Jump to content
Kaspersky Support Forum

Касперский и обход блокировок.

Kataomi_3232

By Kataomi_3232
in Kaspersky: Basic, Standard, Plus, Premium

 Share

Recommended Posts

Kataomi_3232

Kataomi_3232

Posted
Posted

Здравствуйте, переодически пользуюсь программой zapret для обхода блокировки Discord. Касперский же ругается на файл WinDivert64.sys (что ожидаемо) но помимо этого он жалуется на файлы в папке Windows > Temp и множество f_00 файлов в папке кэша браузера Гугл Хром.
Но буквально вчера все пошло чуть дальше, программу отметило как heur:Trojan.Multi.Misslink и у меня закрылись все папки и файлы, не работал браузер. 
Хотелось бы узнать от знающих людей, насколько это все опасно или безопасно.
P.S Троян уже возникал у другого пользователя на сайте github, разработчик говорит о ложном срабатывание, автор пишет что файл чист и никакого трояна там нет (1 скрин из той темы)
Заранее спасибо за ответы.

375938435-95579dfe-6137-4847-a268-cceb1cbe5100.jpeg

440144132-4e44f230-9ac9-4d7e-81de-8b83533e1f03.png

440144136-03002751-873d-4769-8b18-24f187190453.png

AlexeyK

AlexeyK

Posted
Posted
28 минут назад, Kataomi_3232 сказал:

программу отметило как heur:Trojan.Multi.Misslink

Какую программу? О ней на скринах вроде ничего нет.

28 минут назад, Kataomi_3232 сказал:

WinDivert64.sys (что ожидаемо) но помимо этого он жалуется на файлы в папке Windows > Temp и множество f_00 файлов в папке кэша браузера Гугл Хром.

Это все один и тот же файл, только в разных папках. Почему в кеше Хрома - не очень понятно, вроде там быть не должно. Или Вы его просто скачивали отдельно.

Kataomi_3232

Kataomi_3232

Posted
  • Author
Posted
21 минуту назад, AlexeyK сказал:

Какую программу? О ней на скринах вроде ничего нет.

Это все один и тот же файл, только в разных папках. Почему в кеше Хрома - не очень понятно, вроде там быть не должно. Или Вы его просто скачивали отдельно.

Программу zapret, а конкретнее файл WinDivert64, скринов к сожалению нет, вот тема с аналогичной ситуацией - https://github.com/bol-van/zapret/issues/550
Что касается кэша хрома, то один из пользователей ответил так - это кеш который не скачался в браузере, Оно и триггерится на него выдавая предупреждение, но безопасности винды на это похер она интерпретирует это как "стоп" и браузер который опирается на безопасность винды тоже.

Kataomi_3232

Kataomi_3232

Posted
  • Author
Posted (edited)
Цитата

Это все один и тот же файл, только в разных папках.

Скрин какой был, файлов на самом деле множество, ниже приклеплю фото как пример (взял с другой темы)
 

2025-05-06_14-48-32.png

Edited by Kataomi_3232
Kataomi_3232

Kataomi_3232

Posted
  • Author
Posted
2 минуты назад, andrew75 сказал:

А, ну это известная вещь. Странно почему они у вас раньше не туда писались.

Посмотрите эту тему - https://forum.kaspersky.com/topic/конфликт-с-goodbyedpi-54412/#comment-205177

 

А что насчет множества f_00 файлов и то, что касперский в моменте определил файл в троян? (тему выше скидывал, у человека аналогичная проблема была)

andrew75

andrew75

Posted
Posted
16 минут назад, Kataomi_3232 сказал:

А что насчет множества f_00 файлов

так работает zapret. Это неопасно. Что с этим делать написано по ссылке.

16 минут назад, Kataomi_3232 сказал:

касперский в моменте определил файл в троян?

тема, на которую вы дали ссылку, годичной давности. И там нет конкретики

Гадать на кофейной гуще неблагодарное занятие.

1 час назад, Kataomi_3232 сказал:

Хотелось бы узнать от знающих людей, насколько это все опасно или безопасно.

Что именно "это"?

Пока вы только приводите чужие скриншоты.

Kataomi_3232

Kataomi_3232

Posted
  • Author
Posted
Цитата

так работает zapret. Это неопасно. Что с этим делать написано по ссылке.

Понял.
 

Цитата

 

Что именно "это"?

Пока вы только приводите чужие скриншоты.

 

Под это я подразумеваю сам запрет, насколько его работа безопасна для использующего. 
Но в целом спасибо за ответы, насколько я понимаю ничего серьезного нет и это обычная практика для подобных программ.

andrew75

andrew75

Posted
Posted
23 минуты назад, Kataomi_3232 сказал:

Под это я подразумеваю сам запрет,

Дело в том, что есть разные реализации zapret-а. Есть даже версии со встроенным майнером, которые выдают себя за zapret.

Поэтому если программа получена из надёжного источника, то сама по себе она безопасна.

Но некоторые антивирусы ее не любят, из-за того что сам механизм ее работы может быть использован в деструктивных целях.

AlexeyK

AlexeyK

Posted
Posted (edited)
1 час назад, Kataomi_3232 сказал:

файлов на самом деле множество

Еще раз: это на самом деле один и тот же файл драйвера WinDivert во временной папке с разными именами.

1 час назад, andrew75 сказал:

так работает zapret.

При его работе создаются файлы в кеше Хрома? А то я не пользуюсь, не в курсе.

