» KAV / AVP / Антивирус Касперского (Часть 8)

Recursion, Mushroomer
Спасибо, попробую!

Zwerg
Это к чему?
Никакой конкретики

K_Ok_O_S
Попробуй на своем железе этот Линуксовый РД
ftp://devbuilds.kaspersky-labs.com/devbuilds/RescueDisk10/kav_rescue_10.iso

С 19.11.10 перестали обновляться базы KIS7 (не зависимо с какого сервака или из зип-архива). На 21% после загрузки файла Auto patch....дальше не помню (если надо, уточню) процесс загрузки замедляется до бесконечности. Внешних эффектов нет, не ругается, ничего не пишет. Проц при этом грузит почти на 100%. Сделал следующее:
1.Проверил на вирусы- 4 трояна+1 вирус. Не помогло.
2.Почистил реестр - не помогло.
3.Переустановил KIS7, при этом пропатчил от блэк листов патчем Kaspersky solution (у зятя давно стоит прпатченный- этой проблемы нет). Не помогло.
Дальше не знаю где рыть. Может кто решал эту проблему?

не могу понять, по чему не заводятся функции антивируса.
какая нужна конкретика?

amsatuser
У ToppeaDop (см. предыдущую страницу) аналогичная трабла с обновлением, но правда с 6-ой версией. Что у него получилось он так и не отписался. Может тебе пора поменять сабжик на более продвинутую версию?

Zwerg
Пункт 5 делали?

amsatuser
24 обновлялся, сегодня - стоит KIS 7.0.0.125, никаких проблем. Правда обновляюсь через KLUpdater.

нет
не знаю об этом пункте

Добавлено:
не делал
не знаю про это

Похоже скандалы с цифровыми подписями программ не закончились, нашёл на руборде новые факты по этому поводу, посмотрел - действительно первый (главный) сертификат, выданный на Microsoft Root Authority является подлинным. Только интересно узнать как он попал в руки хакеров. Ждём новых сюрпризов от людей, благодаря которым антивирусные компании зарабатывают неплохие деньги.

Сообщение про украденную цифровую подпись Майкрософт:
http://forum.ru-board.com/topic.cgi?forum=55&topic=9791&start=3400#11
http://rghost.ru/3383306


Цитата:

Делаем следующее:
Вытаскиваем из архива любой файл с надписью "(подписан)".
Заходим в свойства файла, Цифровые подписи, Сведения, Просмотр сертификата, Путь сертификации, выделяем верхний сертификат "Microsoft Root Authority", Просмотр сертификата, Состав, кнопка "Копировать в файл", открывается мастер экспорта сертификатов, Далее-Далее-Обзор-имя файла куда сохранить, сохраняем.
Смотрим свойства этого сертификата (правая кнопка мыши - Открыть) - он действителен 100%, заметьте что мы ничего не запускали и не вносили в реестр.
Теперь берите этот верхний сертификат, который выделен из цепочки сертификатов и принесите хоть на 100 разных компьютеров - он на всех действителен 100%.

Misha1989
Что за дибилизм? Никто ничего не взломал. Тоже мне, хакеры на горшках.

Код: f:\downloads\??????\1 microsoft corporation\Autostop (????????).exe:
Verified: Invalid Signature
Signing date: 8:21 24.11.2010
Publisher: n/a
Description: n/a
Product: n/a
Version: n/a
File version: n/a

выполнил
куда выслать лог?

KapralBel
Спасибо за ответ. Пробовал все варианты RescueDisk, что на оффсайте - практически без разницы...
И всё-же, нельзя создать на базе KAV9 диск BartPE ?

Recursion
Цепочка рвётся на втором сертификате.
Поэтому в целом подпись не валидна, а вот первый сертификат более чем настоящий.
Я проверил по тому описанию что в цитате скопировал, полностью правда что корневой сертификат настоящий. Описание которое внутри архива проверять не стал, но думаю что не просто так его написали.

