Skip to content
  • Categories
  • KForum
  • KClub
  • KClub Discord
Skins
  • Light
  • Cerulean
  • Cosmo
  • Flatly
  • Journal
  • Litera
  • Lumen
  • Lux
  • Materia
  • Minty
  • Morph
  • Pulse
  • Sandstone
  • Simplex
  • Sketchy
  • Spacelab
  • United
  • Yeti
  • Zephyr
  • Dark
  • Cyborg
  • Darkly
  • Quartz
  • Slate
  • Solar
  • Superhero
  • Vapor

  • Default (No Skin)
  • No Skin
Collapse

Kaspersky Beta

  1. Home
  2. ДЛЯ РУССКОЯЗЫЧНЫХ ПОЛЬЗОВАТЕЛЕЙ
  3. Для дома
  4. Kaspersky
  5. Архив
  6. 2021
  7. [2021] File Scan (ODS/OAS, qScan/vScan, Quarantine)
  8. Зависание во время лечения

Зависание во время лечения

Scheduled Pinned Locked Moved [2021] File Scan (ODS/OAS, qScan/vScan, Quarantine)
18 Posts 4 Posters 9.3k Views 4 Watching
  • Oldest to Newest
  • Newest to Oldest
  • Most Votes
Reply
  • Reply as topic
Log in to reply
This topic has been deleted. Only users with topic management privileges can see it.
  • r3L4xR Offline
    r3L4xR Offline
    r3L4x
    Moderators
    wrote on last edited by Jarvis
    #1

    <p><strong>Шаги воспроизведения:</strong></p>
    <p><span></span>Продукт нашёл заражённый объект с помощью UDS, я выбрал "попытаться вылечить без перезагрузки", после этого я вижу, что заражённый бинарник вроде удалился, но в трее горит восклиц. знак, продукт продолжает что-то делать, захожу в главное окно - горит красным, вижу найденный объект, кликаю "Устранить", крутится колёсико и ничего не происходит. Ждал минут 5. Ощущение, что процесс лечения завис. Плюс не было баллуна, что всё вылечено и объект удалён.</p>
    <p><strong>Актуальный результат:</strong></p>
    <p><span></span>Процесс лечения завис.</p>
    <p><strong>Ожидаемый результат:</strong></p>
    <p><span></span>Процесс лечения будет быстрым</p>

    Win 11 22H2 | Kaspersky Plus 21.14

    A 3 Replies Last reply
    0
    • A Offline
      A Offline
      Alexander.Matrosov
      wrote on last edited by
      #2

      <p>@<strong><a href="/user/r3l4x" target="_blank" rel="noopener" data-username="r3L4x" data-uid="93">r3L4x</a>, </strong>разработчики просят еще раз перевоспроизвести проблему и предоставить следующие артефакты:</p>
      <ul>
      <li>логи утилиты Process Monitor (Procmon.exe из SysinternalsSuite) за все время перевоспроизведения проблемы</li>
      <li>дамп продукта в момент, когда стало ясно, что обработка угрозы зависла</li>
      <li>ну и новые логи продукта, соответствующие повторному воспроизведению</li>
      </ul>

      r3L4xR 1 Reply Last reply
      0
      • A Alexander.Matrosov

        <p>@<strong><a href="/user/r3l4x" target="_blank" rel="noopener" data-username="r3L4x" data-uid="93">r3L4x</a>, </strong>разработчики просят еще раз перевоспроизвести проблему и предоставить следующие артефакты:</p>
        <ul>
        <li>логи утилиты Process Monitor (Procmon.exe из SysinternalsSuite) за все время перевоспроизведения проблемы</li>
        <li>дамп продукта в момент, когда стало ясно, что обработка угрозы зависла</li>
        <li>ну и новые логи продукта, соответствующие повторному воспроизведению</li>
        </ul>

        r3L4xR Offline
        r3L4xR Offline
        r3L4x
        Moderators
        wrote on last edited by r3L4x
        #3

        <p>@alexander-matrosov Всё сделал, только дамп получилось снять от процесса avpui, от главного avp не разрешает, типо "отказано в доступе". Самозащита при этом отключена. Это нормально?</p>
        <p>Новые логи сейчас залью.</p>

