Jump to content
Kaspersky Support Forum

Непонятное срабатывание на файлы KVRT антивируса Drweb.

Peter15NT

By Peter15NT
in Kaspersky Virus Removal Tool

 Share

Recommended Posts

Peter15NT

Peter15NT

Posted
Posted

На тестовом ПК, на котором установлен DrWeb SS, была запущена малварь из нескольких мест, после чего был загружен и запущен KVRT 2020. Он нашёл заражение в памяти, а также на тех местоположениях файлов, с которых была запущена малварь, и для лечения предложил перезагрузиться. После перезагрузки он снова запустился автоматом и продолжил проверку. Насколько помню, после перезагрузки Drweb SS нашёл заражённые файлы (4 шт) во время работы KVRT с одинаковым хешем в папке KVRT:

Спойлер

91a40888198c4a9c6f8d9e32d1326b78.jpg

Возникает вопрос: откуда взялись эти файлы и должны они были там находиться? Вот, к примеру, другой файл:

Спойлер

eccfc867430eb7c4de49bb6f691e6d99.jpg

 

Файл на исследование по поводу возможного ложного срабатывания уже отправил в DrWeb, жду от них ответа.

andrew75

andrew75

Posted
Posted
5 минут назад, Peter15NT сказал:

Возникает вопрос: откуда взялись эти файлы и должны они были там находиться?

Это карантин KVRT. После работы KVRT, папку C:\KVRT2020_Data можно удалить.

AlexeyK

AlexeyK

Posted
Posted
3 часа назад, Peter15NT сказал:

Насколько помню, после перезагрузки Drweb SS нашёл заражённые файлы (4 шт) во время работы KVRT с одинаковым хешем в папке KVRT

Из описания выглядит примерно так: установленный АВ пропустил активные угрозы, но во время работы KVRT по очистке от заражений решил вторгнуться в процесс и задетектировать временный файл.

Вот скрин с файлового монитора: такие файлы создаются и сразу удаляются в процессе детекта зловредов KVRT. Расширение соответствует тому, которое есть у файла: в моем случае com, в Вашем архив asar.

Но это не папка карантина, которая так и называется - Quarantine.

Вот и вся тайна.

2025-02-10110530.thumb.png.91c704e3d4b69d00e1945c9b90e82600.png

  • Like 1
andrew75

andrew75

Posted
Posted
5 минут назад, AlexeyK сказал:

Но это не папка карантина, которая так и называется - Quarantine.

ну да, я не прав, это временные файлы, создающиеся при работе KVRT

  • Like 1
AlexeyK

AlexeyK

Posted
Posted
Только что, andrew75 сказал:

временные файлы

Причем настолько временные, что в проводнике даже не удается уловить их наличие - не успевают отображаться.) Может, конечно, если файл будет побольше, то мелькнет, но eicar визуально не определяется.

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...