Давайте на конретных примерах в отдельном (этом) топике

Прежлагаю указывать
- программа + конкретный исполняемый файл, к-рый "мочит" PDM
- скрин настроек "Анализа активности" PDM
- при каких конкретно действиях (запуск программы/ не просто запуск, а вып-е определенных действий при опред. "внешних" обстоятельствах/ и т.п) ?

Почему нужна конкретика в п2:
у меня, например, давно используемая тулза для очистки веременных файлов и прочих трейсов
была закарантинена с вердиктам "Private data and passwords access"

Детальный разбор показал, что Kav реагирует на создание/исп-е COM-объекта dll "pstorec.dll" (функции protected storage).
Т.е. мистики никакой , как правило, нет: есть логика, и по этой по логике - все правильно
А результут, тем не менее, мягко говоря, не вполне приемлим

PDM:анализ активности

1.) PDM: winlogon.exe

Настройки странные
(карантинить при ижекте в процесс; при этом, например, на инжект во все процессы не реагировать и т.п.), но сути это не меняет.

upd:
winlogon.exe не подписан


2.) PDM: explorer.exe / iexplorer.exe


3.) PDM: ClearProg

Утилита ClearProg - офсайт

При выполнении с установленным флагом "Auto-Complete entries in webforms" возникает срабатываение PDM "Private data and passwords access":
Click to view attachment

Почему так, указал в первом посте данного топика

PDM:RegMon

1.) Winlogon / explorer

Для конкретно этих случаев лично я создавал правила в контроле реестра (правило именно на GPExtensions и Position)

Такой вопрос:
Если открыть свойства проактивки, то для настроек по умолчанию, там для некоторых действий стоит - поместить на карантин. А если включить - завершить процесс? т.е. если произойдет ложное срабатывание, то файлик то не грохнется, а просто каспер будет его грохать, может это как-нибудь даст шансы системе не умереть при ложном срабатывании на правильные, системные файлы?

ЗЫ
Кто-нибудь включал: активность, характерная для р2р и червей?
стоит ли включать?

Imho,
Правильные системные файлы (с подписью MS) не должны грохаться в любом случае.
Патченные/с поврежденной (например, после лечения) подписью и т.п., это сугубо мое личное мнение на данный момент, могут.

Завершение vs Карантин - в процессе обкатки в кокретных условиях лично я бы поставил "Завершение".
Хотя завершение того же winlogon - тоже не сахар.


Включено. Но у меня не исп-ся приложения, могущие выполнять подобные действия. По крайней мере, я так думаю на данный момент : )
В общем, лично у меня данных по этому пункту пока недостаточно.

PDM:RegMon

2.) explorer: изменение значений "Position" и "Flags" в [HKCU\Software\Microsoft\Internet Explorer\Desktop\Components]:
описание

Аналогично посту #3 выше:
необходимо создать правила в PDM:Монитор реестра

PDM:анализ активности

1.) DeviceLock:
- линк
- линк