Касперский и обход блокировок.

[Kataomi_3232]

Здравствуйте, переодически пользуюсь программой zapret для обхода блокировки Discord. Касперский же ругается на файл WinDivert64.sys (что ожидаемо) но помимо этого он жалуется на файлы в папке Windows > Temp и множество f_00 файлов в папке кэша браузера Гугл Хром.
Но буквально вчера все пошло чуть дальше, программу отметило как heur:Trojan.Multi.Misslink и у меня закрылись все папки и файлы, не работал браузер. 
Хотелось бы узнать от знающих людей, насколько это все опасно или безопасно.
P.S Троян уже возникал у другого пользователя на сайте github, разработчик говорит о ложном срабатывание, автор пишет что файл чист и никакого трояна там нет (1 скрин из той темы)
Заранее спасибо за ответы.

[AlexeyK]

  On 5/6/2025 at 10:35 AM, Kataomi_3232 said:

программу отметило как heur:Trojan.Multi.Misslink

Expand  

Какую программу? О ней на скринах вроде ничего нет.

  On 5/6/2025 at 10:35 AM, Kataomi_3232 said:

WinDivert64.sys (что ожидаемо) но помимо этого он жалуется на файлы в папке Windows > Temp и множество f_00 файлов в папке кэша браузера Гугл Хром.

Expand  

Это все один и тот же файл, только в разных папках. Почему в кеше Хрома - не очень понятно, вроде там быть не должно. Или Вы его просто скачивали отдельно.

[Kataomi_3232]

  On 5/6/2025 at 11:04 AM, AlexeyK said:

Какую программу? О ней на скринах вроде ничего нет.

Это все один и тот же файл, только в разных папках. Почему в кеше Хрома - не очень понятно, вроде там быть не должно. Или Вы его просто скачивали отдельно.

Expand  

Программу zapret, а конкретнее файл WinDivert64, скринов к сожалению нет, вот тема с аналогичной ситуацией - https://github.com/bol-van/zapret/issues/550
Что касается кэша хрома, то один из пользователей ответил так - это кеш который не скачался в браузере, Оно и триггерится на него выдавая предупреждение, но безопасности винды на это похер она интерпретирует это как "стоп" и браузер который опирается на безопасность винды тоже.

[Kataomi_3232]

  Цитата

Это все один и тот же файл, только в разных папках.

Expand  

Скрин какой был, файлов на самом деле множество, ниже приклеплю фото как пример (взял с другой темы)
 

Edited May 6 by Kataomi_3232

[andrew75]

А, ну это известная вещь. Странно почему они у вас раньше не туда писались.

Посмотрите эту тему - https://forum.kaspersky.com/topic/конфликт-с-goodbyedpi-54412/#comment-205177

 

[Kataomi_3232]

  On 5/6/2025 at 12:12 PM, andrew75 said:

А, ну это известная вещь. Странно почему они у вас раньше не туда писались.

Посмотрите эту тему - https://forum.kaspersky.com/topic/конфликт-с-goodbyedpi-54412/#comment-205177

 

Expand  

А что насчет множества f_00 файлов и то, что касперский в моменте определил файл в троян? (тему выше скидывал, у человека аналогичная проблема была)

[andrew75]

  On 5/6/2025 at 12:16 PM, Kataomi_3232 said:

А что насчет множества f_00 файлов

Expand  

так работает zapret. Это неопасно. Что с этим делать написано по ссылке.

  On 5/6/2025 at 12:16 PM, Kataomi_3232 said:

касперский в моменте определил файл в троян?

Expand  

тема, на которую вы дали ссылку, годичной давности. И там нет конкретики

Гадать на кофейной гуще неблагодарное занятие.

  On 5/6/2025 at 10:35 AM, Kataomi_3232 said:

Хотелось бы узнать от знающих людей, насколько это все опасно или безопасно.

Expand  

Что именно "это"?

Пока вы только приводите чужие скриншоты.

[Kataomi_3232]

  Цитата

так работает zapret. Это неопасно. Что с этим делать написано по ссылке.

Expand  

Понял.
 

  Цитата

 

Что именно "это"?

Пока вы только приводите чужие скриншоты.

 

Expand  

Под это я подразумеваю сам запрет, насколько его работа безопасна для использующего. 
Но в целом спасибо за ответы, насколько я понимаю ничего серьезного нет и это обычная практика для подобных программ.