Когда ты ставишь свой кривой левый высранный (назови как угодно, главное чтобы было ясно, что полный левак) в корневые CA, то все, что подписано этим сертификатом автоматически становится доверенным. Я так делал для своих макросов на прошлой работе. Нужно было обеспечить автоматизацию рутинных процессов в Word и Excel. Так вот сбацал за две секунды сертификат средствами Офиса, положил в нужное место и все. Внутри организации все макросы работали как часы, что бы они не делали.

Zwerg

Цитата:

куда выслать лог?

<МойНик>@GMail.com

K_Ok_O_S
Отказались... разве что руками собирать
А какое именно железо?
Можно подать заявку и к выпуску 2011 - скорее всего уже поправят

Recursion
Прочти описание внимательно.
Ничего не ставишь никуда и никакие ключи реестра не импортируешь, просто извлекаешь из EXE-файла корневой сертификат (Microsoft Root Authority). Он действителен. Несёшь его к другу/подруге на комп - он действителен. Я лично проверил.
А если ты "свой кривой левый высранный" понесёшь на чужой комп - он не будет там действителен.

Просто видимо парни ещё не разобрались как можно используя настоящий корневой сертификат выстроить цепочку из трёх настоящих, но время у них предостаточно (до 31 декабря 2020 г. 7:00:00 - это срок действия корневого сертификата).

Народ, кто ставил 2011 - подскажите, у него действительно нет возможности выбора компонентов при установке?

Если нет - то нафига ЛК ее убрали? Мне вот например только сканер нужен.

Kaspersky Anti-Virus 11.0.1.400 CF1 английский финал
Release notes
ftp://ftp.kaspersky.com/products/english/homeuser/kav2011/release_notes_kav11.0cf1_en.html
Download
ftp://ftp.kaspersky.com/products/english/homeuser/kav2011/kav11.0.1.400en.exe

