Зависает при лечении.

Thursday at 04:05 PM

Запускал две проверки, быструю и полную, мне нашло немало вирусов. Я нажимал устранить, вылезало диалоговое окно с выбором (лечить с перезагрузкой или без). Нажимал чтобы с перезагрузкой, лечение начиналось но зависало на 1% проверив ноль файлов.

Thursday at 04:15 PM

в такой ситуации на форуме можно дать только ссылку на такие рекомендации https://support.kaspersky.ru/common/error/other/14825
там же сказано что делать, если решение не помогло.
правда придется указывать , что не Free

Thursday at 04:31 PM

@zoren_ka, по тому что вы показали на скриншоте понять ничего невозможно.

Я бы посоветовал создать тему на форуме Клуба лаборатории Касперского, выполнив порядок оформления запроса о помощи.

Thursday at 06:01 PM

Порой лечение активного заражения предлагается не именно что на активное заражение, а на вполне себе мирно лежащий файлик. Можно пробовать лечить без перезагрузки. Можно использовать флешку с KRD (инструкция по записи образа и вся справка здесь).

Edited Thursday at 06:02 PM by AlexeyK

Thursday at 06:38 PM

Вот пожалуйста. Просканировал выборочно один файл - предлагает лечение активного заражения. Спрашивается - зачем? Вполне достаточно просто его удалить в карантин.

Thursday at 09:37 PM

2 часа назад, AlexeyK сказал:

Спрашивается - зачем?

Все зависит от детекта, такой алгоритм прописан для Trojan выходит.

Thursday at 09:42 PM

1 минуту назад, Friend сказал:

такой алгоритм прописан для Trojan выходит.

Да ерунда, нет такого алгоритма для троянов.) Что продукт хочет вылечить своим алгоритмом за активное такое заражение в мирно лежащем просканированном файле? Активное - это когда система заражена, знаете ли, в результате запуска зловреда.)

2025-08-08T04:58:25Z

7 часов назад, AlexeyK сказал:

Да ерунда, нет такого алгоритма для троянов.)

что значит ерунда?

Он же это делает зачем-то. Значит это заложено в алгоритмах в каких-то случаях.

2025-08-08T05:42:48Z

23 минуты назад, andrew75 сказал:

что значит ерунда?

Это значит, что нет такого алгоритма конкретно для троянов и что не все зависит от детекта. Есть вариант воспроизвести такое поведение: при отключенной защите (чтобы убрать детект ФА) просканировать контекстным сканом файл - он детектируется (как троян, естественно) и автоматически помещается в карантин без запроса на лечение. Затем восстановить его из карантина и просканировать еще раз - после этого будет запрос на лечение активного заражения. То есть тут запустился некий анализ состояния системы и необходимости лечения. В результате алгоритм пришел к выводу, что система заражена. А файл всего-то был помещен в карантин и восстановлен из него. Не единственный вариант, когда это встречалось, но зато более-менее надежный.

Кстати, мне известно, что в продуктах есть драйвер, который отслеживает запуски исполняемых файлов не только при отключенной защите, но даже при выгруженном сервисе, т.е. продукте. Отследить именно запуск файлов для продукта труда не составляет. С чего такое простое действие как удаление и восстановление файла расценивается как активное заражение - вопрос риторический.

2025-08-08T05:47:15Z

Ну так это только значит, что алгоритм несовершенен, не более того.

2025-08-08T05:53:09Z

Я такое встречаю уже лет семь-восемь, но явно было и раньше. Тут, похоже, совершенствовать никто и не планирует.

Это все вообще к тому, что если предлагается лечение с ребутом, то это еще не говорит именно о реальном активном заражении.

2025-08-08T06:41:50Z

48 минут назад, AlexeyK сказал:

Тут, похоже, совершенствовать никто и не планирует.

А зачем? Если никто не жалуется, значит все нормально )

2025-08-08T06:53:40Z

4 минуты назад, andrew75 сказал:

Если никто не жалуется, значит все нормально )

Ну нет, тут сложно все. Технологии, ноу-хау, патенты...) Просто по обращению никто тут ничего делать не будет, это "ядро" функционирования продуктов. Может, я как-нибудь попробую узнать подробнее, но уверенности нет, потому что тут разработчики наверняка делиться инфой не станут. Скажут что-то вроде "так оно и задумано для определенных целей".)

Кстати, восстановлением из карантина получил запрос на лечение с ребутом и от файлового АВ, без контекстного скана. То есть продукт активен, сам автоматически удалил объект, все компоненты наблюдают за процессами и файлами - но после восстановления в ту же папку ФА желает пролечить систему неизвестно от чего.

Спойлер

2025-08-08T06:56:38Z

9 часов назад, AlexeyK сказал:

заражение в мирно лежащем просканированном файле

Антивирус то не знает, что этот файл мирно лежит, а предполагает, что троян активно работает и пытается скрыться.

59 минут назад, AlexeyK сказал:

похоже, совершенствовать никто и не планирует.

"Если оно работает - лучше не трогай!" 😉 А так согласен с @andrew75

12 минут назад, andrew75 сказал:

Если никто не жалуется, значит все нормально )

Жаловаться можно через поддержку и раздел бета-теста, может какой-нибудь минимальный приоритет багу поставят или ВирЛаб пофиксит алгоритм лечение для какого-нибудь одного трояна.

