Зависание во время лечения
-
<p><strong>Шаги воспроизведения:</strong></p>
<p><span></span>Продукт нашёл заражённый объект с помощью UDS, я выбрал "попытаться вылечить без перезагрузки", после этого я вижу, что заражённый бинарник вроде удалился, но в трее горит восклиц. знак, продукт продолжает что-то делать, захожу в главное окно - горит красным, вижу найденный объект, кликаю "Устранить", крутится колёсико и ничего не происходит. Ждал минут 5. Ощущение, что процесс лечения завис. Плюс не было баллуна, что всё вылечено и объект удалён.</p>
<p><strong>Актуальный результат:</strong></p>
<p><span></span>Процесс лечения завис.</p>
<p><strong>Ожидаемый результат:</strong></p>
<p><span></span>Процесс лечения будет быстрым</p> -
<p>@<strong><a href="/user/r3l4x" target="_blank" rel="noopener" data-username="r3L4x" data-uid="93">r3L4x</a>, </strong>разработчики просят еще раз перевоспроизвести проблему и предоставить следующие артефакты:</p>
<ul>
<li>логи утилиты Process Monitor (Procmon.exe из SysinternalsSuite) за все время перевоспроизведения проблемы</li>
<li>дамп продукта в момент, когда стало ясно, что обработка угрозы зависла</li>
<li>ну и новые логи продукта, соответствующие повторному воспроизведению</li>
</ul> -
<p>@<strong><a href="/user/r3l4x" target="_blank" rel="noopener" data-username="r3L4x" data-uid="93">r3L4x</a>, </strong>разработчики просят еще раз перевоспроизвести проблему и предоставить следующие артефакты:</p>
<ul>
<li>логи утилиты Process Monitor (Procmon.exe из SysinternalsSuite) за все время перевоспроизведения проблемы</li>
<li>дамп продукта в момент, когда стало ясно, что обработка угрозы зависла</li>
<li>ну и новые логи продукта, соответствующие повторному воспроизведению</li>
</ul><p>@alexander-matrosov Всё сделал, только дамп получилось снять от процесса avpui, от главного avp не разрешает, типо "отказано в доступе". Самозащита при этом отключена. Это нормально?</p>
<p>Новые логи сейчас залью.</p> -
<p>Новые логи: <a href="https://cloud.qainfo.ru/s/4mhQRcAuqkxHeJS" target="_blank" rel="noopener">https://cloud.qainfo.ru/s/4mhQRcAuqkxHeJS</a></p>
-
<p>Похожая проблема наблюдается в 2019 и 2020 версии, почему то продукт не может очистить запись об удаленном объекте и постоянно о нем сообщает, предлагает удалить, хотя самого объекта уже нет. Обычно помогает очистка отчетов вручную и перезагрузка компьютера.</p>
Kaspersky Premium 60: https://kas.pr/7i7w
-
<p>Похожая проблема наблюдается в 2019 и 2020 версии, почему то продукт не может очистить запись об удаленном объекте и постоянно о нем сообщает, предлагает удалить, хотя самого объекта уже нет. Обычно помогает очистка отчетов вручную и перезагрузка компьютера.</p>
<p>@angeldragon На 20 точно актуально, но я тогда не смог поймать с трейсами во время теста.</p>
-
<p>@angeldragon На 20 точно актуально, но я тогда не смог поймать с трейсами во время теста.</p>
-
<p><strong>Шаги воспроизведения:</strong></p>
<p><span></span>Продукт нашёл заражённый объект с помощью UDS, я выбрал "попытаться вылечить без перезагрузки", после этого я вижу, что заражённый бинарник вроде удалился, но в трее горит восклиц. знак, продукт продолжает что-то делать, захожу в главное окно - горит красным, вижу найденный объект, кликаю "Устранить", крутится колёсико и ничего не происходит. Ждал минут 5. Ощущение, что процесс лечения завис. Плюс не было баллуна, что всё вылечено и объект удалён.</p>
<p><strong>Актуальный результат:</strong></p>
<p><span></span>Процесс лечения завис.</p>
<p><strong>Ожидаемый результат:</strong></p>
<p><span></span>Процесс лечения будет быстрым</p><p>@<strong><a href="/user/r3l4x" target="_blank" rel="noopener" data-username="r3L4x" data-uid="93">r3L4x</a></strong>, разработчики все же запросили дамп avp.exe ("<em>Приложенный дамп является дампом GUI-процесса продукта (avpui.exe, запущен от DESKTOP-PC\r3L4x).</em><span><em>Для анализа необходим дамп процесса avp.exe (запущен от системы) после зависания</em>"). Если через таск менеджер проблемы с доступом, попробуй утилиту "kavlog" или "Debugging Tools for Windows" (подробнее - <a href="/topic/62/beta-testing-guide/4" target="_blank" rel="noopener">https://eap.kaspersky.com/topic/62/beta-testing-guide/4</a> )</span></p>
-
<p>@<strong><a href="/user/r3l4x" target="_blank" rel="noopener" data-username="r3L4x" data-uid="93">r3L4x</a></strong>, разработчики все же запросили дамп avp.exe ("<em>Приложенный дамп является дампом GUI-процесса продукта (avpui.exe, запущен от DESKTOP-PC\r3L4x).</em><span><em>Для анализа необходим дамп процесса avp.exe (запущен от системы) после зависания</em>"). Если через таск менеджер проблемы с доступом, попробуй утилиту "kavlog" или "Debugging Tools for Windows" (подробнее - <a href="/topic/62/beta-testing-guide/4" target="_blank" rel="noopener">https://eap.kaspersky.com/topic/62/beta-testing-guide/4</a> )</span></p>