[andrew75]

  On 5/6/2025 at 1:00 PM, Kataomi_3232 said:

Под это я подразумеваю сам запрет,

Expand  

Дело в том, что есть разные реализации zapret-а. Есть даже версии со встроенным майнером, которые выдают себя за zapret.

Поэтому если программа получена из надёжного источника, то сама по себе она безопасна.

Но некоторые антивирусы ее не любят, из-за того что сам механизм ее работы может быть использован в деструктивных целях.

[AlexeyK]

  On 5/6/2025 at 11:48 AM, Kataomi_3232 said:

файлов на самом деле множество

Expand  

Еще раз: это на самом деле один и тот же файл драйвера WinDivert во временной папке с разными именами.

  On 5/6/2025 at 12:32 PM, andrew75 said:

так работает zapret.

Expand  

При его работе создаются файлы в кеше Хрома? А то я не пользуюсь, не в курсе.

Edited May 6 by AlexeyK

[andrew75]

  On 5/6/2025 at 1:39 PM, AlexeyK said:

При его работе создаются файлы в кеше Хрома?

Expand  

не знаю, я про последний скриншот, где они в TEMP

[AlexeyK]

  On 5/6/2025 at 2:13 PM, andrew75 said:

где они в TEMP

Expand  

Ну с этим все понятно, а вот что там с кешем Хрома - не очень.)

  On 5/6/2025 at 11:13 AM, Kataomi_3232 said:

вот тема с аналогичной ситуацией - https://github.com/bol-van/zapret/issues/550

Expand  

Тут изначально неправильная оценка ситуации ТС. Скорее всего этот детект в системной памяти heur:Trojan.Multi.Misslink вообще не имеет отношения к "запрету".

[andrew75]

  On 5/6/2025 at 2:19 PM, AlexeyK said:

Скорее всего этот детект в системной памяти heur:Trojan.Multi.Misslink вообще не имеет отношения к "запрету"

Expand  

да, я тоже так подумал.

[Kataomi_3232]

Хм, а с чем тогда может быть связано появление heur:Trojan.Multi.Misslink?
Так еще забавно вышло, что я буквально за 2 часа до него проверял систему в безопасном режиме через сканнер KVRT + Eset Online Scanner.
Или данное явление не детектиться и появляется спонтанно? 
Из странностей могу заметить что мой гугл хром несколько раз в день вылетает и сам гугл выдает мне это - какое-то сторонее приложение изменило настройки, мы восстановили их по умолчанию. Вкладка расширений при этом автоматом переходит в режим разработчика + мой отец скачал игру из неизвестного мне источника. 
 

[AlexeyK]

  On 5/6/2025 at 2:50 PM, Kataomi_3232 said:

с чем тогда может быть связано появление heur:Trojan.Multi.Misslink?

Или данное явление не детектиться и появляется спонтанно? 

Expand  

Я скачал, распаковал и просканировал архив по ссылке - при скане в нем найдено только ПНП. Кстати, примерно понятно, почему ловит в кеше Хром: это архив без пароля, при загрузке антивирус сразу детектрует файл. Скрин:

  Reveal hidden contents

Просто так на основании рассказов и непонятного скриншота сказать не получится ничего. Может как раз дело в игре (если она вообще запускалась). Если действительно дело в этом запрете - нужно воспроизводить, чтобы понять, о чем речь, есть ли детект в памяти.

Где у Вас вообще было срабатывание - в антивирусе или KVRT? Есть ли запись об этом в отчетах?

@Kataomi_3232 Если хотите, можете проверить систему на наличие вредоносного ПО и вылечить ее при необходимости по этой ссылке, порядок оформления запроса здесь.

[Kataomi_3232]

Срабатывание было в антивирусе, запись в отчете есть (только не знаю как его отправить)
 

[AlexeyK]

  On 5/6/2025 at 3:59 PM, Kataomi_3232 said:

запись в отчете есть

Expand  

А Вам непременно требуется именно эта разновидность запрета? Есть другие, которые проверенные - в них точно ничего,кроме этого драйвера, нет. Тут еще какое-то расширение дететируется. Предположительно, после удаления файлов расширения и происходит это уведомление об изменении настроек сторонней программой.

Если не хотите лечить систему на форуме клуба, выполните полное сканирование антивирусом и удалите все найденные объекты кроме тех, в которых уверены и которые будут нужны. Удалите этот запрет и скачайте нормальный - сразу настройте исключение для WinDivert.