Misha1989
Ты что, издеваешься? Вот это тебя не удивляет:
[more=реестр]Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\AE604EC5C7E7D87147A7593211D4E8B0491D85F3]
"Blob"=hex:17,00,00,00,01,00,00,00,66,00,00,00,30,64,02,02,0e,10,30,5e,30,23,\
86,21,68,74,74,70,3a,2f,2f,6d,63,2e,79,61,6e,64,65,78,2e,72,75,2f,77,61,74,\
63,68,2f,32,30,33,38,31,34,34,30,37,86,35,68,74,74,70,3a,2f,2f,77,77,77,2e,\
62,6c,6f,67,70,6f,69,6e,74,2e,72,75,2f,63,67,69,2f,63,6f,75,6e,74,2e,63,67,\
69,3f,6f,77,6e,3d,32,37,36,38,31,30,26,6c,6a,3d,31,04,00,00,00,01,00,00,00,\
10,00,00,00,e0,0a,60,b9,84,7b,3d,21,dc,16,6e,78,ac,89,53,59,14,00,00,00,01,\
00,00,00,14,00,00,00,34,88,44,19,f7,f0,4a,21,06,6f,8e,dc,de,6e,cd,e2,32,81,\
bd,b5,19,00,00,00,01,00,00,00,10,00,00,00,dc,e3,98,ae,62,d3,0e,f8,48,86,cd,\
3c,19,9b,d3,1c,03,00,00,00,01,00,00,00,14,00,00,00,ae,60,4e,c5,c7,e7,d8,71,\
47,a7,59,32,11,d4,e8,b0,49,1d,85,f3,0f,00,00,00,01,00,00,00,10,00,00,00,e7,\
99,f9,b6,99,15,3d,c3,93,b7,56,b3,97,59,ca,a1,20,00,00,00,01,00,00,00,24,04,\
00,00,30,82,04,20,30,82,03,08,a0,03,02,01,02,02,0f,00,c1,00,8b,3c,3c,88,11,\
d1,3e,f6,63,ec,df,40,30,0d,06,09,2a,86,48,86,f7,0d,01,01,04,05,00,30,70,31,\
2b,30,29,06,03,55,04,0b,13,22,43,6f,70,79,72,69,67,68,74,20,28,63,29,20,31,\
39,39,37,20,4d,69,63,72,6f,73,6f,66,74,20,43,6f,72,70,2e,31,1e,30,1c,06,03,\
55,04,0b,13,15,4d,69,63,72,6f,73,6f,66,74,20,43,6f,72,70,6f,72,61,74,69,6f,\
6e,31,21,30,1f,06,03,55,04,03,13,18,4d,69,63,72,6f,73,6f,66,74,20,52,6f,6f,\
74,20,41,75,74,68,6f,72,69,74,79,30,1e,17,0d,39,37,30,31,31,30,30,37,30,30,\
30,30,5a,17,0d,32,30,31,32,33,31,30,37,30,30,30,30,5a,30,70,31,2b,30,29,06,\
03,55,04,0b,13,22,43,6f,70,79,72,69,67,68,74,20,28,63,29,20,31,39,39,37,20,\
4d,69,63,72,6f,73,6f,66,74,20,43,6f,72,70,2e,31,1e,30,1c,06,03,55,04,0b,13,\
15,4d,69,63,72,6f,73,6f,66,74,20,43,6f,72,70,6f,72,61,74,69,6f,6e,31,21,30,\
1f,06,03,55,04,03,13,18,4d,69,63,72,6f,73,6f,66,74,20,52,6f,6f,74,20,41,75,\
74,68,6f,72,69,74,79,30,82,01,22,30,0d,06,09,2a,86,48,86,f7,0d,01,01,01,05,\
00,03,82,01,0f,00,30,82,01,0a,02,82,01,01,00,d1,1c,fa,b6,83,cb,d4,47,26,da,\
b7,4a,72,24,ea,be,dd,39,f9,2d,59,b9,4b,60,97,c5,14,0a,1f,85,0d,b3,76,18,51,\
27,0c,d8,81,b5,08,92,ca,22,c9,5a,86,60,1f,9d,7e,78,bf,7d,e2,b1,47,12,df,05,\
d4,af,fc,77,05,71,56,4a,11,5b,36,8a,07,f1,fe,f3,ca,f6,2f,86,c9,e6,1e,e5,07,\
b1,c6,3c,e7,b1,cd,e6,6e,fd,86,3a,89,a8,2b,c4,2e,60,29,dd,58,b1,be,c8,39,82,\
33,c8,0f,c8,1a,60,23,3e,73,51,f0,89,eb,2d,09,6e,f0,e5,72,9e,69,c4,b4,fa,74,\
1a,ba,60,d9,b4,29,7e,8f,d3,6c,4b,a9,03,fb,40,53,bb,54,2b,f1,18,07,0a,53,34,\
af,94,6e,40,73,cb,8c,a8,74,7e,80,65,9c,e5,5e,da,b8,2c,7c,1b,44,a7,f4,4b,80,\
59,30,be,4d,ae,15,da,ed,cb,c0,d3,52,08,33,d3,f2,95,9c,bd,3b,10,a0,2b,f8,bc,\
75,b9,a5,ac,72,fc,5b,f3,16,8d,f3,af,eb,a6,11,d2,25,90,31,6e,e3,99,2d,b2,2d,\
2e,3d,28,d2,53,44,68,8b,d8,c3,e0,84,1b,f3,9d,4f,ac,95,50,20,ed,02,03,01,00,\
01,a3,81,b6,30,81,b3,30,81,a2,06,03,55,1d,01,04,81,9a,30,81,97,80,10,5b,d0,\
70,ef,69,72,9e,23,51,7e,14,b2,4d,8e,ff,cb,a1,72,30,70,31,2b,30,29,06,03,55,\
04,0b,13,22,43,6f,70,79,72,69,67,68,74,20,28,63,29,20,31,39,39,37,20,4d,69,\
63,72,6f,73,6f,66,74,20,43,6f,72,70,2e,31,1e,30,1c,06,03,55,04,0b,13,15,4d,\
69,63,72,6f,73,6f,66,74,20,43,6f,72,70,6f,72,61,74,69,6f,6e,31,21,30,1f,06,\
03,55,04,03,13,18,4d,69,63,72,6f,73,6f,66,74,20,52,6f,6f,74,20,41,75,74,68,\
6f,72,69,74,79,82,0f,00,c1,00,8b,3c,3c,88,11,d1,3e,f6,63,ec,df,40,30,0c,06,\
03,55,1d,13,04,05,30,03,01,01,ff,30,0d,06,09,2a,86,48,86,f7,0d,01,01,04,05,\
00,03,82,01,01,00,a1,15,fa,c4,b6,8e,44,9e,44,50,29,4a,53,e1,af,ef,94,c6,37,\
d4,b4,c4,64,05,31,71,46,5d,e3,ba,c5,3b,f3,fe,46,2a,4c,80,ae,91,ed,be,91,ae,\
64,49,49,aa,fb,3d,fa,b6,0e,9c,91,0d,be,66,2a,35,dc,e5,b3,26,2a,40,5f,8f,7c,\
6a,70,d1,92,4e,05,00,e6,ab,97,57,53,33,58,a3,0e,23,cd,3f,94,f0,c0,31,dd,eb,\
32,8a,c0,2c,b2,bf,96,da,1c,ce,70,80,b9,ab,aa,44,b4,60,1b,09,f9,95,bf,b6,00,\
b7,c9,e1,e9,45,63,cd,08,ce,a6,24,14,c2,70,6c,ea,e0,36,e0,f3,e1,63,15,ce,d0,\
1f,67,24,d2,30,40,13,fb,f2,cc,10,c7,57,94,6e,f6,f7,e1,cd,9a,d0,5d,22,3e,d5,\
76,aa,f4,6d,5d,86,8a,4c,2b,6d,ef,85,88,93,f0,c3,64,4d,ff,2c,26,17,84,a1,5c,\
03,1a,f1,b8,5c,2f,64,2a,2e,bc,e5,5f,5e,8f,e6,67,25,35,e4,51,fa,8f,50,a2,f9,\
b8,94,81,8c,4a,e0,61,04,a6,79,05,df,5d,2a,2c,ca,2c,b0,e7,4e,a1,2e,5a,db,31,\
3e,ad,78,a8,61,0d,05,71,b8,da,1d,f4[/more]
Это и есть добавление говна в CA и теперь на ЭТОМ компе говно будет доверенным.

