» Kaspersky Internet Security - KIS

HarDDroN
Никто не знает

krliman
Цитата:

Это присутствует на новой версии. Как сказано на хомяке (я там поднимал эту тему) - всё будет исправлено с базами. А может и новым хотфиксом...

В смысле - в 736-й? На более ранних версиях такого не было?

gjf
Цитата:

Добавь проги в исключения.

Все подряд? Не, лучше подожду, может и пофиксят. Сильно не напрягает вроде бы, просто думал - может я чего-то в настройках упустил..

BennyBlanco
Цитата:

Не уверен решит ли это твою проблему, попробуй.

Ну уж явно "Вход в систему" и вот как вчера программа CursorXP (изменяет курсоры) запускается в день минимум по одному разу. Подожду, может пофиксят.

Запуск продуктов каспера возможен намного раньше уровеня userinit... Вот [more=пример]
Создание группы запуска:
В раздел реестра:
Код: HKLM\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder

Akam1
А все и не надо. Можно и отдельные.

yurkesha

Цитата:

Вопросы связанные с автозапуском каспера в настройке решаются добавочными средствами которые я даже рассматривать не хочу в данном примере.
Уточнять пример не намерен - кому надо, но непонятно - читаем мануалы по винде

Нет, ну никто не спорит, что Вы - Великий Кодер, Программер, Хакер и Администратор Windows-систем. Но общественность жаждет готовых решений, а не

Цитата:

а создавать лучше через instsrv.exe

Цитата:

я даже рассматривать не хочу

Цитата:

читаем мануалы по винде

Так что если есть, что сказать - говорите, не томите!

Данная информация предназначена для тех кто понимает о чем речь - всех остальных просьба не пытаться убить свою систему пытаясь бездумно применить пример у себя...

Добавлено:
Я не претендую ни на кодера ни на хакера и так далее... Просто у меня это работает. Делюсь. Готовое решение смогу дать не ранее выходных и то с оговорками....

yurkesha
Дык и в скине систему можно было убить, что неоднократно делалось. И тоже оговаривалось. Толку?
Тут сидят разные люди - от домохозяек до опытных пользователей, а потому писать надо, понимая, что прочтут все, в том чис и те, кто ничего не поймёт Это неизбежные риск и побочный эффект.

А почем не поднять выше System Reserved? RkU, к примеру, именно там прописывается. Или не хватит служб, от которых зависит?

GUI раньше может не подняться... А раньше в теме упоминалось что защита фактически не пашет до поднятия GUI. Ну а растаскивать по разным группам запуска - это сильно все усложнять...

yurkesha

Цитата:

GUI раньше может не подняться

То есть не пробовали?

gjf
Выше не пробовал - времени на эксперименты не хватает... Выбирал уровень запуска исходя из субъективных предположений... Да особо выше и смысла особого нет - сеть опередили, а остальное уже не важно...

yurkesha
Хм, не запустилось. Странно, по идее должна была.
При попытке просмотра свойств новой службы в начале выдаёт вот это:

Подозреваю, что это вот от этого:

Цитата:

"0"="Root\\LEGACY_AVP_GUI\\0000"

Мы этот самый легаси авп где описывали?

Ещё неясно: зачем

Цитата:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\AVP_GUI\Parameters]
"Application"="C:\\Program Files\\Kaspersky Lab\\Kaspersky Internet Security 2010\\avp.exe"

когда есть

Цитата:

"ImagePath"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,\
5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,52,00,56,\
00,41,00,4e,00,59,00,2e,00,45,00,58,00,45,00,00,00

И ещё зачем

Цитата:

"DependOnService"=hex(7):41,00,56,00,50,00,00,00,00,00

- у нас не гуй зависит от службы, а служба от гуя. По сути без гуя слуюба не запустится, а в таком варианте получим замкнутый круг.

ImagePath = C:\WINDOWS\system32\SRVANY.EXE
DependOnService = AVP
Вот почему я сказал что ставить надо через instsrv... Это не будет работать без дополнительных компонент.

Добавлено:
instsrv и srvany - утиля из ресорскита....

yurkesha
Я знаю, что такое srvany. Моя ошибка - надеялся, что запустится как служба через srvinstw.exe. Поправил. Работает. И выше если поднять - тоже.