А в кеше Хрома я воспроизвел - вот такой детект при попытке скачивания архива.

[Kataomi_3232]

Пользуюсь самой популярной версией zapretа - https://github.com/Flowseal/zapret-discord-youtube Мне кажется 90% как раз сидят на ней, может все же дело в игре скачанной не понятно откуда ибо других идей у меня нет. После скачки игры сел за пк и увидел 2 рекламных приложения которых устранил.
 

  Цитата

Если не хотите лечить систему на форуме клуба, выполните полное сканирование антивирусом и удалите все найденные объекты кроме тех, в которых уверены и которые будут нужны.

Expand  

Проводил сегодня полную проверку пк в безопасном режиме с помощью KVRT + Eset Online Scanner + на завершение HitmanPro. Сейчас только только закончил проверять пк с помощью проверки самого касперского (выкрутил к тому же настройки на максимум) - ничего не находит и не находил. 

Edited May 6 by Kataomi_3232

[AlexeyK]

  On 5/6/2025 at 4:33 PM, Kataomi_3232 said:

Пользуюсь самой популярной версией zapretа

Expand  

Просто выше давали другую ссылку, я про нее и подумал. Эта вроде нормальная, с ней не должно быть проблем.

Раз все просканировали и ничего не находит, а что-то еще порой детектируется - что мы еще может тут сказать? Только если лечить с логами на форуме клуба. Если после удаления рекламных приложений проблем нет - ну тогда ничего и не делайте.) Ну или попробовать все же удалить игру.

Edited May 6 by AlexeyK

[Kataomi_3232]

Решил на последок проверить пк через dr.web Curelt!

Вот такую охапку дров он мне нашел (проверка все еще идет) Я так понимаю нужно после проверки бежать на форум к ним и скидывать логи?

[AlexeyK]

  On 5/6/2025 at 5:31 PM, Kataomi_3232 said:

он мне нашел

Expand  

Первая строка hosts - это может быть совершенно безопасно, если сами вносили в него изменения или какая-то нормальная программа.

Следующие 4 строки - это обычные ПНП. А учитывая строгость к этому типу ПО данного вендора, как правило можно не обращать внимания.

Последние 4 - проверьте файлы на вирустотал. Можете потом сюда скинуть ссылки на результаты их сканирования. Или скопируйте эти файлы в какую-либо папку, заархивируйте с паролем и через любое облако скиньте мне в личку.

[Kataomi_3232]

Game.js - https://www.virustotal.com/gui/file/7f70e46c0de6250a54f81523e0ce34f6c64b061413dc6751e8d00e49fe39894b

Wext.vbs - https://www.virustotal.com/gui/file/f2ff3b5fc3bb9f4056d5476ebc3151f9bad31120ebc7d03e770b0e757eee9eaf

wslC2.xml - https://www.virustotal.com/gui/file/50a49dfc71924629c066c3cb9f9dc188dec9401e450396123c132c12d6a1d0db

cpuz_x64_rus.exe - https://www.virustotal.com/gui/file/0339fa97e5eb8677c85c0792988ed1c9ea7a87d4dc8cae652b13f8aa19a71368
 

  Цитата

Первая строка hosts - это может быть совершенно безопасно, если сами вносили в него изменения или какая-то нормальная программа.

Expand  

Не трогал это и даже не знаю как, прочитал в интернете про этот детект, говорят возникает у многих с крякнутой виндой (как на этом пк) 

[andrew75]

У cpu-z нет официальной русской версии. Так что там может быть что угодно.

[AlexeyK]

@Kataomi_3232 Все 4 детекта - это ложные срабатывания. Я обновил скан на ВТ, там все зеленое, кроме Доктора.

  On 5/6/2025 at 5:50 PM, Kataomi_3232 said:

Не трогал это и даже не знаю как

Expand  

Можно посмотреть, что там за записи, способ открытия файла найдете в сети.

[Kataomi_3232]

  Цитата

Можно посмотреть, что там за записи, способ открытия файла найдете в сети.

Expand  

Открыл, посмотрел и ничего не понял, можно ли сюда скинуть полностью текст скриншотом или не стоит?

 

  Цитата

Все 4 детекта - это ложные срабатывания. Я обновил скан на ВТ, там все зеленое, кроме Доктора.

Expand  

С одной стороны это отлично, а с другой я надеялся что прикол с хромом это вина этих троянов, а оно все ложное...

Edited May 6 by Kataomi_3232