Отключение автоматического поиска руткитов - Антивирус Касперского - покупка, использование и решение проблем - Форумы Anti-Malware.ru Перейти к содержанию
Lemmit

Отключение автоматического поиска руткитов

Recommended Posts

Lemmit

Странно, что форум содержит в названии "...и решение проблем", а этого решения тут пока нет (или я не увидел).

Проявляется проблема в следующем: автоматический поиск руткитов в KIS 2010 запускается через полчаса после старта программы и начинает очень интенсивно работать с жестким диском. Процессор при этом загружается не сильно, но на слабых компьютерах торможение может быть заметно.

Увидеть, запущен ли автоматический поиск руткитов, можно, щелкнув правой клавишей по значку антивируса в трее. Если увидите строчку вроде «поиск руткитов 99%», а с жестким диском будет твориться вышеописанное, значит, поиск руткитов работает.

Ведется этот поиск от получаса до бесконечности в зависимости от скорости работы компьютера и количества файлов на компьютере. При новом включении история повторяется сначала. На все время сканирования замедляется работа с диском. В отдельных случаях, как пишут, доходит до «синих экранов».

Самое печальное, что в настройках антивируса автоматический поиск руткитов вообще никак не отключается. Утверждают, что все так и задумано и, что это не баг, а необходимость.

Решение взято с форума ЛК , но его еще надо найти и полезная информация разбросана по темам...

Отключить автоматический поиск руткитов все-таки можно, но при этом отключение будет в ущерб безопасности.

Последовательность действий:

1. Отключите самозащиту продукта:

Откройте главное окно программы -> нажмите ссылку 'Настройка' (вверху справа) -> в открывшемся окне перейдите в раздел 'Параметры' -> снимите галочку 'Включить самозащиту' -> нажмите кнопку 'ОК'.

2. В редакторе реестра найдите ключи:

для 32-битной Windows: HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP9\profiles\Scan_Qscan

HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP9\profiles\Scan_Rootkits

для 64-битной Windows:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\protected\AVP9\profiles\Scan_Qscan

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\KasperskyLab\protected\AVP9\profiles\Scan_Rootkits

3. В указанных ключах измените значения параметров enabled и installed на 0 (ноль).

4. Включите самозащиту программы.

5. Перегрузите компьютер.

После этого останется возможность произвести проверку на руткиты в ручном режиме, для чего нужно запустить полное сканирование компьютера на предмет вирусов.

При этом в рекомендуемых настройках по умолчанию опция поиска руткитов уже включена.

P.s.: Пытаются исправить ситуацию тут: http://forum.kaspersky.com/index.php?showtopic=141809

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
valet
Странно, что форум содержит в названии "...и решение проблем", а этого решения тут пока нет (или я не увидел).

Наверное потому, что есть вот эта тема в шапке раздела?! :)

Но за приведенное здесь решение - спасибо. Возможно кому-нибудь и пригодится. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • santy
      Есть цепочка запуска: Есть цепочка запуска по образу, полученному с отслеживанием версией 4.99.6 https://imgur.com/xSA79Bm    
    • PR55.RP55
      "Использование групповой политики для удаленной установки программного обеспечения..." Возможно есть смысл информировать Оператора, что такая политика существует.    
    • demkd
      ---------------------------------------------------------
       4.99.7
      ---------------------------------------------------------
       o В окно истории процессов добавлен новый фильтр.
         Активировать его можно в контекстном меню процесса с помощью пункта "Отобразить цепочку запуска процесса".
         В результате в списке останется лишь текущий процесс и все его предки вплоть до SYSTEM.
         Фильтр имеет средний приоритет, т.е. фильтр на родительский процесс имеет высший приоритет, затем идет
         этот фильтр, затем фильтр по строке происка. Отмена фильтров по ESC происходит в обратном порядке
         в соответствии с их приоритетом.
         (!) В истории процессов 64-х битных систем рекомендуется обращать внимание на запуск 32-х битного cmd.exe
         (!) часто это является признаком зловредной активности.

       o В лог добавлено предупреждение при обнаружении отладчика/блокировки запуска/монитора завершения приложения.
         В лог выводится исходное значение параметров Debugger и MonitorProcess.
         Таким образом сразу будет видно если известные файлы были использованы для блокировки запуска процессов
         или неявного запуска несистемных процессов.

       o Твики #35 обновлен, теперь он называется: "Очистить ключи IFEO и SilentProcessExit".
         Теперь в лог выводятся все удаленные параметры или имя ключа с ошибкой удаления параметра.

       o Изменено название статуса "Исключение" на "Defender_Исключение".

       o Изменен префикс названия объекта "WD_Exclusion:" на "WDE:".

       o Исключения дефендера теперь могут быть удалены лишь в ручном режиме.

       o Исправлена ошибка в парсере json.

       o Исправлена ошибка "...не найден в списке" при удалении некоторых исключений Defender-а скриптовой командой.
       
    • demkd
      причина сбоев в том что пользователь включает опасные флаги при запуске, в частности заморозку потоков или выгрузку DLL. да Работать с образом нужно в той локализации, с которой был сделан образ, иначе будут проблемы.
    • PR55.RP55
      + Нюанс... Есть образ втозапуска созданный в\на англицкой версии uVS И если отдать команду: Запретить запуск файла (по хешу) то получим: (!) Не удалось получить размер файла C:\USERS\USER\APPDATA\LOCAL\PROTECTBROWSER\PROTECTBROWSER.EXE так как в Инфо:  Size 812544 bytes Правда при чём тут размер файла ? https://forum.esetnod32.ru/bitrix/components/bitrix/forum.interface/show_file.php?fid=130161&action=download  
×