KTS 21.3.10.391: Не удается настроить исключение для AAct

[Kiber]

Здравствуйте. Столкнулся с ошибочным и неудобным поведением программы. Постараюсь описать в красках, но без брани, хоть это и не просто.

0. Отказ от ответственности.

Не претендую на объективность, просто надеюсь что мой возможно в чем-то искушенный, а в чем-то неискушенный взгляд чем-то поможет в дальшейм совершенствовании интерфейса продукта.

1. Неочевидно где искать карантин.

После переустановки операционной системы я по привычке открыл в total commander'е c:\programs\AAct\ и тут антивирус булькнул и два исполняемых файла программы пропали. Я знаю что эти файлы безопасны и первое что надо сделать - вернуть удаленные файлы. Как это сделать - вообще непонятно. Иконка антивируса осталась зеленой, как будто ничего не произошло. Открываю интерфейс - он тоже зеленый. По кнопке "Подробнее" тоже никаких подробностей (скорее какая-то реклама допсерсисов). Как будто он только что не удалил нужную мне программу. Ладно, думаю, ласковый мерзавец, ну где-то недалеко ведь ты мне покажешь по какому поводу булькнул? Я все еще надеюсь что быстренько восстановить приложение и добавить исключение. Если вкратце - не нашел, пришлось гуглить.

Если подробнее - какие быстрые действия мне предлагает программа?
- Ручная проверка, которой я пользуюсь раз в год.
- "Обновление баз" которое вообще автоматически работает, я туда вообще ни разу не заглядывал.
- Безопасные платежи - фича которая в основном раздражает (типа хочется её попробовать, но каждый раз думаешь - да ну нахрен, вдруг что-то пойдет не так, сделаю все по старинке). 
- Менеджер паролей который бесит настолько что я его даже не устанавливал, но почему-то он отсвечивает в быстром доступе и занимает целую плитку.
- Защита приватности - непонятное название, ведь все в антивирусе так или иначе про приватность. Короче там речь про камеру, фича полезная, но недостаточно гибкая.
- Резервное копирование - еще одна фича на освоение которой не хватает времени. Не отсвечивает и ладно.
- Защита от детей которую я тоже не ставил.
- My kaspersky - форма с одной кнопкой "Перейти на My Kaspersky". Бесполезная трата плитки, это могла бы быть гиперссылка. А кстати, внизу есть гиперссылка "My kaspersky" которая полностью дублирует кнопку которая ведет к другой кнопке. Классно, классно, удобно.

Из этих плиток функциональных максимум 2, остальное больше смахивает на рекламу.

Ну, думаю, значит где-то в настройках запрятали. Зашел в настройки - там есть вкладка "Отчеты и карантин". Ура... Но, нет, не долгим было счастье, ведь самих отчетов и карантина там нет! Смотрел тщательно.

Гугл подсказал что там где были плитки надо было нажать кнопку "Больше функций" (да, мне нужно больше рекламных неиспользуемых функций!) и вот там будет вкладка "Защита" и вот на вкладке "Защита" будет гиперссылка "Карантин". Догадаться об этом я не смог, т.к. предполагал что по кнопке "Больше функций" мне навалят еще больше всяких невостребованных мега-фич типа менеджера паролей, безопасных платежей и тому подобного - всего того что мне и так предлагают в качестве основных функций программы.

2. Неудобно добавлять исключения.

Казалось-бы логично что если я достаю объект из карантина, то тут же захочу добавить его в исключения.
Почему-бы не совместить эти две функции? Сделать флажок добвления исключения.
Тут же и тип угрозы есть, и компонент который выявил угрозу. Все есть.
Но нет, ты сначала должен вернуть объект из карантина, а затем успеть добавить исключение.

В моем случае было так:
- Я вернул объекты из карантина
- Дальше пошел проверить в тотал коммандер вернулись ли файлы - просто посмотреть содержимое папки
- И тут хренакс -  бульк-бульк - и снова объекты в карантине

Значит я должен сначала добавить исключение, а потом возвращать из карантина?
Очень неудобно!