        Win 11 22H2 | Kaspersky Plus 21.14

        1 Reply Last reply
        0
        • r3L4xR Offline
          r3L4xR Offline
          r3L4x
          Moderators
          wrote on last edited by
          #4

          <p>Новые логи: <a href="https://cloud.qainfo.ru/s/4mhQRcAuqkxHeJS" target="_blank" rel="noopener">https://cloud.qainfo.ru/s/4mhQRcAuqkxHeJS</a></p>

          Win 11 22H2 | Kaspersky Plus 21.14

          1 Reply Last reply
          0
          • JarvisJ Offline
            JarvisJ Offline
            Jarvis
            wrote on last edited by
            #5

            @r3L4x, спасибо за быстрое предоставление информации. И да, это нормально

            1 Reply Last reply
            0
            • A Offline
              A Offline
              ANGElDRAGON
              wrote on last edited by
              #6

              <p>Похожая проблема наблюдается в 2019 и 2020 версии, почему то продукт не может очистить запись об удаленном объекте и постоянно о нем сообщает, предлагает удалить, хотя самого объекта уже нет. Обычно помогает очистка отчетов вручную и перезагрузка компьютера.</p>

              Kaspersky Premium 60: https://kas.pr/7i7w

              r3L4xR 1 Reply Last reply
              0
              • A ANGElDRAGON

                <p>Похожая проблема наблюдается в 2019 и 2020 версии, почему то продукт не может очистить запись об удаленном объекте и постоянно о нем сообщает, предлагает удалить, хотя самого объекта уже нет. Обычно помогает очистка отчетов вручную и перезагрузка компьютера.</p>

                r3L4xR Offline
                r3L4xR Offline
                r3L4x
                Moderators
                wrote on last edited by
                #7

                <p>@angeldragon На 20 точно актуально, но я тогда не смог поймать с трейсами во время теста.</p>

                Win 11 22H2 | Kaspersky Plus 21.14

                A 1 Reply Last reply
                0
                • r3L4xR r3L4x

                  <p>@angeldragon На 20 точно актуально, но я тогда не смог поймать с трейсами во время теста.</p>

                  A Offline
                  A Offline
                  ANGElDRAGON
                  wrote on last edited by
                  #8

                  <p>@r3l4x была в какой-то версии похожая бага, ее поправили, но как видно не надолго.</p>

                  Kaspersky Premium 60: https://kas.pr/7i7w

                  1 Reply Last reply
                  0
                  • r3L4xR r3L4x

                    <p><strong>Шаги воспроизведения:</strong></p>
                    <p><span></span>Продукт нашёл заражённый объект с помощью UDS, я выбрал "попытаться вылечить без перезагрузки", после этого я вижу, что заражённый бинарник вроде удалился, но в трее горит восклиц. знак, продукт продолжает что-то делать, захожу в главное окно - горит красным, вижу найденный объект, кликаю "Устранить", крутится колёсико и ничего не происходит. Ждал минут 5. Ощущение, что процесс лечения завис. Плюс не было баллуна, что всё вылечено и объект удалён.</p>
                    <p><strong>Актуальный результат:</strong></p>
                    <p><span></span>Процесс лечения завис.</p>
                    <p><strong>Ожидаемый результат:</strong></p>
                    <p><span></span>Процесс лечения будет быстрым</p>

                    A Offline
                    A Offline
                    Alexander.Matrosov
                    wrote on last edited by
                    #9

                    <p>@<strong><a href="/user/r3l4x" target="_blank" rel="noopener" data-username="r3L4x" data-uid="93">r3L4x</a></strong>, разработчики все же запросили дамп avp.exe ("<em>Приложенный дамп является дампом GUI-процесса продукта (avpui.exe, запущен от DESKTOP-PC\r3L4x).</em><span><em>Для анализа необходим дамп процесса avp.exe (запущен от системы) после зависания</em>"). Если через таск менеджер проблемы с доступом, попробуй утилиту "kavlog" или "Debugging Tools for Windows" (подробнее - <a href="/topic/62/beta-testing-guide/4" target="_blank" rel="noopener">https://eap.kaspersky.com/topic/62/beta-testing-guide/4</a> )</span></p>

                    r3L4xR 1 Reply Last reply
                    0
                    • A Alexander.Matrosov

