Jump to content
it-nico

Обнаружено угроз: 1" в 4 экземплярах (1 в Управлении защитой + 3 Управлении задачами)

Recommended Posts

Здравствуйте,

в последующих сборках баг исправлен.

Спасибо.

На случай, если это действительно баг, а не логика программы, добавил на ftp 2 трассировки с исчезновением ссылки "Есть активные угрозы".

Prestige0.7z

1. включил трассировку

2. вышел из касперского, подождал, зашел снова

3. сохранил текстовый файл с Эйкар проверкой

4. дождался исчезновения ссылки на активные угрозы

5. запустил Выборочную проверку на 0 объектов

6. остановил трассировку

В итоге получил "Обнаружено угроз: 1" в 4 экземплярах (1 в Управлении защитой + 3 Управлении задачами) и непониманием, что с этим делать (напомню, полная проверка также не помогает)

Prestige1.7z

То же, кроме этапов 2 и 5.

P.S. Я не фокусник

P.P.S.

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
Edited by it-nico

Share this post


Link to post
На случай, если это действительно баг, а не логика программы, добавил на ftp 2 трассировки с исчезновением ссылки "Есть активные угрозы".

Prestige0.7z

1. включил трассировку

2. вышел из касперского, подождал, зашел снова

3. сохранил текстовый файл с Эйкар проверкой

4. дождался исчезновения ссылки на активные угрозы

5. запустил Выборочную проверку на 0 объектов

6. остановил трассировку

В итоге получил "Обнаружено угроз: 1" в 4 экземплярах (1 в Управлении защитой + 3 Управлении задачами) и непониманием, что с этим делать (напомню, полная проверка также не помогает)

Prestige1.7z

То же, кроме этапов 2 и 5.

P.S. Я не фокусник

P.P.S.

 

Здравствуйте,

 

Данный сценарий связан все с той же проблемой.

 

Спасибо за информацию!

Share this post


Link to post
Здравствуйте,

 

Данный сценарий связан все с той же проблемой.

 

Спасибо за информацию!

Здравствуйте,

Именно! Но в тех трассировках момент перехода угрозы из активной в обнаруженные не записан.

P.S. Просто не хотелось бы объяснять пользователям, что обнаруженная угроза уже "обезврежена", а статистика обнаружений у админа и так есть, поэтому вцепился в вас, извините(

 

Share this post


Link to post
Здравствуйте,

Именно! Но в тех трассировках момент перехода угрозы из активной в обнаруженные не записан.

P.S. Просто не хотелось бы объяснять пользователям, что обнаруженная угроза уже "обезврежена", а статистика обнаружений у админа и так есть, поэтому вцепился в вас, извините(

 

Уточнил у разработчиков - возможно это поведение относится к отдельной баге. Перенесем в отдельную тему. Также присылайте новые иллюстрирующие проблему скриншоты, ожидаемое поведение и текущее.

 

Спасибо!

Share this post


Link to post
Уточнил у разработчиков - возможно это поведение относится к отдельной баге. Перенесем в отдельную тему. Также присылайте новые иллюстрирующие проблему скриншоты, ожидаемое поведение и текущее.

 

Спасибо!

Для Мониторинга системы обнаружил схожее поведение:

- запустил программу Aspia (Системная информация), при запуске устанавливающую свой "драйвер в режиме ядра" / службу

- служба установилась, а драйвер - нет (при отключенном касперском все работает)

- обнаружил, что счетчик "Обнаружено угроз" вырос, а в журнале Мониторинга системы появились такие события:

post-572019-1445833626_thumb.jpg

- при этом в главном окне в Управлении защитой "Заблокировано программ: 0", а программа по умолчанию находится в доверенных

post-572019-1445834225_thumb.jpgpost-572019-1445834194_thumb.jpg

- удаление программы не скидывает счетчик, а перемещение в другую директорию и запуск снова увеличивает его

Таким образом, предполагалось рост счетчика Мониторинга системы и, возможно, обнаружение контролируемых ограничений в "Контроле активности программ",

а обнаружено все то же возрастание счетчика "Обнаружено угроз".

Share this post


Link to post
Для Мониторинга системы обнаружил схожее поведение:

- запустил программу Aspia (Системная информация), при запуске устанавливающую свой "драйвер в режиме ядра" / службу

- служба установилась, а драйвер - нет (при отключенном касперском все работает)

- обнаружил, что счетчик "Обнаружено угроз" вырос, а в журнале Мониторинга системы появились такие события:

boufer_obmena_1.jpg

- при этом в главном окне в Управлении защитой "Заблокировано программ: 0", а программа по умолчанию находится в доверенных

boufer_obmena_2.jpgboufer_obmena_3.jpg

- удаление программы не скидывает счетчик, а перемещение в другую директорию и запуск снова увеличивает его

Таким образом, предполагалось рост счетчика Мониторинга системы и, возможно, обнаружение контролируемых ограничений в "Контроле активности программ",

а обнаружено все то же возрастание счетчика "Обнаружено угроз".

 

здравствуйте,

уточните, пожалуйста, почему вы считаете, что после удаления счётчик должен на одно значение уменьшаться ?

Спасибо.

Share this post


Link to post
здравствуйте,

уточните, пожалуйста, почему вы считаете, что после удаления счётчик должен на одно значение уменьшаться ?

Спасибо.

Здравствуйте,

не знаю, в моем понимании счетчик "обнаружено угроз" в управлении задачами подразумевает наличие на компьютере опасных файлов, с которыми надо что-то сделать (Это ведь управление задачами), и проще всего файл удалить, а поскольку обнаружение дает "Мониторинг системы", действующее в фоне, теоретически данный компонент мог бы отследить удаление. Но я так понял, что поскольку подозрительной касперский считает не сам файл, а его активность - установку драйвера, счетчик не уменьшается. Тогда, в свою очередь, непонятно, почему при перемещении программы в другую папку и запуске счетчик увеличивается несмотря на то, что драйвер устанавливается тот же и туда же.

Share this post


Link to post
здравствуйте,

уточните, пожалуйста, почему вы считаете, что после удаления счётчик должен на одно значение уменьшаться ?

Спасибо.

Кстати, если вручную включить программу Aspia в доверенные (Настройка->Антивирусная защита->Исключения из проверки и доверенные программы), то Мониторинг системы отлавливает то же действие "PDM:RiskWare.Driver.Installation.a" от c:\windows\system32\services.exe и снова увеличивает счетчик. Таким образом, драйвер, очевидно, устанавливается уже от имени службы (а установка служб для данной програмы разрешена "Правилами контроля программ").

P.S. Драйвер служит для отображения датчиков температуры платы/процессора

Share this post


Link to post

Добрый день!

 

Сегодня выложили 2-ю бета версию MR2. Можете протестировать на ней и сообщить о результате?

 

Спасибо!

Share this post


Link to post
Добрый день!

 

Сегодня выложили 2-ю бета версию MR2. Можете протестировать на ней и сообщить о результате?

 

Спасибо!

Yahoo! Бага 1275357 больше нет:

post-572019-1445858485_thumb.jpg

 

И по поводу Мониторинга системы - тоже все ОК!

post-572019-1445858628_thumb.jpg

:ay:

 

P.S. И таки да, из Управления защитой после устранения угрозы (очистки хранилища), наверное, можно было не убирать количество найденных угроз)) Там же во всплывающей подсказке указано - Статистика, накопленная с момента запуска программы. Спасибо!

Edited by it-nico

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.