Кроме того, добавление исключений - тоже очень неудобно.
Это надо сначала открыть окно с плитками, затем залезть в настройки, затем зайти в компонент (типа "Файловый антивирус"), затем раскрыть группу "Расширенные настройки", промотать окно вниз, нажать "Настроить исключения", снова промотать окно вниз и снова нажать "Настроить исключения". Это просто ужас как далеко. И кстати, после редактирования надо не забыть трижды (!) подтвердить добавление исключения - первый раз - кнопка "Добавить" в окне добавления исключения, второй раз - кнопка "ОК" в списке исключений и третрий раз - кнопка "Сохранить" в окне "Настройки угроз и исключений". Это очень тупо, т.к. в последнее время вообще стараются уменьшаться количество кнопок сохранения настроек.

Дополнительно доставляет то, что есть исключения, а есть "доверенные программы".
Чем одно отличается от другого - хоть убей не пойму.
Мне кажется что это об одном и том же, просто настройка более тонкая.

P.S. Но хотя бы исключения я смог найти сам, без гугла (+1 камень в огород юзабилити кнопки "Больше функций" из п.1).

3. Исключения для AAct в KTS 21.3.10.391 не работают.

Я добавил те виды исключений которые смог придумать.
- Сначала добавил доверенные программы.
- Затем указал в исключениях папку c:\Programs\AAct\ (остальные поля оставил пустыми)
- Затем вместо папки указал тип угрозы *.KMSAuto.*

Ничего не работало - антивирус упорно удалял при листинге содержимого папки.
Пришлось перевести файловый антивирус в режим "Лечить / блокировать".
В этом режиме наконец-то прекратилось  насилие над карантином и антивирус стал наконец-то отображать в главном окне список угроз.

Оттуда наконец-то я смог добавить исключения на конкретные файлы - даже вроде как удобно и понятно это сделано.
Но угадайте что? Это не сработало!
Антивирус все равно блокировал работу с файлами и все равно продолжал выдавать то же сообщение об угрозе.

Я уж домал что все, с концами, придется сносить антивирус. И собственно изначально пост был об этом.
Но внезапно я нажал "Игнорировать" - и вроде бы это сработало как исключение.
Как это связано? Почему "Игнорировать" сработало как исключение? Вообще не очень понятно как работет кнопка "Игнорировать". Например, непонятно на какой период времени антивирус будет игнорировать угрозу и чем это отличается от исключения.

Текущие картинки приложил, надеюсь поможет.

Edited September 18, 2023 by Kiber

[Kiber]

Ооо, дорогие друзья, это не конец истории!
Оказывается "Игнорировать" сработало как "Вылечить через .... часов".

В 5 часов ночи эта "умная" программа, невзирая на загруженность процессора, видеокарты, активность клавиатуры, мыши, сетевую, решила таки ДОЛЕЧИТЬ AAct, несмотря на множественные исключения. Ну и "долечив" сделала FATALITY уйдя в ребут.

Скриншот прилагаю. Катка слита. 20 минут потрачено. Это, блин, 20 минут моего сна!

Честно, я был лучшего мнения о каспере.

[kmscom]

5 часов назад, Kiber сказал:

1. Неочевидно где искать карантин.

есть общая практика, если не знаешь, где что искать - читай справку и документацию. 
эта практика работает везде и всегда. обычно даже пишут: перед использованием - прочтите инструкцию.
 

5 часов назад, Kiber сказал:

2. Неудобно добавлять исключения.

вы, судя по тому, что не знаете как пользоваться программой, решили запретить ей удалять, то что она считает потенциально опасным, даже если это не так, таким пользователям опасно доверять настройку исключений, они могут пропустить заражение, даже при работающем антивирусе.

 

5 часов назад, Kiber сказал:

3. Исключения для AAct в KTS 21.3.10.391 не работают.

скорее всего это не все исключения, чтобы фаил не удалялся. в отчете, который вы не нашли, есть информация о причине удаления.

