Зависает при лечении.

[zoren_ka]

Запускал две проверки, быструю и полную, мне нашло немало вирусов. Я нажимал устранить, вылезало диалоговое окно с выбором (лечить с перезагрузкой или без). Нажимал чтобы с перезагрузкой, лечение начиналось но зависало на 1% проверив ноль файлов.

[kmscom]

в такой ситуации на форуме можно дать только ссылку на такие рекомендации https://support.kaspersky.ru/common/error/other/14825
там же сказано что делать, если решение не помогло.
правда придется указывать , что не Free

[andrew75]

@zoren_ka, по тому что вы показали на скриншоте понять ничего невозможно.

Я бы посоветовал создать тему на форуме Клуба лаборатории Касперского, выполнив порядок оформления запроса о помощи.

[AlexeyK]

Порой лечение активного заражения предлагается не именно что на активное заражение, а на вполне себе мирно лежащий файлик. Можно пробовать лечить без перезагрузки. Можно использовать флешку с KRD (инструкция по записи образа и вся справка здесь).

Edited 14 hours ago by AlexeyK

[AlexeyK]

Вот пожалуйста. Просканировал выборочно один файл - предлагает лечение активного заражения. Спрашивается - зачем? Вполне достаточно просто его удалить в карантин.

[Friend]

2 часа назад, AlexeyK сказал:

Спрашивается - зачем?

Все зависит от детекта, такой алгоритм прописан для Trojan выходит. 

[AlexeyK]

1 минуту назад, Friend сказал:

такой алгоритм прописан для Trojan выходит. 

Да ерунда, нет такого алгоритма для троянов.) Что продукт хочет вылечить своим алгоритмом за активное такое заражение в мирно лежащем просканированном файле? Активное - это когда система заражена, знаете ли, в результате запуска зловреда.)

[andrew75]

7 часов назад, AlexeyK сказал:

Да ерунда, нет такого алгоритма для троянов.)

что значит ерунда? 

Он же это делает зачем-то. Значит это заложено в алгоритмах в каких-то случаях.

[AlexeyK]

23 минуты назад, andrew75 сказал:

что значит ерунда? 

Это значит, что нет такого алгоритма конкретно для троянов и что не все зависит от детекта. Есть вариант воспроизвести такое поведение: при отключенной защите (чтобы убрать детект ФА) просканировать контекстным сканом файл - он детектируется (как троян, естественно) и автоматически помещается в карантин без запроса на лечение. Затем восстановить его из карантина и просканировать еще раз - после этого будет запрос на лечение активного заражения. То есть тут запустился некий анализ состояния системы и необходимости лечения. В результате алгоритм пришел к выводу, что система заражена. А файл всего-то был помещен в карантин и восстановлен из него. Не единственный вариант, когда это встречалось, но зато более-менее надежный.

Кстати, мне известно, что в продуктах есть драйвер, который отслеживает запуски исполняемых файлов не только при отключенной защите, но даже при выгруженном сервисе, т.е. продукте. Отследить именно запуск файлов для продукта труда не составляет. С чего такое простое действие как удаление и восстановление файла расценивается как активное заражение - вопрос риторический.

[andrew75]

Ну так это только значит, что алгоритм несовершенен, не более того.

 

[AlexeyK]

Я такое встречаю уже лет семь-восемь, но явно было и раньше. Тут, похоже, совершенствовать никто и не планирует.

Это все вообще к тому, что если предлагается лечение с ребутом, то это еще не говорит именно о реальном активном заражении. 

[andrew75]

48 минут назад, AlexeyK сказал:

Тут, похоже, совершенствовать никто и не планирует.

А зачем? Если никто не жалуется, значит все нормально )

[AlexeyK]

4 минуты назад, andrew75 сказал:

Если никто не жалуется, значит все нормально )

Ну нет, тут сложно все. Технологии, ноу-хау, патенты...) Просто по обращению никто тут ничего делать не будет, это "ядро" функционирования продуктов. Может, я как-нибудь попробую узнать подробнее, но уверенности нет, потому что тут разработчики наверняка делиться инфой не станут. Скажут что-то вроде "так оно и задумано для определенных целей".)

Кстати, восстановлением из карантина получил запрос на лечение с ребутом и от файлового АВ, без контекстного скана. То есть продукт активен, сам автоматически удалил объект, все компоненты наблюдают за процессами и файлами - но после восстановления в ту же папку ФА желает пролечить систему неизвестно от чего.

Спойлер

[Friend]

9 часов назад, AlexeyK сказал:

заражение в мирно лежащем просканированном файле

Антивирус то не знает, что этот файл мирно лежит, а предполагает, что троян активно работает и пытается скрыться.

59 минут назад, AlexeyK сказал:

похоже, совершенствовать никто и не планирует.

"Если оно работает - лучше не трогай!" 😉 А так согласен с @andrew75 

12 минут назад, andrew75 сказал:

Если никто не жалуется, значит все нормально )

Жаловаться можно через поддержку и раздел бета-теста, может какой-нибудь минимальный приоритет багу поставят или ВирЛаб пофиксит алгоритм лечение для какого-нибудь одного трояна.

[AlexeyK]

18 минут назад, Friend сказал:

Антивирус то не знает, что этот файл мирно лежит, а предполагает, что троян активно работает и пытается скрыться.

Вы что, шутите сейчас? Конечно он знает, у него все ходы записаны - и уверяю, что в гораздо большем объеме, чем это есть в отчетах. И разумеется он проверят, запущен ли файл. Ну и целый мощный System Watcher не дремлет. И что, выходит он не в курсе, что файл появился на диске в результате восстановления из своего же карантина? Смешно. 😄

18 минут назад, Friend сказал:

Жаловаться можно через поддержку и раздел бета-теста, может какой-нибудь минимальный приоритет багу поставят или ВирЛаб пофиксит алгоритм лечение для какого-нибудь одного трояна.

Не, спасибо, я уже выше свое мнение высказал на этот счет.

18 минут назад, Friend сказал:

ВирЛаб пофиксит алгоритм лечение для какого-нибудь одного трояна.

По этому поводу уже вроде есть примеры со скринами, что это не про один какой-то образец, это общий принцип анализа необходимости запуска лечения продуктами. Могу и больше скринов дать, но это ни к чему. Ну и не баг это, а такое вот устройство - уж как есть.

[AlexeyK]

Ну красота какая.) Просто перетянул на виртуалку пяток файлов - продукт часть начал удалять, а как минимум на один запросил лечение активного заражения. Никакого запуска не производилось. Вот еще такой кейс.

Спойлер