#5072 Самопроизвольное открытие главного окна продукта после приостановки защиты, автоматический перезапуск продукта после попытки его выгрузки
-
Accepted
Шаги воспроизведения: Приостановить защиту "до перезапуска приложения" через трей, затем выгрузить его через "Выход".
Актуальный результат: После приостановки защиты открывается главное окно продукта, хотя оно было закрыто. Во время выгрузки после подтверждения этого действия значок в трее исчезает, однако в ДЗ оба процесса антивируса остаются запущены, затем сразу загружаются два новых процесса, предыдущие при этом выгружаются. Через некоторое время продукт снова открывается - появляется сплеш-скрин, затем главное окно, в Безопасности Windows сообщается о включении защиты.
Данное поведение наблюдается как минимум после каждой перезагрузки ОС, встречается на нескольких последних сборках.
Ожидаемый результат: После приостановки защиты окно открываться не будет, выгрузка будет успешной без перезапуска приложения.
Дополнительные данные: Запись трейсов сделана при включенном Shadow Defender, но проблема воспроизводится и без него. Видеозапись прилагается.
System Settings
Operating system: Win 10, x64
System: i3, 6Gb, SSD
Product: STANDARD
Product Version: 21.13.5.506
Language: ru-RU
Product Logs: https://cloud.qainfo.ru/index.php/s/p3wW9DWIfhs6nZk
-
-
@alexeyk, добрый день!
Коллеги попросят проверить, воспроизводится ли сейчас на MR16? Данное сообщение считается архивным, тут ответить не получится, пожалуйста напишите в ЛС по результатам.
Заранее благодарен!
-
@dmitriy-pisarets Добрый день! В сборке 21.14.1.208 не воспроизводится, проверил по всем сценариям, кроме удаления продукта (это проверю после выхода следующего билда, но судя по всему, проблема также не воспроизведется).
По поводу открытия главного окна после получения автоапдейта 21.9 -> 21.13 по новому способу без ребута: проблема, как и предполагалось, есть только до перезагрузки ОС, после ребута при работе с проводником окно не открывается.
-
выполнил - Завершение работы в меню Пуск
ПК выключился. Вновь включил.
Антивирус самостоятельно запустился, автоматически, появился значок в трее, никаких окон (ни главного, ни сплеш окна, никаких уведомлений) от него не открывалось, защита включена, что следует из информации в Безопасности Windows, посмотренной для проверочного контроля.
мои данные
Kaspersky Plus 21.13.5.506
Windows 10 корпоративная
версия 22Н2
сборка 19045.2846
-
@alexeyk said in Самопроизвольное открытие главного окна продукта после приостановки защиты, автоматический перезапуск продукта после попытки его выгрузки:
Через некоторое время продукт снова открывается - появляется сплеш-скрин, затем главное окно, в Безопасности Windows сообщается о включении защиты.
тоже ничего из описанного не произошло, антивирус не перезапускается после выхода.
-
@alexeyk said in Самопроизвольное открытие главного окна продукта после приостановки защиты, автоматический перезапуск продукта после попытки его выгрузки:
После приостановки защиты открывается главное окно продукта, хотя оно было закрыто.
не воспроизвелось. окно не открылось. был запрос на подтверждения действия.
выполнил выход, тоже был запрос и всплыло уведомление, что защита не работает
-
Выглядит так, что помимо запуска продукта через службу, происходит запуск через элементы автозагрузки. Нужно проверять папки автозапуска (их две), а также планировщик заданий. Вроде бы, только в этих случаях запуск идёт через eplorer, хотя насчет планировщика не уверен, но проверить надо.
Я бы еще на всякий случай службы проверил, возможно, идёт дублирование служб?
Также в реестре проверить все варианты запуска приложений, такие как ключи реестра типа
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
Возможно, центр управления безопасностью Windows вставляет своё слово... Тоже смотреть надо...
И вот еще - то, что после подтверждения действия в СЗ на первый план выходит главное окно говорит о том, что всё же какая-то программа через explorer обращается к avpui в какие-то моменты. Как будто, сценарий работает...
-
@dmitriy-pisarets Добрый день! В качестве теста удалял установленные за последние пару месяцев программы, выполнял чистый запуск ОС, но результат не меняется. Расширений проводника и хоткеев нет и не было.
Дополню такой момент, что перезапуск происходит только в первый раз после перезагрузки ОС, при всех последующих попытках воспроизведения приостановка защиты и выгрузка идет нормально.
Еще вот что вспомнил: где-то 3-4 мес назад была проблема при удалении беты из-за ключа HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe (такая ситуация на форуме обсуждалась ранее). Ключ удалил из WinRE, в последующем продукты удалялись и устанавливались нормально. Сейчас проблем с правами ключа нет (насколько я смог этот момент понять). Не знаю, могло ли это стать сейчас причиной данного поведения, сообщаю на всякий случай. Текущая ситуация появилась существенно позже (заметил ее всего пару недель назад).