Edited by AlexeyK
andrew75

andrew75

Posted
Posted
33 минуты назад, AlexeyK сказал:

При его работе создаются файлы в кеше Хрома?

не знаю, я про последний скриншот, где они в TEMP

AlexeyK

AlexeyK

Posted
Posted
Только что, andrew75 сказал:

где они в TEMP

Ну с этим все понятно, а вот что там с кешем Хрома - не очень.)

3 часа назад, Kataomi_3232 сказал:

вот тема с аналогичной ситуацией - https://github.com/bol-van/zapret/issues/550

Тут изначально неправильная оценка ситуации ТС. Скорее всего этот детект в системной памяти heur:Trojan.Multi.Misslink вообще не имеет отношения к "запрету".

andrew75

andrew75

Posted
Posted
6 минут назад, AlexeyK сказал:

Скорее всего этот детект в системной памяти heur:Trojan.Multi.Misslink вообще не имеет отношения к "запрету"

да, я тоже так подумал.

  • Like 1
Kataomi_3232

Kataomi_3232

Posted
  • Author
Posted

Хм, а с чем тогда может быть связано появление heur:Trojan.Multi.Misslink?
Так еще забавно вышло, что я буквально за 2 часа до него проверял систему в безопасном режиме через сканнер KVRT + Eset Online Scanner.
Или данное явление не детектиться и появляется спонтанно? 
Из странностей могу заметить что мой гугл хром несколько раз в день вылетает и сам гугл выдает мне это - какое-то сторонее приложение изменило настройки, мы восстановили их по умолчанию. Вкладка расширений при этом автоматом переходит в режим разработчика + мой отец скачал игру из неизвестного мне источника. 
 

2025-05-06_17-50-39.png

2025-05-06_17-50-33.png

AlexeyK

AlexeyK

Posted
Posted
1 минуту назад, Kataomi_3232 сказал:

с чем тогда может быть связано появление heur:Trojan.Multi.Misslink?

Или данное явление не детектиться и появляется спонтанно? 

Я скачал, распаковал и просканировал архив по ссылке - при скане в нем найдено только ПНП. Кстати, примерно понятно, почему ловит в кеше Хром: это архив без пароля, при загрузке антивирус сразу детектрует файл. Скрин:

Спойлер

Screenshot_5.thumb.png.088ea80e050516b48c7ccab0e8218d2d.png

Просто так на основании рассказов и непонятного скриншота сказать не получится ничего. Может как раз дело в игре (если она вообще запускалась). Если действительно дело в этом запрете - нужно воспроизводить, чтобы понять, о чем речь, есть ли детект в памяти.

Где у Вас вообще было срабатывание - в антивирусе или KVRT? Есть ли запись об этом в отчетах?

@Kataomi_3232 Если хотите, можете проверить систему на наличие вредоносного ПО и вылечить ее при необходимости по этой ссылке, порядок оформления запроса здесь.

Kataomi_3232

Kataomi_3232

Posted
  • Author
Posted

Срабатывание было в антивирусе, запись в отчете есть (только не знаю как его отправить)
 

2025-05-06_18-58-43.png

AlexeyK

AlexeyK

Posted
Posted
22 минуты назад, Kataomi_3232 сказал:

запись в отчете есть

А Вам непременно требуется именно эта разновидность запрета? Есть другие, которые проверенные - в них точно ничего,кроме этого драйвера, нет. Тут еще какое-то расширение дететируется. Предположительно, после удаления файлов расширения и происходит это уведомление об изменении настроек сторонней программой.

Если не хотите лечить систему на форуме клуба, выполните полное сканирование антивирусом и удалите все найденные объекты кроме тех, в которых уверены и которые будут нужны. Удалите этот запрет и скачайте нормальный - сразу настройте исключение для WinDivert.

А в кеше Хрома я воспроизвел - вот такой детект при попытке скачивания архива.

Screenshot_1.thumb.png.427249de090099204f05c5fe80a9f6ea.png

Kataomi_3232

Kataomi_3232

Posted
  • Author
Posted (edited)

Пользуюсь самой популярной версией zapretа - https://github.com/Flowseal/zapret-discord-youtube Мне кажется 90% как раз сидят на ней, может все же дело в игре скачанной не понятно откуда ибо других идей у меня нет. После скачки игры сел за пк и увидел 2 рекламных приложения которых устранил.
 

Цитата

Если не хотите лечить систему на форуме клуба, выполните полное сканирование антивирусом и удалите все найденные объекты кроме тех, в которых уверены и которые будут нужны.

Проводил сегодня полную проверку пк в безопасном режиме с помощью KVRT + Eset Online Scanner + на завершение HitmanPro. Сейчас только только закончил проверять пк с помощью проверки самого касперского (выкрутил к тому же настройки на максимум) - ничего не находит и не находил. 

Edited by Kataomi_3232
AlexeyK

AlexeyK

Posted
Posted (edited)
16 минут назад, Kataomi_3232 сказал:

Пользуюсь самой популярной версией zapretа

Просто выше давали другую ссылку, я про нее и подумал. Эта вроде нормальная, с ней не должно быть проблем.

Раз все просканировали и ничего не находит, а что-то еще порой детектируется - что мы еще может тут сказать? Только если лечить с логами на форуме клуба. Если после удаления рекламных приложений проблем нет - ну тогда ничего и не делайте.) Ну или попробовать все же удалить игру.

Edited by AlexeyK

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...