<p>@alexander-matrosov Kavlog с 21 версией отказывается работать, есть только 20 версия кавлога, она ругается. Дебаггинг тулз отказывается подключаться к процессу - нет доступа.</p>
-
<p>В общем, avp.exe защищён так, что даже дебаггер, запущенный с правами СИСТЕМА, не может подключиться к процессу, нет доступа. Сделал так: ПКМ на иконке в трее - записать дамп.</p>
<p>Заливаю новые логи.</p> -
<p><a href="https://cloud.qainfo.ru/s/EyqwR3q9wGXlIPd" target="_blank" rel="noopener">https://cloud.qainfo.ru/s/EyqwR3q9wGXlIPd</a></p>
<p>Вот новые логи, если такой дамп устроит. Если нет, то я не представляю, как ещё снять avp.exe, всё перепробовал. :(</p> -
<p><strong>Шаги воспроизведения:</strong></p>
<p><span></span>Продукт нашёл заражённый объект с помощью UDS, я выбрал "попытаться вылечить без перезагрузки", после этого я вижу, что заражённый бинарник вроде удалился, но в трее горит восклиц. знак, продукт продолжает что-то делать, захожу в главное окно - горит красным, вижу найденный объект, кликаю "Устранить", крутится колёсико и ничего не происходит. Ждал минут 5. Ощущение, что процесс лечения завис. Плюс не было баллуна, что всё вылечено и объект удалён.</p>
<p><strong>Актуальный результат:</strong></p>
<p><span></span>Процесс лечения завис.</p>
<p><strong>Ожидаемый результат:</strong></p>
<p><span></span>Процесс лечения будет быстрым</p><p>передаю слова разработчиков:</p>
<blockquote>
<p>Для дальнейшего анализа нужен кернел дамп в момент, когда стало ясно, что обработка угрозы зависла.</p>
<div>Также, помимо этого, надо проверить будет ли воспроизводиться бага с отключенным hips'ом. (в независимости от результата прошу предоставить логи продукта для этого случая)</div>
</blockquote> -
<p>передаю слова разработчиков:</p>
<blockquote>
<p>Для дальнейшего анализа нужен кернел дамп в момент, когда стало ясно, что обработка угрозы зависла.</p>
<div>Также, помимо этого, надо проверить будет ли воспроизводиться бага с отключенным hips'ом. (в независимости от результата прошу предоставить логи продукта для этого случая)</div>
</blockquote><p>@alexander-matrosov</p>
<ol>
<li>Что такое "кернель-дамп" в понятии разработчиков? Если дамп avp.exe то выше писал, что его снять невозможно - "нет доступа" даже дебаггером, запущенным с правами СИСТЕМА. Можете сами попробовать и убедиться, я просил других тестеров проверить - у них аналогично моему поведение, дамп не снимается.</li>
<li>HIPS - это контроль программ попробовать отключить и воспроизвести?</li>
</ol> -
<p><strong>Шаги воспроизведения:</strong></p>
<p><span></span>Продукт нашёл заражённый объект с помощью UDS, я выбрал "попытаться вылечить без перезагрузки", после этого я вижу, что заражённый бинарник вроде удалился, но в трее горит восклиц. знак, продукт продолжает что-то делать, захожу в главное окно - горит красным, вижу найденный объект, кликаю "Устранить", крутится колёсико и ничего не происходит. Ждал минут 5. Ощущение, что процесс лечения завис. Плюс не было баллуна, что всё вылечено и объект удалён.</p>
<p><strong>Актуальный результат:</strong></p>
<p><span></span>Процесс лечения завис.</p>
<p><strong>Ожидаемый результат:</strong></p>
<p><span></span>Процесс лечения будет быстрым</p><ol>
<li><a href="https://docs.microsoft.com/en-us/windows/client-management/generate-kernel-or-complete-crash-dump" target="_blank" rel="noopener">https://docs.microsoft.com/en-us/windows/client-management/generate-kernel-or-complete-crash-dump</a></li>
<li>да, всё правильно поняли (+ собрать логи)</li>
</ol> -
<ol>
<li><a href="https://docs.microsoft.com/en-us/windows/client-management/generate-kernel-or-complete-crash-dump" target="_blank" rel="noopener">https://docs.microsoft.com/en-us/windows/client-management/generate-kernel-or-complete-crash-dump</a></li>
<li>да, всё правильно поняли (+ собрать логи)</li>
</ol><p>@alexander-matrosov На свежей сборке на воспроизвелось (пока что). Попробую ещё несколько раз и отпишусь о результате. ;-)</p>
-
<p>На новой сборке зависание не случается. Продукт корректно отрабатывает лечение без перезагрузки с детектом по UDS. Думаю, что пока можно прикрыть. Буду проверять на каждой следующей сборке.</p>
Hello! It looks like you're interested in this conversation, but you don't have an account yet.
Getting fed up of having to scroll through the same posts each visit? When you register for an account, you'll always come back to exactly where you were before, and choose to be notified of new replies (either via email, or push notification). You'll also be able to save bookmarks and upvote posts to show your appreciation to other community members.
With your input, this post could be even better 💗
Register Login© 2026 АО «Лаборатория Касперского»