Если в
Код: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_AVP_GUI

gjf
Исправь

Цитата:

9. Заходим в ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control
\ServiceGroupOrder. Вписываем в параметр Lost

на

Цитата:

9. Заходим в ветку HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder. Вписываем в параметр List

Каспером-то можно но сомневаюсь чтоб службой AVP_GUI...

yurkesha
Там сходу слетает альтернативный скин. Так что если стоял пароль - его до манипуляций надо снять. Потом восстановить скин и пароль установить заново.

Ещё пообкатываю и дам окончательные рекомендации.

Добавлено:
Кстати, единственное сомнение: будет ли выводится в трее иконка КИСа с меню и доступом к параметрам у ограниченных учёток? Интерактивность-интерактивностью, но запуск от имени LocalSystem....

Понятно, что выгружать ограниченники прав не должны иметь, но управлять (при знании пароля КИСа) - по идее должны...

У меня на работе учётки кроме админской отключены, кто-то рискнёт проверить у себя?

yurkesha
gjf
Все выше сказанное вами для каких касперов?

BennyBlanco
Обкатано на KIS 2010. По другие тоже должны работать, просто не знаю, как в реестре их службы пропишутся, возможно, имена другие.

Добавлено:
так что, знатоки-кодеры, что делать с LEGACY_AVP_GUI ?

gjf
Под ограниченной учеткой работает нормально. Рулится по-полной, службой как и предполагалось порулить нельзя.

Проблема: теряется значок каспера в трее при смене пользователя без ребута.
При этом если вручную запустить avp.exe то запустится новый процесс при завершении которого выгрузится служба AVP, а AVP_GUI так и останется в памяти...

Добавлено:

Цитата:

так что, знатоки-кодеры, что делать с LEGACY_AVP_GUI ?

Ничего не делать. По-умолчанию данная ветка закрыта для редактирования - так что правильней всего работать через instsrv:
instsrv.exe AVP_GUI "%SystemRoot%\SYSTEM32\srvany.exe"
и потом уже дописывать параметры в реестр.

yurkesha
Всё там можно. Обновил инструкцию. Сейчас только две неприятности замечено:
1.
Цитата:

теряется значок каспера в трее при смене пользователя без ребута.
При этом если вручную запустить avp.exe то запустится новый процесс при завершении которого выгрузится служба AVP, а AVP_GUI так и останется в памяти.

2. При выходе из Касперского служба AVP_GUI остаётся в памяти - останавливать нужно вручную.

1. Самозащиту Касперского отключить. Автозапуск Касперского отключить. Скрываем предупреждение, для чего вносим изменения в скин:
loc\prot.loc.
В секции [s_ProductStateList] и [s_ProdStateSeverity] комментарим #ProdStateProductNotAutoRun, т.е. ставим точку с запятой.

Код: [s_ProductStateList]
....
;#ProdStateProductNotAutoRun
....

gjf
Дык я же не сказал что невозможно
Я сказал
Цитата:

По-умолчанию

Оно можно и консольным скриптом переопределить права... Но зачем?! Если уж берем srvany из ресорскита винды то достаем одновременно с ним и instsrv и проблем не имеем.
Тем более выше когда я говорил о возможности ограниченного решения - я имел в виду что решение (которое приходит навскидку в голову) - скрипт который в зависимости от операционки будет отрабатывать разные ветки алгоритма. И скажем для Win7 x64 я пока не могу сказать как правильно его будет реализовать.
Изолированные решения, скажем только под WinXP x86 можно прям на коленке слепить одним файлом....

yurkesha

Цитата:

Изолированные решения, скажем только под WinXP x86 можно прям на коленке слепить одним файлом....

Ну так валяйте!

Один маленький момент. В этом случае, как и с userinit, имеем тоже компромисс.

С userinit слабость была в том, что если при активной инфекции (ну, скажем, отключали мы КИСа, а потом хватанули что-то ) если служба зловреда грузится раньше userinit (например, на уровне сетевых драйверов) и активно противодействует запуску антивируса, то имеем крах системы. Всё просто: зловред активен, avp.exe запускать не даёт, а avp.exe не может запустить userinit.exe. Оп-ля! Таким свойством обладает, если мне память не изменяет, Bagle.

