Вирус который не даёт скачать антивирус (Касперский бездействует)

[Lynrayy]

Словил вирус-майнер который не даёт скачать антивирус, и маскируется под realtek и т.д
Закрывает процесс хакер, закрывает проводник если лезешь в program data, если открываешь параметры проводника и кучу ещё всего закрывает, не даёт запускать антивирусы (антивирусы тупо не могут создать файлы конфига или распаковаться).
Скачал рескью диск кое как, установил, запустил, сканировал комп 3 часа и даже чёто удалил, но...

Так вот вопрос. КАКОГО ХРЕНА ВАШ РЕСКЬЮ ДИСК, НАХРЕН, НЕ ОБНАРУЖИВАЕТ ЕГО?
ПОЧЕМУ Я ДОЛЖЕН ЗАПУСКАТЬ ЛЕВУЮ ПРОГУ С ЛЕВОГО ФОРУМА, КОТОРАЯ РЕАЛЬНО РАБОТАЕТ, А НЕ ВАШИ ИНСТРУМЕНТЫ?
https://www.safezone.cc/threads/virus-taskhost-exe-realtek-hd-audio.41772/

НИ ДР.ВЕБ НИ КАСПЕРСКИЙ НЕ МОГУТ ВЫВЕСТИ ЭТУ ХРЕНЬ, КАКОГО ЧЁРТА ОНО УЖЕ ТАК ДОЛГО СУЩЕСТВУЕТ И ВЫ НИЧЕГО С ЭТИМ НЕ ДЕЛАЕТЕ?
 

#файл забрали на проверку
 

[Danila T.]

Добрый день!

Утилита https://support.kaspersky.ru/kvrt2020/howto/15671 не помогла тоже?

[Danila T.]

К слову присланный Вами файл уже детектируется как месяц.

Setup.exe - HEUR:Trojan-Downloader.Win32.Agent.gen

[Friend]

  On 8/29/2024 at 6:06 AM, Danila T. said:

Setup.exe - HEUR:Trojan-Downloader.Win32.Agent.gen

Expand  

А еще как-то детектируется или только эвристическим анализатором?
Я так понимаю - это только загрузчик детектируется, а вот последствия загрузчика не детектируются, то есть те файлы, которые удаляются утилитой AV block remover и на что жалуется @Lynrayy, аналогичные ситуации можно посмотреть в разделе клуба.

[andrew75]

  On 8/29/2024 at 2:49 AM, Lynrayy said:

Скачал рескью диск кое как, установил, запустил

Expand  

А базы вы в нем обновили? Потому что если вы скачали не свежую сборку, то он может просто не знать этого вируса.

[Danila T.]

  On 8/29/2024 at 6:20 AM, Friend said:

А еще как-то детектируется или только эвристическим анализатором?
Я так понимаю - это только загрузчик детектируется, а вот последствия загрузчика не детектируются, то есть те файлы, которые удаляются утилитой AV block remover и на что жалуется @Lynrayy, аналогичные ситуации можно посмотреть в разделе клуба.

Expand  

Вопрос актуален - KVRT не удаляет файлы? Если человек умудрился заразить устройство.

[Friend]

  On 8/29/2024 at 6:22 AM, Danila T. said:

Вопрос актуален - KVRT не удаляет файлы

Expand  

Ранее вирус блокировал запуск утилиты, на текущий день не скажу.
Вирусные аналитики могут проверить, раз у них есть сэмпл вируса-загрузчика ? 

[Danila T.]

Мы уже давно написали инструкции в KB. Если не помогает запуск KVRT с другим именем, то использовать RD (но естественно обновлять базы). Если и это не помогает, то уже разбираться отдельно. В общем факты нужны, когда наши утилиты со свежими базами не помогают в решении проблемы.

[andrew75]

ТС толком ничего не написал. Он пришел излить накопившиеся эмоции )

Что именно он делал и где что качал он не пишет.

[Danila T.]

  On 8/29/2024 at 6:36 AM, andrew75 said:

ТС толком ничего не написал. Он пришел излить накопившиеся эмоции )

Что именно он делал и где что качал он не пишет.

Expand  

Его файл проверили. А вот вопрос в том, как он заразил девайс.... Если наш продукт детектирует файл. Ну и как лечил - были ли свежие базы у RD.

[andrew75]

А у него не было резидентного антивируса, насколько я понимаю. Поэтому как заразил - не актуально.

Он предъявляет претензии к лечебным утилитам.

[Danila T.]

  On 8/29/2024 at 6:41 AM, andrew75 said:

Он предъявляет претензии к лечебным утилитам.

Expand  

ну вот и вопросы - были ли базы у RD актуальны. KVRT использовался ли...

[andrew75]

По хорошему давно нужна специализированная утилита именно против майнеров.

KVRT вещь универсальная. Развивается и обновляется очень медленно.

Иначе действительно странно выглядит когда мы рекомендуем пользователям avbr

[Danila T.]

@andrew75 я не видел последнее время проблем с KVRT или RD. По факту помогает. Если есть обратные факты, то пишите, будет проверять и анализировать.

 

 

[Maratka]

  On 8/29/2024 at 6:32 AM, Danila T. said:

то использовать RD (но естественно обновлять базы)

Expand  

Когда я работал в конторе, эмуль на живой системе отличался от эмуля на RD-диске, отличался как минимум тем, что на живой системе ему были доступны нужные runtime либы, а вероятно и что-то еще, всех нюансов уже не помню.