Я в вашем тексте не нашел, что компрометировало бы антивирус, сама программа, о которой вы пишите, служит для несанкционированной активации ПО, что в неё вложили ее авторы, знают только авторы.
Программа потенциально опасна, антивирус ее удаляет правильно и если в данной ситуации вы миновали заражение, то в будущем, с другими файлами, это не исключается.
Все ваши действия исходят из того, что вы не читали документацию и не знаете как работать с программой.

[andrew75]

@Kiber, "игнорировать" относится к детекту в ходе текущей проверки или доступу к файлу. При следующей проверке или попытке доступа к объекту вредоносный объект (с точки зрения программы) опять будет обнаружен.

Если конечно вы не создадите исключения.

В вашем случае нужно создать два исключения:

C:\Programs\Aact\** поле "обьект" пустое

C:\Windows\AAct_Tools\** поле "обьект" пустое

А в остальном, да, читайте документацию - https://support.kaspersky.com/KTS/21.3/ru-RU/87342.htm

[Kiber]

6 часов назад, kmscom сказал:

перед использованием - прочтите инструкцию.

Судя по тому что в обоих ответах есть этот совет - его пора делать девизом и размещать отдельной плиткой в окне запуска, чтобы тупые юзеры профессиональные пользователи не засоряли форум своими тупыми вопросами бесполезными темами.

Если такой совет вам не кажется странным - возможно у вас "замылился глаз".

Чтение инструкции максимально не соответствует ожиданиям пользователя.
Решение для домашнего использования должно подсказывать как делать работающие настройки и предупреждать о неработающих настройках.

 

6 часов назад, kmscom сказал:

таким пользователям опасно доверять настройку исключений

Хотел бы я посмотреть как вы запретите мне настраивать исключения на моем домашнем компе. Совет из разряда "godlike" - давайте не будем улучшать интерфейс, а запретим делать исключения - и проблема будет решена. Горбачевщина какая-то.

Но, если честно, то мне не все равно на контору "касперский" и я стараюсь своим мнением намекнуть что продукту есть куда развиваться в плане юзабилити. И надеюсь что это мнение чем-то поможет. Для юзабелиста бесценен первый взгляд на продукт.

В качестве основных проблем юзабилити я бы назвал такие:

1. Сложно организована структура возможностей по работе с приложением. Неочевидно что "Инструменты" прячутся за кнопкой "Больше функций".

2. Карантин слишком оторван от исключений.
На мой взгляд блокировка и карантин - это лишь два варианта мер безопасности.
Они должны давать примерно одинаковые возможности по добавлению исключений и по временной отмене блокировки.

3. Нет легкой настройки ширины игнорируемых угроз.
Возьмите например работу AdBlock - когда пипеткой выделяешь элемент и говоришь "заблокируй" - он предлагает тебе ползунок двигая который ты можешь точно выбрать именно тот фрагмент страницы (то окошко) который надо заблокировать, т.к. добавляя блокировку вручную ты не всегда понимаешь попал ли ты пиптекой в нужный фрейм.
Так и тут - выбрал я папку которую хочу добавить в исключения - ну найдите по истории что там было в этой папке, предложите какие-то варианты - насколько широкое я хочу сделать исключение.
В моем случае, я например хочу сделать исключение только для конкретной папки и для конкретного типа активности - KMS. Если этот KMS внезапно начнет проявлять излишнюю сетевую активность или начнет себя вести как червь или вирус - разумеется всю подобную активность надо блокировать.
Сейчас интерфейс и неработающие точечные исключения подталкивают к добавлению более универсальных исключений (типа "доверяю всему в этой папке") что снижает защищенность машины.

4. Нет проверки настроек.

 

7 часов назад, kmscom сказал:

12 часов назад, Kiber сказал:

3. Исключения для AAct в KTS 21.3.10.391 не работают.

скорее всего это не все исключения, чтобы фаил не удалялся. в отчете, который вы не нашли, есть информация о причине удаления.

Ага, кстати, добраться до отчета - тоже не сразу догадаешься как.

Отчет присоединить? Чем помочь с расследованием? Выложил сюда: https://drive.google.com/file/d/18sDjtdHe8XZW2HkczH_pq8tyLk1km_Pz/view?usp=sharing

 

[Maratka]

8 часов назад, kmscom сказал:

13 часов назад, Kiber сказал:

2. Неудобно добавлять исключения.