C рано запускаемой службой имеем другой компромисс: службы стартуют не последовательно, но одновременно, а значит, если машина слабая, то пока avp.exe инициализируется, успеют запуститься все, кому не лень, включая userinit.exe, winlogon.exe, explorer.exe и иже с ними. Правда, даже на слабеньком P4-2.66 с 1 Гб не самой быстрой ОЗУ Каспер запускаться успевал, но теоретически такая ситуация быть может. И единственный плюс в этом случае - система не крашится, просто будет видно, что Каспер не запустился в трее.
Ну и добавим к этом лаги с переключением пользователей, о которых выше говорилось.
Потому и говорю - на любителя!

gjf !

Диалог отсюда :

Вопрос:

Цитата:

"Быстрый поиск руткитов" - в настройках указано - "вручную".
Я его не запускаю, а время его последнего запуска - обновляется!
Скрытый самопроизвольный автозапуск?
Подробнее - здесь
Баг или фича?

Ответ:

Цитата:

баг скина, фича КИС

Скин v.15a действительно, имеет такой баг?

Bolenic
И не только он

Подскажите,подхватил какую то заразу с моего квипа шлется всем Привет, вот сайт можно прочитать чужие СМС, посмотреть кто звонил и все работает, проверено мной стоит KIS 9.0.0.736 который не чего находит, заранее большое спасибо.

gjf
Цитата:

службы стартуют не последовательно, но одновременно

это верно только для тех служб у которых не указана группа запуска - стартуют в конце и практически одновременно. Так же если в пределах одной группы запуска у нескольких служб не указан таг то на данном уровне запуска они стартанут в последнюю очередь и одновременно.
Вот именно для неодновременности мы и будем указывать эти паараметры


Добавлено:
MALDINI
смени пароль на асю... Непосредственно на твоем компе может ничего и не быть уже...

yurkesha
Хм, не знал. А откуда инфа?

Добавлено:
Кстати, у нас уже есть служба avp.exe -r. Ну собственно - та, на которой мы зависимость строим. Что она делает? А если убрать AVP_GUI и переделать avp.exe -r в просто avp.exe - что поимеем?

Подсознательно чувствую, что поимеем себя и получим неработающий КИС Ты не пробовал в качестве эксперимента?

gjf
Лично я узнал об этом вот из этой статьи.

yurkesha
Вы абсолютно правы и действительно всё работает. Спасибо за ценную наводку.
Однако инфа, приведённая в статье справедлива для 2000, то, что она работает на ХР - удача. Есть идеи по Vista/Seven?

gjf
Это не удача - там ведь были ссылки на мелкософтовскую статью в базе знаний...
Это касается всех систем на базе ядра NT(NT,2K,XP,VISTA,2003,2008,Win7).
[more]То есть - всего существует три уровня управления:
Уровень запуска - определяется START и имеет высший прироритет при обработке.
Уровни в порядке убывания приоритета:
start=0x0
start=0x1
start=0x2
Далее группа запуска - определяется параметром Group
Группа в порядке убывания приоритета перечислены в параметре List в HKLM\SYSTEM\CurrentControlSet\Control\ServiceGroupOrder
Далее флаг запуска(тэг, таг) - определяется параметром Tag
Существующие флаги для каждой группы прописаны в HKLM\SYSTEM\CurrentControlSet\Control\GroupOrderList в параметре с именем группы. При этом вначале в параметр записано количество флагов, а потом все доступные флаги перечисляются в порядке убывания приоритета.
При загрузке вначале стартует все с высшим уровнем запуска, внутри одного уровня запуска приоритеты расставляются согласно группе запуска, внутри группы - согласно флагу.
Если группа и флаг не указаны - стартует в последнюю очередь.[/more]
Сорри за оффтоп. Это вкратце чтобы понятен был механизм работы.

В силу специфики существующих групп запуска на разных системах надо принять правильное решение о том куда именно надо вставить группу запуска каспера, чтобы не слишком рано и не слишком поздно. Притом привязываться надо к универсальным именам групп которые заведомо будут существовать в любой редакции той или иной операционки. И для создания универсального скрипта надо вначале проверить все ручками на всех системах.

yurkesha
Постом выше ссылка на эту мелксофтовскую статью. И там вот что:

Цитата:

APPLIES TO

* Microsoft Win32 Device Driver Kit for Windows NT 3.5
* Microsoft Win32 Device Driver Kit for Windows NT 3.51
* Microsoft Win32 Device Driver Kit for Windows NT 4.0
* Microsoft Win32 Device Driver Kit for Windows 2000

Добавлено:
Ну если про меня - я доволен реализацией на ХР! Что с Вистой/Семёркой - не знаю.
Камрады с оффорума выразили неоднозначное мнение.

