Вирус который не даёт скачать антивирус (Касперский бездействует)

[Lynrayy]

Словил вирус-майнер который не даёт скачать антивирус, и маскируется под realtek и т.д
Закрывает процесс хакер, закрывает проводник если лезешь в program data, если открываешь параметры проводника и кучу ещё всего закрывает, не даёт запускать антивирусы (антивирусы тупо не могут создать файлы конфига или распаковаться).
Скачал рескью диск кое как, установил, запустил, сканировал комп 3 часа и даже чёто удалил, но...

Так вот вопрос. КАКОГО ХРЕНА ВАШ РЕСКЬЮ ДИСК, НАХРЕН, НЕ ОБНАРУЖИВАЕТ ЕГО?
ПОЧЕМУ Я ДОЛЖЕН ЗАПУСКАТЬ ЛЕВУЮ ПРОГУ С ЛЕВОГО ФОРУМА, КОТОРАЯ РЕАЛЬНО РАБОТАЕТ, А НЕ ВАШИ ИНСТРУМЕНТЫ?
https://www.safezone.cc/threads/virus-taskhost-exe-realtek-hd-audio.41772/

НИ ДР.ВЕБ НИ КАСПЕРСКИЙ НЕ МОГУТ ВЫВЕСТИ ЭТУ ХРЕНЬ, КАКОГО ЧЁРТА ОНО УЖЕ ТАК ДОЛГО СУЩЕСТВУЕТ И ВЫ НИЧЕГО С ЭТИМ НЕ ДЕЛАЕТЕ?
 

#файл забрали на проверку
 

[Danila T.]

Добрый день!

Утилита https://support.kaspersky.ru/kvrt2020/howto/15671 не помогла тоже?

[Danila T.]

К слову присланный Вами файл уже детектируется как месяц.

Setup.exe - HEUR:Trojan-Downloader.Win32.Agent.gen

[Friend]

10 минут назад, Danila T. сказал:

Setup.exe - HEUR:Trojan-Downloader.Win32.Agent.gen

А еще как-то детектируется или только эвристическим анализатором?
Я так понимаю - это только загрузчик детектируется, а вот последствия загрузчика не детектируются, то есть те файлы, которые удаляются утилитой AV block remover и на что жалуется @Lynrayy, аналогичные ситуации можно посмотреть в разделе клуба.

[andrew75]

3 часа назад, Lynrayy сказал:

Скачал рескью диск кое как, установил, запустил

А базы вы в нем обновили? Потому что если вы скачали не свежую сборку, то он может просто не знать этого вируса.

[Danila T.]

1 minute ago, Friend said:

А еще как-то детектируется или только эвристическим анализатором?
Я так понимаю - это только загрузчик детектируется, а вот последствия загрузчика не детектируются, то есть те файлы, которые удаляются утилитой AV block remover и на что жалуется @Lynrayy, аналогичные ситуации можно посмотреть в разделе клуба.

Вопрос актуален - KVRT не удаляет файлы? Если человек умудрился заразить устройство.

[Friend]

3 минуты назад, Danila T. сказал:

Вопрос актуален - KVRT не удаляет файлы

Ранее вирус блокировал запуск утилиты, на текущий день не скажу.
Вирусные аналитики могут проверить, раз у них есть сэмпл вируса-загрузчика 😉 

[Danila T.]

Мы уже давно написали инструкции в KB. Если не помогает запуск KVRT с другим именем, то использовать RD (но естественно обновлять базы). Если и это не помогает, то уже разбираться отдельно. В общем факты нужны, когда наши утилиты со свежими базами не помогают в решении проблемы.

[andrew75]

ТС толком ничего не написал. Он пришел излить накопившиеся эмоции )

Что именно он делал и где что качал он не пишет.

[Danila T.]

1 minute ago, andrew75 said:

ТС толком ничего не написал. Он пришел излить накопившиеся эмоции )

Что именно он делал и где что качал он не пишет.

Его файл проверили. А вот вопрос в том, как он заразил девайс.... Если наш продукт детектирует файл. Ну и как лечил - были ли свежие базы у RD.

[andrew75]

А у него не было резидентного антивируса, насколько я понимаю. Поэтому как заразил - не актуально.

Он предъявляет претензии к лечебным утилитам.

[Danila T.]

2 minutes ago, andrew75 said:

Он предъявляет претензии к лечебным утилитам.

ну вот и вопросы - были ли базы у RD актуальны. KVRT использовался ли...

[andrew75]

По хорошему давно нужна специализированная утилита именно против майнеров.

KVRT вещь универсальная. Развивается и обновляется очень медленно.

Иначе действительно странно выглядит когда мы рекомендуем пользователям avbr

[Danila T.]

@andrew75 я не видел последнее время проблем с KVRT или RD. По факту помогает. Если есть обратные факты, то пишите, будет проверять и анализировать.

 

 

[Maratka]

5 часов назад, Danila T. сказал:

то использовать RD (но естественно обновлять базы)

Когда я работал в конторе, эмуль на живой системе отличался от эмуля на RD-диске, отличался как минимум тем, что на живой системе ему были доступны нужные runtime либы, а вероятно и что-то еще, всех нюансов уже не помню.