вы, судя по тому, что не знаете как пользоваться программой, решили запретить ей удалять, то что она считает потенциально опасным, даже если это не так, таким пользователям опасно доверять настройку исключений, они могут пропустить заражение, даже при работающем антивирусе.

Вообще говоря, он тут прав. Если пользователь восстанавливает файл из карантина, то логично предположить, что причиной появления файла там было ложное срабатывание. А если оно ложное, то разумно предлагать сразу же сделать и исключение. Причем для того типа срабатывания, которое и было. Т.е. если там был детект ФА, то не нужно добавлять исключение для ПДМ.

[kmscom]

25 минут назад, Maratka сказал:

Если пользователь восстанавливает файл из карантина, то логично предположить, что причиной появления файла там было ложное срабатывание.

ни чего не логично, пользователь восстанавливает фаил, потенциально опасный, да, антивирус старается, как то уберечь пользователя, но пользователю же, позарез как нужно запустить фаил, иначе ему счастья не видать.
Хорошо что все обошлось, иначе мы бы увидели плачь, что антивирус не уберег от заражения.

Грамотный пользователь, убедится в безопасности, и создаст исключения, для него это трудностей не составит, а не будет каждый встречный, жутко нужный фаил восстанавливать из карантина с занесением в исключение

 

1 час назад, Kiber сказал:

его пора делать девизом и размещать отдельной плиткой в окне запуска

толку не будет, вы все равно просто нажмете кнопку Далее, или подтвердите что якобы прочитал.

1 час назад, Kiber сказал:

Решение для домашнего использования должно подсказывать как делать работающие настройки и предупреждать о неработающих настройках.

в 99% случаев, пользователю достаточно установить и забыть, а если ваш случай выпадет на оставшийся 1%, то придётся почитать, если не все, то хотя бы то, что дается при нажатии знака вопроса в правом углу окон интерфейса, для общего понимания

1 час назад, Kiber сказал:

Ага, кстати, добраться до отчета - тоже не сразу догадаешься как.

конечно, если вы привыкли обо всем догадываться методом научного тыка, то не сразу, а если посмотреть в инструкции, то сразу https://support.kaspersky.ru/kts21/70885

[Maratka]

29 минут назад, kmscom сказал:

ни чего не логично, пользователь восстанавливает фаил, потенциально опасный, да, антивирус старается, как то уберечь пользователя, но пользователю же, позарез как нужно запустить фаил, иначе ему счастья не видать.

Тогда нужно убрать функцию восстановления. Ибо при восстановлении файл будет удален, потом его восстановят и опять он будет удален, и т.д. до бесконечности.

[andrew75]

Алгоритм простой. Восстановить файл и сразу настроить исключения.

ТС восстанавливает файл, потом идет на него посмотреть. Разумеется опять срабатывает детект при доступе к папке с файлом.

[Maratka]

Что значит "сразу"? Нет такого понятия! А ФА файл так или иначе все одно проверит. Дернет его какая-то там служба индексации например. Я эти файлы привык смотреть в FAR'е, он сам никуда не лезет, пока не скажешь ему лезть, хотя бы потому, что не обучен отображать иконки файлов.

Далее. Многие люди привыкли держать файлы на рабочем столе. Ну вот привыкли! Наверное это неправильно. Наверное их нужно держать где-то, где им больше место подходит, а если нужен частый к ним доступ - использовать ярлыки. Но держат сами файлы (как их восстанавливают при смерти ОС - отдельная песня, многие слышали наверное?), но вот имеем что имеем. И файл там будет проверен ФА очень быстро. Как только рабочий стол откроется, а открыт он обычно всегда, если только проводник не упал.

