Jump to content
Kaspersky Support Forum

D5 Render лицензионный помечается вирусом и удаляется

wendox
 Share

Recommended Posts

wendox

wendox

Posted
Posted

Второй раз за год, в процессе работы.

Событие: Обнаружен вредоносный объект
Приложение: D5 Render
Пользователь: User
Тип пользователя: Инициатор
Компонент: Мониторинг активности
Описание результата: Обнаружено
Тип: Троянское приложение
Название: PDM:Trojan.Win32.Generic
Степень угрозы: Высокая
Тип объекта: Процесс
Путь к объекту: C:\Program Files\D5 Render
Имя объекта: d5_launcher.exe
Причина: Поведенческий анализ
Дата выпуска баз: Сегодня, 08.07.2024 6:45:00
MD5: 48469A9C5C3BACF901CC3D6E97443289

andrew75

andrew75

Posted
Posted

Если хотите быстрое решение - добавьте файл в исключения файлового антивируса.

Ну или пишите в техподдержку. Скорее всего это ложное срабатывание.

AlexeyK

AlexeyK

Posted
Posted

@wendox Киньте мне в личку этот файл, попробую через Opentip, хотя результат не обещаю. Если после анализа не будет вредоносного вердикта, тогда нужно в поддержку.

15 минут назад, andrew75 сказал:

исключения файлового антивируса

Желательно все-таки в исключения Мониторинга активности.)

wendox

wendox

Posted
  • Author
Posted

Да, я смотрю -у меня и стоял в исключениях в файловом.

Естественно, я не знаю как переслать exe файл. https://www.d5render.com/downloading

andrew75

andrew75

Posted
Posted
2 минуты назад, wendox сказал:

Да, я смотрю -у меня и стоял в исключениях в файловом

покажите скриншот исключения

14 минут назад, AlexeyK сказал:

Желательно все-таки в исключения Мониторинга активности.)

ну да, я имел в виду добавить в исключения в настройках файлового антивируса )

  • Like 1
AlexeyK

AlexeyK

Posted
Posted
11 минут назад, wendox сказал:

Естественно, я не знаю как переслать exe файл. https://www.d5render.com/downloading

Через любое облако. Можно также заархивировать файл, изменить архиву расширение на .jpg и прикрепить к письму.

Попробуйте сделать пустое поле "Объект" (сотрите PDM:Trojan.Win32.Generic) и сохранить изменения. Если не поможет - добавьте в исключения не файл, а всю папку программы в Program Files и AppData.

 

 

  • Like 1
andrew75

andrew75

Posted
Posted

А внутри правила выбраны все компоненты защиты?

И другой записи по этому файлу в журнале нет?

Потому что здесь: Описание результата: Обнаружено 

Но не сказано что он удален. Поэтому удаляется он скорее всего по другому детекту.

AlexeyK

AlexeyK

Posted
Posted
1 минуту назад, andrew75 сказал:

А внутри правила выбраны все компоненты защиты?

Да все там выбрано, о чем свидетельствует слово "Любые".)

wendox

wendox

Posted
  • Author
Posted (edited)

.rar

d5_launcher.jpg

Да, теперь сделал и через доверенные программы, посмотрим. Вопрос несколько в другом: поднять тему для разработчиков, как я понял из той переписки, разработчики сами написали в касп, так что я могу надеяться, что тема в работе.

Edited by wendox
  • Like 1
andrew75

andrew75

Posted
Posted
4 минуты назад, AlexeyK сказал:

Да все там выбрано,

ну значит попробуйте действительно очистить поле "Объект", как вам посоветовали.

AlexeyK

AlexeyK

Posted
Posted

@wendox Через вирлаб напрямую не получится, после анализа вердикт "Чистый". Пробуйте изменить настройку исключения (лучше добавить именно целиком папки программы), потом при желании в поддержку с трассировками и отчетом GSI.

andrew75

andrew75

Posted
Posted
5 минут назад, AlexeyK сказал:

после анализа вердикт "Чистый".

так понятно, срабатывает мониторинг активности.

AlexeyK

AlexeyK

Posted
Posted (edited)
20 минут назад, wendox сказал:

разработчики сами написали в касп, так что я могу надеяться, что тема в работе.

На форуме им и не посоветовали главного - программы Allowlist. Ну если только они это все дело через поддержку доведут. А так - выйдет новая версия, снова может быть детект, если конкретно этот отключат.