2025-08-08T07:01:43Z

18 минут назад, Friend сказал:

Антивирус то не знает, что этот файл мирно лежит, а предполагает, что троян активно работает и пытается скрыться.

Вы что, шутите сейчас? Конечно он знает, у него все ходы записаны - и уверяю, что в гораздо большем объеме, чем это есть в отчетах. И разумеется он проверят, запущен ли файл. Ну и целый мощный System Watcher не дремлет. И что, выходит он не в курсе, что файл появился на диске в результате восстановления из своего же карантина? Смешно. 😄

18 минут назад, Friend сказал:

Жаловаться можно через поддержку и раздел бета-теста, может какой-нибудь минимальный приоритет багу поставят или ВирЛаб пофиксит алгоритм лечение для какого-нибудь одного трояна.

Не, спасибо, я уже выше свое мнение высказал на этот счет.

18 минут назад, Friend сказал:

ВирЛаб пофиксит алгоритм лечение для какого-нибудь одного трояна.

По этому поводу уже вроде есть примеры со скринами, что это не про один какой-то образец, это общий принцип анализа необходимости запуска лечения продуктами. Могу и больше скринов дать, но это ни к чему. Ну и не баг это, а такое вот устройство - уж как есть.

2025-08-08T08:23:03Z

Ну красота какая.) Просто перетянул на виртуалку пяток файлов - продукт часть начал удалять, а как минимум на один запросил лечение активного заражения. Никакого запуска не производилось. Вот еще такой кейс.

Спойлер

2025-08-08T09:00:09Z

34 минуты назад, AlexeyK сказал:

пяток файлов - продукт часть начал удалять

Теперь понятно, кто вирусы пишет, а то все говорят: антивирусные компании...

2025-08-08T09:46:02Z

44 минуты назад, Friend сказал:

Теперь понятно, кто вирусы пишет

И кто же? А то мне непонятно.

2025-08-08T17:58:48Z

23 часа назад, AlexeyK сказал:

Спрашивается - зачем?

Лечение активной угрозы запрашивается если вредоносный файл был запущен после последней перезагрузки ОС, или находится в автозагрузке.
Desktop - "автозагрузка" по мнению ЛК, что технически неверно, но логично - там тыкают все подряд по всему, что там находится.

2025-08-08T18:45:59Z

29 минут назад, Maratka сказал:

Desktop - "автозагрузка" по мнению ЛК

Спасибо за информацию! Правда, далеко не всегда на сохраненные на рабочем столе файлы есть запрос, только в части случаев или при определенных сценариях - подробности выше. Файлы вполне могут быть удалены в авторежиме без запроса лечения (и это бывает чаще). Насколько правильно отнимать у пользователя нервы и время на все лечения/сканы для незапущенного файла... Обсуждать можно, но практического смысла нет.)

2025-08-09T05:00:01Z

10 часов назад, AlexeyK сказал:

Насколько правильно отнимать у пользователя нервы и время на все лечения/сканы для незапущенного файла... Обсуждать можно, но практического смысла нет.)

Это обычная страховка. Да, если файл не был запущен, но просто находится в автозагрузке, то его можно удалить просто так. Но при этом хвосты не факт что будут нормально почищены, так как все эти вещи делаются через антируткит, обычная лечилка не всё видит. А что делать если файлов например два? И работа второго зависит от наличия первого, а первый мы удалили?

2025-08-09T05:23:40Z

2 часа назад, Maratka сказал:

А что делать если файлов например два? И работа второго зависит от наличия первого, а первый мы удалили?

Но при этом хвосты не факт что будут нормально почищены

Можно ничего не делать: второй просто не сможет работать, т.к. первый удален.)

Насчет нормального лечения: судя по регулярным темам на форуме клуба в стиле "продукт видит, но не может удалить", лечит он порой не сказать, чтобы сильно эффективно.)

И плюс к тому: я понял, что рабочий стол можно сказать приравнен к автозагрузке, но все-таки просто сохраненные тут файлы не равно автозагрузка. Возможно раньше вообще на все с него запрашивали лечение, но судя по экспериментам, сейчас это выглядит несколько иначе.

UPD. Несколько опытов провел, действительно, если просто распаковывать exe-шники на рабочий стол - почти всегда есть запрос лечения. Если, к примеру, файл с расширением bin - запроса нет, файл удаляется автоматически. Или если на bin детекта нет, а после смены на exe появляется - тоже без запроса. Если восстановить из карантина - нет запроса. Это все речь только о детекте именно ФА, не ODS.

Спасибо еще раз, после Вашего пояснения стало намного понятнее, как это устроено.)

Edited 2 hours ago by AlexeyK

Зависает при лечении.

Recommended Posts

zoren_ka

kmscom

andrew75

AlexeyK

AlexeyK

Friend

AlexeyK

andrew75

AlexeyK

andrew75

AlexeyK

andrew75

AlexeyK

Friend

AlexeyK

AlexeyK

Friend

AlexeyK

Maratka

AlexeyK

Maratka

AlexeyK

Please sign in to comment

Forum

Products

Support

Personal Account