Jump to content
Kaspersky Support Forum

Непонятное срабатывание на файлы KVRT антивируса Drweb.

Peter15NT

By Peter15NT
in Kaspersky Virus Removal Tool

 Share

Recommended Posts

Peter15NT

Peter15NT

Posted
Posted

На тестовом ПК, на котором установлен DrWeb SS, была запущена малварь из нескольких мест, после чего был загружен и запущен KVRT 2020. Он нашёл заражение в памяти, а также на тех местоположениях файлов, с которых была запущена малварь, и для лечения предложил перезагрузиться. После перезагрузки он снова запустился автоматом и продолжил проверку. Насколько помню, после перезагрузки Drweb SS нашёл заражённые файлы (4 шт) во время работы KVRT с одинаковым хешем в папке KVRT:

  Reveal hidden contents

Возникает вопрос: откуда взялись эти файлы и должны они были там находиться? Вот, к примеру, другой файл:

  Reveal hidden contents

Файл на исследование по поводу возможного ложного срабатывания уже отправил в DrWeb, жду от них ответа.

andrew75

andrew75

Posted
Posted
  On 2/10/2025 at 4:43 AM, Peter15NT said:

Возникает вопрос: откуда взялись эти файлы и должны они были там находиться?

Expand  

Это карантин KVRT. После работы KVRT, папку C:\KVRT2020_Data можно удалить.

AlexeyK

AlexeyK

Posted
Posted
  On 2/10/2025 at 4:43 AM, Peter15NT said:

Насколько помню, после перезагрузки Drweb SS нашёл заражённые файлы (4 шт) во время работы KVRT с одинаковым хешем в папке KVRT

Expand  

Из описания выглядит примерно так: установленный АВ пропустил активные угрозы, но во время работы KVRT по очистке от заражений решил вторгнуться в процесс и задетектировать временный файл.

Вот скрин с файлового монитора: такие файлы создаются и сразу удаляются в процессе детекта зловредов KVRT. Расширение соответствует тому, которое есть у файла: в моем случае com, в Вашем архив asar.

Но это не папка карантина, которая так и называется - Quarantine.

Вот и вся тайна.

2025-02-10110530.thumb.png.91c704e3d4b69d00e1945c9b90e82600.png

  • Like 1
andrew75

andrew75

Posted
Posted
  On 2/10/2025 at 8:16 AM, AlexeyK said:

Но это не папка карантина, которая так и называется - Quarantine.

Expand  

ну да, я не прав, это временные файлы, создающиеся при работе KVRT

  • Like 1
AlexeyK

AlexeyK

Posted
Posted
  On 2/10/2025 at 8:23 AM, andrew75 said:

временные файлы

Expand  

Причем настолько временные, что в проводнике даже не удается уловить их наличие - не успевают отображаться.) Может, конечно, если файл будет побольше, то мелькнет, но eicar визуально не определяется.

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...