6 минут назад, andrew75 сказал:

так понятно, срабатывает мониторинг активности.

Не все так просто, как кажется. Вот так было на Opentip до динамического анализа (скрин). Отображался вердикт "Вредоносный" на основании локальных срабатываний пользователей. Поэтому и нужен был файл, чтобы выполнился анализ. Если бы был детект - тогда можно было отправить в вирлаб, чтобы сделали доверенным по KSN.

Спойлер

Screenshot_1.thumb.jpg.acc215f1a54c6f4d78af980b1c831ce3.jpg

 

Edited by AlexeyK
NikitaDob

NikitaDob

Posted
Posted (edited)
10 часов назад, AlexeyK сказал:

Если бы был детект - тогда можно было отправить в вирлаб, чтобы сделали доверенным по KSN.

Необязательно должен быть детект, чтобы отправить файл в вирусную лабораторию. Насколько я знаю, если есть ложное срабатывание Мониторинга активности на какой-либо файл, но при этом нет сигнатурного или любого другого обнаружения, то этот файл всё равно можно отправить в вирусную лабораторию с просьбой убрать ложное срабатывание, и детект будет убран. Я так уже делал (см. скриншот)
image.thumb.png.a1055ae2324f9ac8f72638b064682385.png

Edited by NikitaDob
AlexeyK

AlexeyK

Posted
Posted (edited)
9 часов назад, NikitaDob сказал:

Необязательно должен быть детект, чтобы отправить файл в вирусную лабораторию.

Обязательно должен быть детект по Opentip. Если там вердикт "Чисто", то отправка в вирлаб с целью исправления фолса ничего не даст.

Один раз тоже получилось такое дело исправить, но там ситуация была несколько иной - были множественные детектирования, правильным был только not-a-virus, который в итоге и оставили. Сейчас отправил запрос через Opentip с комментом и скрином, может и получится исправить. Но только в виде исключения, обычно в таких случаях ответов нет. Кроме того, сейчас они отключат - потом в новой версии опять может появиться. Этим вопросом надо бы заняться разработчикам D5 Render.

Вот такая красивая картинка на Opentip. Через поиск по хешу опять был детект, после загрузки файла и динамического анализа детекта нет.

Спойлер

Screenshot_2.thumb.png.1f0a8fad076dae0e2bbc387b0bb77c66.pngScreenshot_3.thumb.png.4415a9e0d1bf2e10532511ef649a9735.png

 

Edited by AlexeyK
AlexeyK

AlexeyK

Posted
Posted (edited)

@wendox Получилось-таки потревожить вирусных аналитиков, чтобы убрали фолс (скрин). Чрез какое-то время исправят.

UPD: файл уже в Доверенных KSN.

Спойлер

Screenshot_4.thumb.png.f0880aea391dfabc8885a0eeae58e9cb.pngScreenshot_5.thumb.png.d3cd52d21d1928c3d49a8407fbc5c913.png

@NikitaDob Произошло чудо и ответка прилетела, даже очень скоро. Проблема решится ... до следующего обновления программы. 😄

Возможно, что какой-то другой пользователь отправлял запрос с трейсами через поддержку, а ответили и мне заодно. По крайней мере пока опровержений об исправлении локальных срабатываний PDM только через поддержку не поступало. Вот если этот детект есть и на Opentip - тогда тут проще.

Edited by AlexeyK
Friend

Friend

Posted
Posted

Добрый вечер, @wendox,
Ранее была подобная проблема:

 

Которая также была решена, но разработчику кажется в самом запросе в поддержке не предложили участие в Allowlist program: https://www.kaspersky.com/partners/allowlist-program  или он сам не захотел/не смог участвовать и вот он снова наступил на те же грабли. 🙄

  • Like 1
AlexeyK

AlexeyK

Posted
Posted (edited)
8 часов назад, Friend сказал:

разработчику кажется в самом запросе в поддержке не предложили участие в Allowlist program: https://www.kaspersky.com/partners/allowlist-program  или он сам не захотел/не смог участвовать

Ну Вы же предложили, причем в тот же день, как он впервые обратился.) Но он пришел снова и вопрошает, куда бы загрузить их файлы перед обновлением, чтобы продукт им доверял, как уже сделано у других вендоров.))

Edited by AlexeyK

Please sign in to comment

You will be able to leave a comment after signing in



Sign In Now
 Share
Go to topic listing


×
×
  • Create New...