Отчет GSI отправил в ЛС.
UPD. Есть еще такая ситуация: при выполнении действий с дополнительными окнами (удаление строки в Управлении приложениями, сброс настроек продукта и т.п.) после подтверждения действия в СЗ на первый план в фокус выходит главное окно. Это происходит только один раз, при повторных действиях этого нет. Причем воспроизводится именно с включенной СЗ: если отключить СЗ, перезагрузить ОС и провести эти действия, то главное окно в фокус не идет. Если включить СЗ, то снова однократное воспроизведение. Добавил видео с удалением строки в списке УП, Rec 5: https://cloud.qainfo.ru/index.php/s/p3wW9DWIfhs6nZk
На форуме ЛК встречал много сообщений о том, что после загрузки ОС появляется главное окно продукта. Сегодня запостили два новых сообщения, ссылки ниже. По-моему похожая проблема, хотя у меня при запуске окно и не появляется, но все же прослеживается некоторая аналогия.
-
@alexeyk said in Самопроизвольное открытие главного окна продукта после приостановки защиты, автоматический перезапуск продукта после попытки его выгрузки:
Продукт не запускаю, он перезапускается автоматически.
Добрый день!
Коллеги внимательно изучили все трейсы, и из сценария удаления (я его как дубликат закрыл), и везде в логах виден запуск Касперского из приложения explorer.exe. С нашей стороны никаких проблем найти не удается, воспроизвести ни у кого из коллег тоже не получается.
Надо понять, что может на вашей конкретной машине запускать через проводник Касперского. возможно это какие-то доп программы, возможно расширения или обертки стандартного explorer'a. Я помню, что вы ранее отвечали, что вам ничего в голову не приходит, но сейчас мы в тупике, так как по трейсам все логично: есть выключение, есть команда запуска от юзера, и приложение стартует.
Может быть у вас есть настройки хоткеев, которые могли бы запускать антивирус?
Возможно стоит дополнительно собрать systeminfo. может там найдется ключ? https://support.kaspersky.ru/common/diagnostics/3632
-
@dmitriy-pisarets Я не отключал защиту, дополнил пост, забыл сразу это указать.) Просто выгружал продукт без предварительной приостановки защиты, но еще дополнительно сделал такой же тест с отключенной самозащитой.
UPD. Если откл. СЗ, то и первоначальный вариант с предварительной паузой защиты тоже не воспроизводится - окно не открывается, продукт полностью выгружается. Только сплеш-скрин при выгрузке также появляется, вроде раньше такого не было.
-
@alexeyk said in Самопроизвольное открытие главного окна продукта после приостановки защиты, автоматический перезапуск продукта после попытки его выгрузки:
самозащитой
простите. Речь точно о самозащите? или об отключении компонентов?
-
@dmitriy-pisarets Как раз об этом собирался сообщить.) Записал еще два видео по той же ссылке. Приостановку защиты не делал, сразу выгружал продукт.
Rec 3 - выгрузка без отключения самозащиты, в ДЗ два процесса avpui.exe, при последующем ручном запуске появляются дополнительные процессы, но полного старта долго не происходит. Продукт запустился только через несколько минут, на видео не попало. Дампов не пишется.
Rec 4 - выгрузка и последующий ручной запуск с откл. самозащитой нормальные. Хотя несколько странно появление на долю секунды сплеш-скрина при выгрузке.
В общем, как я и предполагал, дело скорее всего в самозащите. И при зависании деинсталляции, видимо, тоже.
-
@alexeyk said in Самопроизвольное открытие главного окна продукта после приостановки защиты, автоматический перезапуск продукта после попытки его выгрузки:
Если еще что-то нужно - пишите.
А воспроизведется ли, если не отключать защиту?
-
@dmitriy-pisarets Добрый день! По первому вопросу нет никаких идей.) Я просто перезагружаю ОС, дожидаюсь около 3 минут полной загрузки продукта, в том числе avpui.exe (контролирую по ДЗ), затем воспроизвожу. Воспроизводится стабильно, после каждого ребута. Продукт не запускаю, он перезапускается автоматически.
Сделал запись трейсов со старта. Видео и логи Procmon не загрузочные, запустил перед воспроизведением. Архив "Логи и видео_Пауза защиты и выгрузка" добавил сюда: https://cloud.qainfo.ru/index.php/s/p3wW9DWIfhs6nZk
Если еще что-то нужно - пишите.
-
@alexeyk, добрый день! В трейсах, как я понял, указан старт через explorer.exe (получается по клику на иконе приложения).
У вас идеи, как так могло получиться?
Правильно я понимаю, что вы после выгрузки продукта, его руками не запускаете?
И еще, разработчики говорят, что видео и трейсы из разных воспроизведений. Если у вас воспроизводится стабильно, можете включить трейсы, перезапустить ПК или Касперский, чтобы они были "со старта", затем воспроизвести. Очень поможет если сможете сразу записать видео, собрать procmon (process monitor) и наши трейсы.
-
