не имею против того, чтобы этот "Пуск" был даже в центре экрана, если дизайнеры докажут, что это мегафича, но мне привычнее левый нижний угол, и если в системе нет настройки, которая позволяет это сделать - я буду тянуть с переходом на эту систему до последнего, просто потому, что мне это непривычно, и потому - неудобно.
После установки Kaspersky Anti-Virus новый компьютер начинает автоматически перезагружаться
in Kaspersky Anti-Virus
Posted · Edited by Maratka
А так?
https://www.comss.ru/download/page.php?id=10116