Hand2Note (.exe и .lnk) был удален Касперским: PDM:Trojan.Win32.Generic

4
Статистика
Статистика
4
Статистика темы
  • Популярность
    Топ-5013
  • Постов
    10
  • Просмотров
    2,512
  • Подписок
    4
  • Карма автора
    +39
  • Система новая, касперский стоит совсем недавно. Ничего не обнаруживал:

    Сегодня во время работы рума и Hand2note4 (приложение работало более 2 часов) начал замечать, что как-будто делаются скриншоты окна с открытыми столами (всего у меня 3 монитора) - моргание как при нажатие на кнопку ПринтСкрин. Лимиты не большие, критичного ничего не происходило, чтобы заявить, что кто-то палил меня (блефы не вскрывали, чтобы прям явно, натцы проплачивали), но вот нагрузка на систему начала расти минут за 15-20 до сработки антивируса, особенно нагрузка на диск со стороны процесса Hand2Note4 и на сеть (открыл диспетчер задач). Было несколько волн повышения нагрузки с паузами в 3-4 минуты. Затем куллер сошел с ума и спустя 2-3 секунды выскочило предупреждение касперского и сообщения об удалении трояна.

    Это случилось не при проверке системы, не при запуске, а в процессе длительного исполнения файла. Столов новых не открывал, игроки не сказать, чтобы прям менялись заметно. Единственное, что я сделал до начала этой ситуации - запустил хром с почтовой страницей (но не скачивал ничего).

    Был найден PDM:Trojan.Win32.Generic:

     

    Я знаю, что бывают ложные срабатывания, но тут есть нюанс - этот троян (если это именно троян, а не ложное срабатывание) использует уязвимость нулевого дня в различных браузерах, в том числе и в Хроме, и в Эдже. "И вероятность высока, что это именно троян, если угроза связана с веб-страницей браузера". И даже если пренебречь тем, что я запустил Хром (это 2 разных по сути процесса), то как я понимаю Hand2Note4 собран на базе Эдж от микрософт, т.к. при переключении в режим откладки в самом приложении Hand2Note4 открывается DevTools от микрософт.


    У меня нет оснований обвинять разработчиков, возможно заражение (если оно и было) было допущено по моей халатности или это действительно ложное срабатывание.

    Рядом стоит 3 версия этого ПО - полет нормальный.
    Народ, напишите, пожалуйста, если у вас было что-то подобное.

    Ответить Цитировать
    1/3
    + 5
  • rapax, не было. в системе нет ни хрома, ни edge (выпилен вручную). h2n4 стоит давно, практически с самого начала бета-тестирования. шапочку из фольги ношу

    Ответить Цитировать
    1/1
    + 1
  • Сегодня касперский ругался при скачивание дистриба

    А скачивал я его после того как при построении статов Х2Н4 у меня крашнулся и удалился софт :)


    Саппорт предложил добавить в исключения. 

    Ответить Цитировать
    1/1
    + 0
  • В целом, не очень понятно, чем именно Касперский лучше дефолтного антивируса в Win10/11, который не конфликтует с H2N. Его достаточно в принципе, но если есть сомнения в конкретном файле, то всё равно Virustotal будет лучше любого антивируса.

    Ответить Цитировать
    1/1
    + 0
  • Расшифровка PDM:Trojan.Win32.Generic

    Из энциклопедии касперского.

    Анализ файла в касперском и вирустотал.

    Тут список всех действий, какие-то пару действий из них касперский занёс в категорию подозрительных. 

    Но чтобы исключить заражение на своём компьютере чем-то другим, что туда прописалось, нужно в поддержку касперского отправить трассировки, логи и т.д. Тут подробнее.

    Ответить Цитировать
    1/1
    + 1
  • DeathProph3t @ 02.07.23 

    не очень понятно, чем именно Касперский лучше дефолтного антивируса в Win10/11, который не конфликтует с H2N.

    Смысл антивируса не избегать конфликты с приложениями. Касперский по моему субъективному мнению, основанному на прочитанной мной информации, с 2019 года на голову выше продукта от микрософта, но я Вас не агитирую.


    Kuzjayo, я поэтому и писал, что могло иметь место ложное срабатывание. Но лучше проверить.


    Kaspersky Rescue Disk, Dr.Web Live CD ничего не нашли. Восстановлю файл из карантина и отправлю на проверку.

    Ответить Цитировать
    2/3
    + 0
  • rapax, было то же самое, Касперский удаляет экзешник только через некоторое время после начала автоимпорта. В других случаях он на программу не реагировал. В саппорте сказали, что этот антивирус самый конфликтный и предложили прост добавить в исключения. Или даже вообще удалить этот антивирус, потому что может не сработать. Я добавил в доверенные. Вроде полёт нормальный. Единственное - программа периодически просто вылетает опять же через некоторое время после начала автоимпорта. Возможно, это как-то связано. Теперь прост перезапускаю, и всё. Дальше работает.

    Ответить Цитировать
    1/2
    + 1
  • А моргание окон происходит, кстати, когда ты наводишь на стат в хаде и открывается попап

    Ответить Цитировать
    2/2
    + 0
  • Valmiki, спасибо.

    Ответить Цитировать
    3/3
    + 0
  • Касперский удаляет экзешник только через некоторое время после начала автоимпорта. В других случаях он на программу не реагировал. В саппорте сказали, что этот антивирус самый конфликтный и предложили прост добавить в исключения.

    Какая прелесть. Давненько не пользуюсь хтн, но всегда было интересно, зачем оно постояно висит в сети и держит на машине запущенными окно консоли узла и интерфейс командной строки. Видимо, для "улучшения качества продукта" А совсем не для того, чтобы подглядывать в карты. Честно-честно.

    Ответить Цитировать
    1/1
    + -1
  • Для того, чтобы написать о ложном срабатывании антивируса, есть почта: newvirus@kaspersky.com.

    Ответить Цитировать
    1/1
    + 0
1 человек читает эту тему (1 гость):
Зачем регистрироваться на GipsyTeam?
  • Вы сможете оставлять комментарии, оценивать посты, участвовать в дискуссиях и повышать свой уровень игры.
  • Если вы предпочитаете четырехцветную колоду и хотите отключить анимацию аватаров, эти возможности будут в настройках профиля.
  • Вам станут доступны закладки, бекинг и другие удобные инструменты сайта.
  • На каждой странице будет видно, где появились новые посты и комментарии.
  • Если вы зарегистрированы в покер-румах через GipsyTeam, вы получите статистику рейка, бонусные очки для покупок в магазине, эксклюзивные акции и расширенную поддержку.