                      <p>@<strong><a href="/user/r3l4x" target="_blank" rel="noopener" data-username="r3L4x" data-uid="93">r3L4x</a></strong>, разработчики все же запросили дамп avp.exe ("<em>Приложенный дамп является дампом GUI-процесса продукта (avpui.exe, запущен от DESKTOP-PC\r3L4x).</em><span><em>Для анализа необходим дамп процесса avp.exe (запущен от системы) после зависания</em>"). Если через таск менеджер проблемы с доступом, попробуй утилиту "kavlog" или "Debugging Tools for Windows" (подробнее - <a href="/topic/62/beta-testing-guide/4" target="_blank" rel="noopener">https://eap.kaspersky.com/topic/62/beta-testing-guide/4</a> )</span></p>

                      r3L4xR Offline
                      r3L4xR Offline
                      r3L4x
                      Moderators
                      wrote on last edited by
                      #10

                      <p>@alexander-matrosov Kavlog с 21 версией отказывается работать, есть только 20 версия кавлога, она ругается. Дебаггинг тулз отказывается подключаться к процессу - нет доступа.</p>

                      Win 11 22H2 | Kaspersky Plus 21.14

                      1 Reply Last reply
                      0
                      • r3L4xR Offline
                        r3L4xR Offline
                        r3L4x
                        Moderators
                        wrote on last edited by
                        #11

                        <p>В общем, avp.exe защищён так, что даже дебаггер, запущенный с правами СИСТЕМА, не может подключиться к процессу, нет доступа. Сделал так: ПКМ на иконке в трее - записать дамп.</p>
                        <p>Заливаю новые логи.</p>

                        Win 11 22H2 | Kaspersky Plus 21.14

                        1 Reply Last reply
                        0
                        • r3L4xR Offline
                          r3L4xR Offline
                          r3L4x
                          Moderators
                          wrote on last edited by
                          #12

                          <p><a href="https://cloud.qainfo.ru/s/EyqwR3q9wGXlIPd" target="_blank" rel="noopener">https://cloud.qainfo.ru/s/EyqwR3q9wGXlIPd</a></p>
                          <p>Вот новые логи, если такой дамп устроит. Если нет, то я не представляю, как ещё снять avp.exe, всё перепробовал. :(</p>

                          Win 11 22H2 | Kaspersky Plus 21.14

                          1 Reply Last reply
                          0
                          • r3L4xR r3L4x

                            <p><strong>Шаги воспроизведения:</strong></p>
                            <p><span></span>Продукт нашёл заражённый объект с помощью UDS, я выбрал "попытаться вылечить без перезагрузки", после этого я вижу, что заражённый бинарник вроде удалился, но в трее горит восклиц. знак, продукт продолжает что-то делать, захожу в главное окно - горит красным, вижу найденный объект, кликаю "Устранить", крутится колёсико и ничего не происходит. Ждал минут 5. Ощущение, что процесс лечения завис. Плюс не было баллуна, что всё вылечено и объект удалён.</p>
                            <p><strong>Актуальный результат:</strong></p>
                            <p><span></span>Процесс лечения завис.</p>
                            <p><strong>Ожидаемый результат:</strong></p>
                            <p><span></span>Процесс лечения будет быстрым</p>

                            A Offline
                            A Offline
                            Alexander.Matrosov
                            wrote on last edited by
                            #13

                            <p>передаю слова разработчиков:</p>
                            <blockquote>
                            <p>Для дальнейшего анализа нужен кернел дамп в момент, когда стало ясно, что обработка угрозы зависла.</p>
                            <div>Также, помимо этого, надо проверить будет ли воспроизводиться бага с отключенным hips'ом. (в независимости от результата прошу предоставить логи продукта для этого случая)</div>
                            </blockquote>

                            r3L4xR 1 Reply Last reply
                            0
                            • A Alexander.Matrosov

                              <p>передаю слова разработчиков:</p>
                              <blockquote>
                              <p>Для дальнейшего анализа нужен кернел дамп в момент, когда стало ясно, что обработка угрозы зависла.</p>
                              <div>Также, помимо этого, надо проверить будет ли воспроизводиться бага с отключенным hips'ом. (в независимости от результата прошу предоставить логи продукта для этого случая)</div>
                              </blockquote>