Фокус же в чем? В том, что эмуль изначально - это некая простенькая, но таки виртуальная машина внутри антивируса, на которой запускается проверяемый файл, и дальше он проверяется по своей сути вердиктам PDM, ну на сегодня это уже SW. Т.е если условно говоря нечто качает что-то, и запускает его без уведомления - это и будет тот самый HEUR:Trojan-Downloader,  а если оно самокопируется на сетевую папку - то HEUR:Worm.Generic.

Понятно, что сейчас эмуль несколько изменился, за семь лет то, и наверно даже в лучшую сторону :), но некие базовые проблемы могли и остаться, ибо чтобы их исправить- нужно дизайн менять полностью.

Это я к тому, что если нечто уверено детектируется при работе на OS Windows тем самым эмулятором, то не факт, что оно будет так само детектироваться при работе на Линуксе.

Это к вопросу об этом:

  On 8/29/2024 at 6:06 AM, Danila T. said:

К слову присланный Вами файл уже детектируется как месяц.

Expand  

 

[Lynrayy]

  On 8/29/2024 at 6:06 AM, Danila T. said:

К слову присланный Вами файл уже детектируется как месяц.

Setup.exe - HEUR:Trojan-Downloader.Win32.Agent.gen

Expand  

И что, что он троян детектит? Остальные части вируса не детектит. Т.е я установил эту дичь, потом просканировал комп, что-то удалилось, а что-то нет. Например, скрипты, которые закрывают браузер и диспетчер задач при совпадении заголовков окна не были распознаны

  On 8/29/2024 at 6:36 AM, andrew75 said:

ТС толком ничего не написал. Он пришел излить накопившиеся эмоции )

Что именно он делал и где что качал он не пишет.

Expand  

Я предоставил достаточно информации, больше чем это сделал бы обычный пользователь

  On 8/29/2024 at 6:38 AM, Danila T. said:

Его файл проверили. А вот вопрос в том, как он заразил девайс.... Если наш продукт детектирует файл. Ну и как лечил - были ли свежие базы у RD.

Expand  

Как, как. Я без антивируса сижу и использую антивирусы только что бы ликвидировать последствия, если что-то словил. В данном случае прога на ликвидацию последствий не сильно способна

[kmscom]

  On 9/12/2024 at 4:08 AM, Lynrayy said:

Я без антивируса сижу и использую антивирусы только что бы ликвидировать последствия

Expand  

Предотвратить, гораздо лучше, чем лечить.

Никому из читающих эту тему, не советую сидеть без антивируса, каким бы суперумным и все предвидящем мозгом не обладали. Я не призываю использовать именно продукцию Лаборатории, это должен быть осознанный выбор, чем пользоваться, ну хотя бы встроенным в систему. Пользователям всяких виндовс семь, обновить версию систему на актуальную.
А также, кроме использования антивируса, нужно делать регулярные резервные копии и хранить их отдельно. 

Желаю, чтоб никто не повторил опыт автора темы. Пусть его опыт будет уроком остальным.

[Friend]

  On 9/12/2024 at 4:55 AM, kmscom said:

Предотвратить, гораздо лучше, чем лечить.

Expand  

Да, лучше, но антивирус должен полностью убирать последствия вируса, если его уже установили после заражения. Тогда какой смысл от антивируса, если в 99% будет всегда виноват пользователь, а не то что ВирЛаб не решился все задетектить и все корректно почистить за вирусом. Сам когда-то с подобным сталкивался, что приходилось делать работу вместо оплаченного антивируса.
Достаточно давно поднимался вопрос, чтобы ВирЛаб хотя бы раз в неделю заходил в эту тему и добавлял семлы в базу, но видно забыли про это.

  On 9/12/2024 at 4:08 AM, Lynrayy said:

Я предоставил достаточно информации, больше чем это сделал бы обычный пользователь

Expand  

Да, чуть больше чем обычный пользователь, но все равно не совсем достаточно, нужны были логи еще самой программы.
Рекомендую создать тему в разделе "Помощь в удалении вирусов" Клуба Лаборатории Касперского, выполнив Порядок оформления запроса о помощи.

[kmscom]

  On 9/12/2024 at 5:26 AM, Friend said:

антивирус должен полностью убирать последствия вируса

Expand  

ну авторы вируса, тоже не дремлят. тут борьба брони и снаряда. броня обычно в догоняющих.

[Friend]

  On 9/12/2024 at 5:47 AM, kmscom said:

авторы вируса, тоже не дремлят. тут борьба брони и снаряда. броня обычно в догоняющих.

Expand  

Да, это уже обсуждалось, но вот догонять год или два - это плохо.
Почему-то некоторые утилиты пишутся одним человеком и догоняют куда быстрее, пример.

[kmscom]

  On 9/12/2024 at 5:52 AM, Friend said:

догонять год или два - это плохо.

Expand  

согласен, что плохо. и плохо, что утилита от Лаборатории не удалила все последствия заражения. Но объективно говоря, автор тоже поступает плохо.

Можно говорить о многих плохо, и что применение антивируса тоже не исключает заражения, но его принципиальное неиспользование, только усугубляет все плохо в одно большое и УЖАСНОЕ.

[AlexeyK]

  On 9/12/2024 at 4:08 AM, Lynrayy said:

Я без антивируса сижу и использую антивирусы только что бы ликвидировать последствия, если что-то словил.

Expand  

Это один из самых лучших подходов, учитывая, что большую часть малвари вообще не видно и не слышно. Если это не какой-нибудь шумный майнер или вымогатель-шифратор, об остальном даже и не узнаете. А если и узнаете, то никакой скан утилитами не поможет.