» Kaspersky Internet Security - KIS (часть 8)

http://comed.in/object/i_amGDZEh.jpg

Добавлено:
после перезагрузки кис через 15 минут жрет 50% ресурсов компа в лдиспетчере задач win 7 а ровно через 1 час после перезагрузки жрет 90-98%

сначало ждал 1 час потом перезагрузился потом 2-2.5 часа перезагрузился на 3 раз пошел спать и оставил комп - 4.30 часа и все тоже самое ...

КИС - это самый большой вирус ?

kwintos

Цитата:

КИС - это самый большой вирус ?

Не понял?
Почему дальше отказываемя от помощи?

KapralBel

я от тебя не получаю сообщения уже полтора часа ты молчишь

kwintos
Хорошо, повторю то что я отправил, но ответов не было

1. Альтернативный скин установлен?
2. Ограничение по отчетам сделано?
3. Отчеты очищены?

4. Скриншот с закладки "Исключения" в контроле программ для мюторрента (в принципе нужны и другие)

KapralBel

а чего по аське не можем ? авторизируйте меня в аське

1. Альтернативный скин установлен? ДА
2. Ограничение по отчетам сделано? как сделать?
3. Отчеты очищены? Все очистить?

Создается впечатление, что в ЛК занялись направлением "статистика заражений", а практика анализа зловредов ушла на второй (третий) план.
"Черный" список нужен, но...
Простой пример. КСН работает. Пользователь скачал тыщу файлов среди которых есть свежие, но отсутствующие в базе зловреды. В этом случае КСН может сработать двояко. Первое - новые зловреды уже вызвали массовое заражение. Тогда КСН проявит себя адекватно. Второе - КСН с ним не будет возится вообще пока скачанный файл не запустился пользователем. В этом случае файл остается хранится на компьютере пользователя, который (не зная, что он вредоностный) может его массово растиражировать.
Возможный сценарий распространения вредоноса для этого случая.
1.Пользователь скачал множество файлов.
2.Просканировал их ФА со включенным KCH.(Логика проста : "Зачем запускать кучу файлов для дополнительной проверки есть они просканированы").
3.Переписал их на съемный носитель.
4.Перенес на слабенький ПК или нетбук (такие еще выпускают!) с "безоблачным" антивирусом другого производителя со свежими базами, но еще без детекта нового вредоноса. А если эти файлы перепакуются или заархивируются пользователем, или слегка (простым изменением MD5, без изменения вредоностного кода) модифицируется вредонос, то получится "замкнутый круг".
5.А дальше вариантов море : от заражения ПК, до непроизвольного начала эпидемии заражения.
Получается ситуация. Сканирование по требованию не найдет зловреда (его просто нет в базе), а КСН тоже проигнорирует потенциально вредоностный файл (т.е. не отработает его "облаком").
Продукт то массовый, а лицензия пользователя индивидуальная и страдает он персонально.

ИМХО. Такая ситуация вызвана проблемами с качеством механизма работы с перепакованными (даже старыми пакерами!) файлами в КИС, а также малой гибкостью взаимодействия КСН с другими модулями. Вероятно, эта проблема (качества механизма работы с перепакованными файлами) хорошо известна не только в ЛК.
Главный итог. Потенциальный зловред отправлен в ЛК (т.е. физически файл уже находится на серверах ЛК), но машинный анализ не проводится (как не проводится и "тонкий" анализ вирусными аналитиками).
Смущает еще тот факт, что КИС собирает статистику заражений. При этом есть резонный вопрос.
1. Он просто не смог воспрепятствовать заражению?
2. Он специально ждал пока пойдет заражение и потом собрал статистику , а уже только после этого начал процесс лечения?

Win 7 x64, KIS 2012
При полной проверке доходит до файла system.workflow.runtime.dll и виснет на нем. Виснет, похоже, именно процесс проверки, защита работает. В настройках указывал максимальное время проверки - не помогает. Буду признателен за решение.

dmitrydvk
1. В нстройках отчетов - включите запись некритических
2. Проверьте индивидуально файл
3. Сохраните лог проверки
4. Выключите проверку некритических
Пустите снова полную проверку

Если проблема не исчезнет - сохраненый лог в студию

KapralBel
http://rghost.ru/34883701
Спасибо заранее

dmitrydvk
Т.е. сейчас все равно виснет полная проверка?

KapralBel
Да. В логе снизу вверх все в последовательности из Вашего поста. Поиск в гугле дает двух коллег по проблеме именно с этим файлом, решения я не увидел.

Цитата:

Он специально ждал пока пойдет заражение и потом собрал статистику , а уже только после этого начал процесс лечения?

Решили поиграть в доктора Хауса )

dmitrydvk
Сейчас проблема на другом файле

Судя по всему с этой проблемой нужно обращаться в ТП
Ну а пока не запускайте полную проверку - если антивирус не отключать - полная проверка не столь необходима

А если нужна все таки проверка - попробуйте RD
Можно создать прямо из КИСули

KapralBel
Спасибо, не нужна она мне, так, исключительно для понимания...
А почему проблема на другом файле? Скорее всего, кис просто перестает лог писать, когда доходит до этого фала. Хотя, я такой "специалист" в этом, что лучше послушаю знающих.