Фокус же в чем? В том, что эмуль изначально - это некая простенькая, но таки виртуальная машина внутри антивируса, на которой запускается проверяемый файл, и дальше он проверяется по своей сути вердиктам PDM, ну на сегодня это уже SW. Т.е если условно говоря нечто качает что-то, и запускает его без уведомления - это и будет тот самый HEUR:Trojan-Downloader,  а если оно самокопируется на сетевую папку - то HEUR:Worm.Generic.

Понятно, что сейчас эмуль несколько изменился, за семь лет то, и наверно даже в лучшую сторону :), но некие базовые проблемы могли и остаться, ибо чтобы их исправить- нужно дизайн менять полностью.

Это я к тому, что если нечто уверено детектируется при работе на OS Windows тем самым эмулятором, то не факт, что оно будет так само детектироваться при работе на Линуксе.

Это к вопросу об этом:

6 часов назад, Danila T. сказал:

К слову присланный Вами файл уже детектируется как месяц.

 

[Lynrayy]

В 29.08.2024 в 09:06, Danila T. сказал:

К слову присланный Вами файл уже детектируется как месяц.

Setup.exe - HEUR:Trojan-Downloader.Win32.Agent.gen

И что, что он троян детектит? Остальные части вируса не детектит. Т.е я установил эту дичь, потом просканировал комп, что-то удалилось, а что-то нет. Например, скрипты, которые закрывают браузер и диспетчер задач при совпадении заголовков окна не были распознаны

В 29.08.2024 в 09:36, andrew75 сказал:

ТС толком ничего не написал. Он пришел излить накопившиеся эмоции )

Что именно он делал и где что качал он не пишет.

Я предоставил достаточно информации, больше чем это сделал бы обычный пользователь

В 29.08.2024 в 09:38, Danila T. сказал:

Его файл проверили. А вот вопрос в том, как он заразил девайс.... Если наш продукт детектирует файл. Ну и как лечил - были ли свежие базы у RD.

Как, как. Я без антивируса сижу и использую антивирусы только что бы ликвидировать последствия, если что-то словил. В данном случае прога на ликвидацию последствий не сильно способна

[kmscom]

37 минут назад, Lynrayy сказал:

Я без антивируса сижу и использую антивирусы только что бы ликвидировать последствия

Предотвратить, гораздо лучше, чем лечить.

Никому из читающих эту тему, не советую сидеть без антивируса, каким бы суперумным и все предвидящем мозгом не обладали. Я не призываю использовать именно продукцию Лаборатории, это должен быть осознанный выбор, чем пользоваться, ну хотя бы встроенным в систему. Пользователям всяких виндовс семь, обновить версию систему на актуальную.
А также, кроме использования антивируса, нужно делать регулярные резервные копии и хранить их отдельно. 

Желаю, чтоб никто не повторил опыт автора темы. Пусть его опыт будет уроком остальным.

[Friend]

46 минут назад, kmscom сказал:

Предотвратить, гораздо лучше, чем лечить.

Да, лучше, но антивирус должен полностью убирать последствия вируса, если его уже установили после заражения. Тогда какой смысл от антивируса, если в 99% будет всегда виноват пользователь, а не то что ВирЛаб не решился все задетектить и все корректно почистить за вирусом. Сам когда-то с подобным сталкивался, что приходилось делать работу вместо оплаченного антивируса.
Достаточно давно поднимался вопрос, чтобы ВирЛаб хотя бы раз в неделю заходил в эту тему и добавлял семлы в базу, но видно забыли про это.

1 час назад, Lynrayy сказал:

Я предоставил достаточно информации, больше чем это сделал бы обычный пользователь

Да, чуть больше чем обычный пользователь, но все равно не совсем достаточно, нужны были логи еще самой программы.
Рекомендую создать тему в разделе "Помощь в удалении вирусов" Клуба Лаборатории Касперского, выполнив Порядок оформления запроса о помощи.

[kmscom]

18 минут назад, Friend сказал:

антивирус должен полностью убирать последствия вируса

ну авторы вируса, тоже не дремлят. тут борьба брони и снаряда. броня обычно в догоняющих.

[Friend]

2 минуты назад, kmscom сказал:

авторы вируса, тоже не дремлят. тут борьба брони и снаряда. броня обычно в догоняющих.

Да, это уже обсуждалось, но вот догонять год или два - это плохо.
Почему-то некоторые утилиты пишутся одним человеком и догоняют куда быстрее, пример.

[kmscom]

1 минуту назад, Friend сказал:

догонять год или два - это плохо.

согласен, что плохо. и плохо, что утилита от Лаборатории не удалила все последствия заражения. Но объективно говоря, автор тоже поступает плохо.

Можно говорить о многих плохо, и что применение антивируса тоже не исключает заражения, но его принципиальное неиспользование, только усугубляет все плохо в одно большое и УЖАСНОЕ.

[AlexeyK]

4 часа назад, Lynrayy сказал:

Я без антивируса сижу и использую антивирусы только что бы ликвидировать последствия, если что-то словил.

Это один из самых лучших подходов, учитывая, что большую часть малвари вообще не видно и не слышно. Если это не какой-нибудь шумный майнер или вымогатель-шифратор, об остальном даже и не узнаете. А если и узнаете, то никакой скан утилитами не поможет.