2 All
Обновил информацию в шапке:
Цитата:

Kaspersky Anti-Virus 11.0.1.400 CF1 - Eng | Deu | Release Notes (Eng)...

2 All
В связи с неактуальностью удалил из шапки ссылки на:
Цитата:

Kaspersky Anti-Virus 11.0.0.232 - Eng | Deu | Release Notes (Eng)...

Recursion
Это ты издеваешься. Я тебе ещё раз говорю - неси сертификат на другой комп без этого ключа реестра, и он там будет действителен. Именно корневой сертификат - отрезай его и неси.


Цитата:

Делаем следующее:
Вытаскиваем из архива любой файл с надписью "(подписан)".
Заходим в свойства файла, Цифровые подписи, Сведения, Просмотр сертификата, Путь сертификации, выделяем верхний сертификат "Microsoft Root Authority", Просмотр сертификата, Состав, кнопка "Копировать в файл", открывается мастер экспорта сертификатов, Далее-Далее-Обзор-имя файла куда сохранить, сохраняем.
Смотрим свойства этого сертификата (правая кнопка мыши - Открыть) - он действителен 100%, заметьте что мы ничего не запускали и не вносили в реестр.
Теперь берите этот верхний сертификат, который выделен из цепочки сертификатов и принесите хоть на 100 разных компьютеров - он на всех действителен 100%.