Цитата:

----------------------------------------------------------------------
Короче, попробовал эту штуку.
Оно конечно работает. EICAR в автозагрузке ловится, Но батничек с "avp.com status >c:\aaaa" в Userinit показал, что
Task State Completion Description
---------------------------------------------------------------------
AdBlocker disabled
AdBlockService stopped
AdvDis stopped
AntiPhishingService running
Anti_Spam running
AVService running
AVZ_PrivacyCleaner stopped
AVZ_RunScript stopped
AVZ_Scan_Vulnerabilities stopped
AVZ_SecurityTweaker stopped
Avz_Troubleshoot stopped
File_Monitoring starting
Firewall running
Hips running
HipsTask running
HTTP stopped
ICQ stopped
ids running
IMAP running
IM_Monitoring starting
IRC stopped
Jabber stopped
KASFltService stopped
KLSRL running
MailWasher running
Mail_Monitoring starting
MMP stopped
MSN stopped
NetDetails stopped
NetWatch running
NNTP running
ParCtl disabled
pdm starting
POP3 running
ProcMon running
Rollback stopped
RollbackPatch stopped
SandBox running
Scan_Critical_Areas stopped
Scan_My_Computer stopped
Scan_Objects stopped
Scan_Qscan completed
Scan_Quarantine stopped
Scan_Rootkits stopped
Scan_Startup stopped
Scan_Vulnerabilities stopped
SMTP running
StartupService stopped
Statistics stopped
SysWatch running
TrafficMonitor running
Updater completed
WebNetStat running
WebToolbar stopped
Web_Monitoring starting
httpscan starting
sc starting
WMUF running
YHO stopped
-----------------------------



т.е не запустились ещё, а значит могут пропустить
QUOTEFile_Monitoring starting
IM_Monitoring starting
Mail_Monitoring starting
pdm starting
Web_Monitoring starting
httpscan starting
sc starting
-----------------------------


В отчёте видно что Каспер стартует раньше всех SVCHOSTов, что конечно радует. Видно также куча "Разрешено" неизвестно кому на запуск драйвера. Где-то на третий драйвер вываливается предупреждение каждый раз.
Жму "Разрешить" и "неизвестное приложение" продолжает дальше грузить другие дрова. Явно это гемор.

До конца не разобрался с этими приоритетами порядка загрузки. Но мне кажется в службу "avp -r" не надо было лепить Tag и Group. Вроде avp.exe её и так запустит.

Смущает использование полулегальной утилиты srvany.exe, которая без инета попадает в слабые и висит потом в процессах. Заметил так же увеличение времени до выключения компа.

Короче способ на любителя. При сносе\перестановке надо не забыть вернуть все на место, тоже гемор. Не уверен как же всё работает. В 8-ке у меня нет группы klbg, в которую входит одноименный драйвер. Там они с KLIFом сидят в "FSFilter Activity Monitor".
Наверное KLIF грузится раньше AVP_GUI из-за параметра Start=1. У AVP_GUI он равен 2, и это возможно имеет приоритет. Кстати на 8-ке у KLIF Start=0, т.е ещё раньше.

gjf
Цитата:

Камрады с оффорума

по-видимому не совсем понимают процесс происходящих при запуске от имени локальной системы... Почему по-твоему слетал стандарный скин? Вот поэтому все не так просто... Придется создавать профили настроек по умолчанию для каспера и перемещать их в дефолный профиль для того чтобы все заработало как надо.
Цитата:

Но мне кажется в службу "avp -r" не надо было лепить Tag и Group.

Когда кажется - крестятся. Я вполне могу понять людей которые чего-то не знают(я сам такой - мало что знаю), но в вещах которые узнаешь надо разбираться и применять их по назначению. А то так и будет свалка служб сторонних производителей которые не удосужились ознакомиться с документацией на винду...
Цитата:

Смущает использование полулегальной утилиты srvany.exe

"Windows Server 2003 Resource Kit Tools"это полулегальная штука? А что тогда легально?



Добавлено:
И вообще эти ухищрения нафиг не нужны были бы если бы производитель предусмотрел возможность раннего старта(ну скажем ядро на уровне start=0 то есть на уровне драйверов ядра) своего продукта...