И еще, для точечного занесения в исключения (а именно так и нужно делать, ибо а что будет, если безвредный файл был случайно задетечен, завтра с него детект сняли, а послезавтра он был заражен вирусом?) нужно знать же точный вердикт. Ну что-то вроде Trojan.Win32.Omu12.ox. В его легко напишите вручную при создании исключения? Не перепутаете Omu и 0mu например, да и в целом? Я такие исключения делаю из GUI, они создаются автоматически на вид детекта, но у меня и файлы не удаляются, они блокируются. Про это я уже несколько раз писал, что это более правильно, но конечно только если пользователь (или админ у него) умет потом открыть, посмотреть, и разобраться, что это за... А ручками - чур меня! А ведь еще нужно (ручками же!) и имя файла указать! А ну-ка, давайте на память по Икару, его вердикт, и имея (переименуйте в случайную последовательность из 8 символов).

[andrew75]

ФА не полезет сразу в папку c:\Programs, на примере ТС, если не открывать ее в проводнике. Поэтому времени чтобы создать исключение достаточно.

4 минуты назад, Maratka сказал:

И еще, для точечного занесения в исключения (а именно так и нужно делать, ибо а что будет, если безвредный файл был случайно задетечен, завтра с него детект сняли, а послезавтра он был заражен вирусом?) нужно знать же точный вердикт.

мы сейчас рассматриваем общий случай, или конкретный?

Если общий, то да вы правы конечно. Если конкретный, то почему файл детектится совершенно понятно.

[Maratka]

Мы рассматриваем все случаи. Я же не говорю, что вот прямо позарез, нужно создавать исключение при восстановлении файла. Но почему бы не предложить создать исключение? Да, бабушки. Но это при старании, причем небольшом легко решается, вида "если отключен авторежим". И не только это кстати.

[andrew75]

А зачем мы рассматриваем общий случай в теме с конкретной проблемой?

[kmscom]

7 минут назад, Maratka сказал:

Я такие исключения делаю из GUI, они создаются автоматически на вид детекта

и я так делаю.

[andrew75]

2 минуты назад, Maratka сказал:

Но почему бы не предложить создать исключение?

а так, да, я с вами согласен в принципе.

[Maratka]

4 минуты назад, Maratka сказал:

Да, бабушки. Но это при старании, причем небольшом легко решается, вида "если отключен авторежим". И не только это кстати.

Кстати, никто не проверял, антивирусы ЛК уже научились иметь разные настройки в зависимости от учетки пользователя? Ну вида "я админ, мне вон так, а моей бабе - как я решил"?

[andrew75]

Хороший вопрос. Сейчас посмотрю. Но вряд ли.

Только светлую-темную тему )

[Maratka]

Сохраните настройки перед опытами, делов то... 😉

[Maratka]

13 минут назад, andrew75 сказал:

А зачем мы рассматриваем общий случай в теме с конкретной проблемой?

Так и текущий случай вообще говоря вытекает из общего. Вопрос в реализации так-то.

[andrew75]

Так я уже проверил. Тему (светлую-темную) он сохраняет для пользователя. Настройки общие.

[Maratka]

Хорошо бы настройки собственно антивируса.
Ну скажем у админа - ручной режим, но ПДМ - в авто. А у бабушки - авто, но с блокировкой файлов, а не удалением. Или (скажем) у админа отключен Анти-СПАМ, а у бабушки -включен, да не просто включен, а еще и с пользовательскими списками. А совсем хорошо -и то, и другое.

[Maratka]

Технически то оно делать вообще не нужно, просто сохраняй настройки в профиль пользователя, а не "все_пользователи", но вот есть сомнения.

[andrew75]

3 минуты назад, Maratka сказал:

Или (скажем) у админа отключен Анти-СПАМ, а у бабушки -включен

примерно это я и проверял. По-моему этого вполне достаточно. Если бы настройки писались в пользовательский профиль, то писались бы все.

Собственно это в реестре видно. Все настройки в HKEY_LOCAL_MACHINE

[Maratka]

Понял, спасибо!

[Maratka]

А, еще... Оно где-то заявлено явно? Ну вот что оно у нас так?
Чтобы не вышло косяка, что все что надо настроил, а через год сын вырос, и дал ему свой ПК поиграть... Ну он и наиграл, что мои дистрибутивы потерлись, ибо там какой-то баннер есть, и потому оно "адвара". 😉