Ты видишь в этом описании что надо вносить ключ в реестр?

А ключ реестра этот нужен чтобы стала действительной вся цепочка из трёх сертификатов, видимо парни не знают как правильно воспользоваться корневым без всяких ключей реестра.

Прошу прощения за молчание, почему-то топик не добавился в подписку, а за всякими делами упустил из виду.
MirCyber

Цитата:

хотя бы пример что именно было найдено, названия якобы вирусов

http://www.virustotal.com/ru/analisis/ee10dcbcb380400fa98decba3ca0c2dccb510978dd0c5ddeaf7cd68f9d0f52ef-1278953839
http://www.virustotal.com/ru/analisis/d278f8ee71cc0445976c004ec98c6a260dde0f7519b5ccc0fcdf812ed73a0173-1279004555
http://forum.ru-board.com/topic.cgi?forum=35&topic=47364#6

Файл чистА кАнкретно родной, то бишь, с оригинального iso от девелопера. Никакой заразы в нем нет и не было.

Цитата:

это практически единственный антивирус - который реально защищает

Сильно сказано! Но вера и реальность несколько разные штуки.
WatsonRus

Цитата:

ИМХО как раз Каспер особо в этом не замечен, в отличие от всяких там Авир

Мне постоянно приходится разбираться по ТимВьюеру с этим "защитником" на компе у друга, ибо Кашпировский колотит понты, друг будучи чайником нервничает. При детальных разборках всегда полный ажур, то бишь, постоянные ложные срабатывания. Даже параноидальная Авира такого себе не позволяет, юзаю давно и очень успешно.
OFFEND

Цитата:

Пастернака не читал, но осуждаю©

Не совсем так, когда-то очень давно юзал. Сейчас см.чуть выше. Чтобы понять что яйцо тухлое, не нужно его есть
P.S. А ежели я начну приводить примеры, когда чайники с помощью Кашпировского крысятся на что попало, замаетесь отсылать в техсуппорт для проверки и исключения ложных срабатываний.

Ты меня убиваешь.
Еще раз говорю - подпись можно таскать. Иначе, как бы я разнес ее по всем компам в организации в той истории с макросами? На каждом генерил бы? Корневая действительно принадлежит MS и ее можно сохранить, в этом нет ничего не обычного, это обычная штатная процедура Windows. Просто проги нельзя ею реально будет подписать так, чтобы конечная подпись также была действительна.

Misha1989
Просьба создать отдельный топик и там писать об этом. К теме данного топика это не имеет никакого отношения. Спасибо за понимание.

WatsonRus

Цитата:

действительно нет возможности выбора компонентов при установке

Нет, можно только выбрать папку, куда ставить и защитить процесс установки.

VikIgn
07:53 21-07-2010
Цитата:

Нет, можно только выбрать папку, куда ставить и защитить процесс установки.

Это плохо. А после инсталляции тоже нельзя в "Установка и удаление программ" через "Изменить/Удалить" убрать ненужные модули?

Если нет - тогда пусть 2011 идет лесом.

Здравствуйте. Подскажите, пожалуйста, как можно сбросить пароль к настройкам KWS 6.0 на Windows 7? Дело в том, что трюк, описанный в шапке к большому сожалению не проходит на «семерке» (x86). На WinXP все идет на ура, а вот с «семеркой» что-то не получается? Может быть, есть какие-то хитрости применительно к Win7, о которых справка умалчивает? Заранее большое спасибо.

Astra55
Цитата:

Цитата: хотя бы пример что именно было найдено, названия якобы вирусов

...
...
http://forum.ru-board.com/topic.cgi?forum=35&topic=47364#6