Kaspersky
Question

Исключения из проверки игнорируются


Userlevel 1

KSC 21.3.10.391(b). Windows 10 Home.

В настройках стоит пароль на изменение настроек, включено детективированние всех типов нежелательного ПО в настройках Касперского. Тестировал на ПО RDP Wrapper которое является вариантом ПО для удаленного администрирования. Пробовал exclude:

File: C:\folder\subfolder\* (и с .exe, и с точным указанием файла, и с полным wildcard “*”)

Object: not-a-virus* (и с более точным not-a-virus*RemoteAdmin.*.RDPWrap.*, и с точным указанием сигнатур)

File hash code: и с указанием хеша и без.

Kaspersky продолжает отправлять алерты не смотря ни на что.


15 replies

Userlevel 7
Badge +7

Если вы самостоятельно вручную запускаете проверку файла или папки, то проверка будет выполнена, и антивирус выдаст результат проверки, несмотря на то что имеется исключение.
Антивирус считает, что хозяин, находящийся в здровом уме и твердой памяти, знает и осознает что он делает и не вправе игнорировать эти действия

Userlevel 1

Если вы самостоятельно вручную запускаете проверку файла или папки, то проверка будет выполнена, и антивирус выдаст результат проверки, несмотря на то что имеется исключение.
Антивирус считает, что хозяин, находящийся в здровом уме и твердой памяти, знает и осознает что он делает и не вправе игнорировать эти действия

Я не пытаюсь запускать ручное сканирование, антивирус сам находит файл, не смотря на исключение. Такая же ситуация и с msi пакетом для обновлений.

Userlevel 7
Badge +7

тогда полказывайте скриншот настроек созданного исключения и отчет антивируса

Userlevel 1

тогда полказывайте скриншот настроек созданного исключения и отчет антивируса

Вот антивирус сам с утра нашел файл который исключен:

А вот исключения:

 

Userlevel 7
Badge +8

@dragoangel, вы не показали с каким конкретно детектом находится этот файл.

Попробуйте очистить поле “Object” в правиле.

Userlevel 1

Детект бывает разный, на один и тот же файл по 3 признака и на разные файлы в этой папке разный детект, но глобально он всегда подходит под not-a-virus*RemoteAdmin.*.RDPWrap.*. Пробовал ставить на конкретный exe и просто *, не помогало, ну ок сейчас попробую оставить пустым и перечислить все файлы, хотя использовать “not-a-virus*RemoteAdmin.*.RDPWrap.*.” куда более безопасно, мало ли реальная малварь может поставить себя на место этого exe, ну вы понимаете о чем я.

Userlevel 7
Badge +8

@dragoangel, у меня висит открытый запрос в ТП как раз по проблеме с исключениями. После какого-то обновления что-то в них сломалось.

Указание конкретного файла или конкретного детекта работает, а вот с масками какие-то проблемы.

Userlevel 1

@andrew75 окей, спасибо большое. Я понял, поиграюсь с настройками, послежу, я вот и делал выво что это какой то баг. Хорошо бы конечно это пофиксить, так как бывает такое что одним файлом сложно добавить детект.

Userlevel 7
Badge +9

Здравствуйте,

@andrew75 есть номер бага? Можете проверить проблему в MR4, может там проблему уже исправили.

@dragoangel рекомендую создать обращение в службу поддержки и продиагностировать проблему. Чем больше обращений, тем выше шанс что проблему быстрее исправят.

Userlevel 7
Badge +8

@Friend, номера бага нет. Запрос на изучении. Но проблема проявляется не на одной машине.

 

 

Userlevel 7
Badge +7

@dragoangel  укажите пожалуйста ссылку для скачивания ПО RDP Wrapper

Userlevel 1

@kmscom https://github.com/stascorp/rdpwrap/releases

Вроде как попустило антивирус, по крайней мере пока что не матюкался.

Userlevel 7
Badge +7

судя по отчету, достаточно создать исключение с объектом not-a-virus:RemoteAdmin.Win32.RDPWrap.*

 

Userlevel 1

@kmscom@andrew75короче неа, полный аут. Уже стоит:

И всеравно - высветело алерт на загрузке службы, вон второй раз один-в-один (3 и 5 запись) добавил exclude на rdpwrap.dll с popup. Один файл - 2 сигнатуры и видимо у Касперского из-за этого что то ломается… Я как понял это не место для репорта багов, верно?

Userlevel 7
Badge +7

@dragoangel без отчета трудно что либо сказать. одного скриншота с настройками исключений недостаточно. 
я сразу и говорил, что нужна полная информация, а не частичная.
 

 

 Я как понял это не место для репорта багов, верно?

для репорта багов есть техническая поддержка, а тут комьюнити

Reply