                              r3L4xR Offline
                              r3L4xR Offline
                              r3L4x
                              Moderators
                              wrote on last edited by
                              #14

                              <p>@alexander-matrosov</p>
                              <ol>
                              <li>Что такое "кернель-дамп" в понятии разработчиков? Если дамп avp.exe то выше писал, что его снять невозможно - "нет доступа" даже дебаггером, запущенным с правами СИСТЕМА. Можете сами попробовать и убедиться, я просил других тестеров проверить - у них аналогично моему поведение, дамп не снимается.</li>
                              <li>HIPS - это контроль программ попробовать отключить и воспроизвести?</li>
                              </ol>

                              Win 11 22H2 | Kaspersky Plus 21.14

                              1 Reply Last reply
                              0
                              • r3L4xR r3L4x

                                <p><strong>Шаги воспроизведения:</strong></p>
                                <p><span></span>Продукт нашёл заражённый объект с помощью UDS, я выбрал "попытаться вылечить без перезагрузки", после этого я вижу, что заражённый бинарник вроде удалился, но в трее горит восклиц. знак, продукт продолжает что-то делать, захожу в главное окно - горит красным, вижу найденный объект, кликаю "Устранить", крутится колёсико и ничего не происходит. Ждал минут 5. Ощущение, что процесс лечения завис. Плюс не было баллуна, что всё вылечено и объект удалён.</p>
                                <p><strong>Актуальный результат:</strong></p>
                                <p><span></span>Процесс лечения завис.</p>
                                <p><strong>Ожидаемый результат:</strong></p>
                                <p><span></span>Процесс лечения будет быстрым</p>

                                A Offline
                                A Offline
                                Alexander.Matrosov
                                wrote on last edited by
                                #15

                                <ol>
                                <li><a href="https://docs.microsoft.com/en-us/windows/client-management/generate-kernel-or-complete-crash-dump" target="_blank" rel="noopener">https://docs.microsoft.com/en-us/windows/client-management/generate-kernel-or-complete-crash-dump</a></li>
                                <li>да, всё правильно поняли (+ собрать логи)</li>
                                </ol>

                                r3L4xR 1 Reply Last reply
                                0
                                • A Alexander.Matrosov

                                  <ol>
                                  <li><a href="https://docs.microsoft.com/en-us/windows/client-management/generate-kernel-or-complete-crash-dump" target="_blank" rel="noopener">https://docs.microsoft.com/en-us/windows/client-management/generate-kernel-or-complete-crash-dump</a></li>
                                  <li>да, всё правильно поняли (+ собрать логи)</li>
                                  </ol>

                                  r3L4xR Offline
                                  r3L4xR Offline
                                  r3L4x
                                  Moderators
                                  wrote on last edited by
                                  #16

                                  <p>@alexander-matrosov На свежей сборке на воспроизвелось (пока что). Попробую ещё несколько раз и отпишусь о результате. ;-)</p>

                                  Win 11 22H2 | Kaspersky Plus 21.14

                                  1 Reply Last reply
                                  0
                                  • r3L4xR Offline
                                    r3L4xR Offline
                                    r3L4x
                                    Moderators
                                    wrote on last edited by r3L4x
                                    #17

                                    <p>На новой сборке зависание не случается. Продукт корректно отрабатывает лечение без перезагрузки с детектом по UDS. Думаю, что пока можно прикрыть. Буду проверять на каждой следующей сборке.</p>

                                    Win 11 22H2 | Kaspersky Plus 21.14

                                    1 Reply Last reply
                                    0
                                    • JarvisJ Offline
                                      JarvisJ Offline
                                      Jarvis
                                      wrote on last edited by
                                      #18

                                      Спасибо за предоставленную информацию.

                                      1 Reply Last reply
                                      0
                                      Reply
                                      • Reply as topic
                                      Log in to reply
                                      • Oldest to Newest
                                      • Newest to Oldest
                                      • Most Votes


                                      • Login

                                      • Don't have an account? Register

                                      • Login or register to search.
                                      • First post
                                        Last post
                                      0
                                      • Categories
                                      • KForum
                                      • KClub
                                      • KClub Discord