Цитата:

А почему проблема на другом файле? Скорее всего, кис просто перестает лог писать, когда доходит до этого фала.

Может быть и так
т.к. отчет без записи критических - т.е. что отличается (например упаковщиком) - то и пишет
А при включенных критических событий - в отчет пишется каждый проверенный файл
Но насколько я помню подобные случаи помощь зала пользы не принесла

Поэтому я и говорил про ТП

Кто-нибудь в курсе - в ЛК остались русские вирусные аналитики или уже всех уволили?

Довольно продолжительное время отвечают одни китайцы. Раньше хотя бы по русски отвечали, а вот сегодняшний уже во английски...

P.S. Посоветуйте плиз хорошую программу переводчик с иероглифов на что-нибудь более читаемое!

WildGoblin

Цитата:

в ЛК остались русские вирусные аналитики или уже всех уволили?

Полно. Вообще удивляюсь, где ты там китайцев нашёл.

Добавлено:

Цитата:

А язык ответа зависит от e-mail-а и текста в самом запросе.

WildGoblin
gjf
china-mod?

gjf

Цитата:

Вообще удивляюсь, где ты там китайцев нашёл.

Цитата:

Regards,Heming Hou
Virus Analyst,VirusLab China

KapralBel

Цитата:

china-mod?

Что?

Подскажите пожалуйста! Как в КИС 2012 отключить КСН в profile? А то скачал готовый, а там же другие настройки...
WildGoblin Спасибо.

go_Lex

Цитата:

Подскажите пожалуйста! Как в КИС 2012 отключить КСН в profile? А то скачал готовый, а там же другие настройки...

Код: <key name="KSN">
<key name="settings">
<key name="def">
<tDWORD name="UserEventCacheAmount">100</tDWORD>
<tDWORD name="UserEventSendTimeout">1800</tDWORD>
</key>
</key>
<tDWORD name="enabled">1</tDWORD>
<tDWORD name="iid">23</tDWORD>
<tDWORD name="installed">1</tDWORD>
<tDWORD name="origin">1</tDWORD>
<tDWORD name="pid">38025</tDWORD>
<tDWORD name="notforshell">1</tDWORD>
</key>

WildGoblin

Цитата:

Что?

Ладно, проехали


Цитата:

Прошло два часа - в KSN прога всё ещё детектируется...
Вот тебе и облако - ускоряющее, помогающее и всё такое...

Можно вердикт?
Возможно вердикт был базами, и исправляют в базе
либо аналитик не дал команду в облако
либо ...

KapralBel

Цитата:

Можно вердикт?

UDS:DangerousObject.Multi.Generic

Цитата:

либо аналитик не дал команду в облако

или дал - в китайское облако...

WildGoblin
Ну да - КСНский вердикт

Можно ли увидеть инфу КСН по этой софтине
это не в качестве попытки решения
Это только для удовлетворения личного любопытсва

KapralBel

Цитата:

Можно ли увидеть инфу КСН по этой софтине

Какую именно инфу?

P.S. Срабатывание всё ещё идёт - за прошедшее время наверное можно было бы флажками просемафорить по всему миру, что это фолс...

Добавлено:
KapralBel

Цитата:

это не в качестве попытки решения

Это особо и не нужно...

P.S. Интересно новых "зловредов" тоже через весьма продолжительное время помещают в "облако" (ускоряющее, помогающее и всё такое...)?

KapralBel
Отправил ещё одно сообщение о фолсе в ЛК - на этот раз чётко обозначил, что я русскоговорящий. Мне снова ответили, что это ложное срабатывание, но антивирь всё равно реагирует на файл!
Снова забросил невод - уважаемый Иван ответил, что мол на данный момент стопудово в KSN прошло обновление... детект через KSN всё равно идёт!

Ч/Б список для антибаннера от 16.12.2011 г.
Размер: 97 КБ

forum.kaspersky.com
multi-up.com

ребята как в kis 2012 через profiles отключить сетевой экран?

Dav4ik

Цитата:

как в kis 2012 через profiles отключить сетевой экран?

Код: <key name="Firewall">
<key name="reports">
<key name="eventlog">
</key>
</key>
<tSTRING name="">Firewall</tSTRING>
<tDWORD name="enabled">0</tDWORD>

Как ПОЛНОЛСТЬЮ отключить, и убрать из интерфейса KIS 2012 родительский контроль?
В наборе из шапки при отключении род.контроля после установки, KIS 2012 после установки ругается что не может запустить все компоненты защиты-веб антивирус.

Цитата:

30. Как вернуть выборочную установку в коммерческую версию KIS\KAV 2011-2012 не разбирая установщик

Отключение через profiles.xml ничего не даёт, род.контроль остаётся в интерфейсе, и при нажатии на него предлагает настроить.
В KIS 2011 род.контроль и другие ненужные компоненты, успешно отключались через реестр.