Hand2Note (.exe и .lnk) был удален Касперским: PDM:Trojan.Win32.Generic

Система новая, касперский стоит совсем недавно. Ничего не обнаруживал:

Сегодня во время работы рума и Hand2note4 (приложение работало более 2 часов) начал замечать, что как-будто делаются скриншоты окна с открытыми столами (всего у меня 3 монитора) - моргание как при нажатие на кнопку ПринтСкрин. Лимиты не большие, критичного ничего не происходило, чтобы заявить, что кто-то палил меня (блефы не вскрывали, чтобы прям явно, натцы проплачивали), но вот нагрузка на систему начала расти минут за 15-20 до сработки антивируса, особенно нагрузка на диск со стороны процесса Hand2Note4 и на сеть (открыл диспетчер задач). Было несколько волн повышения нагрузки с паузами в 3-4 минуты. Затем куллер сошел с ума и спустя 2-3 секунды выскочило предупреждение касперского и сообщения об удалении трояна.

Это случилось не при проверке системы, не при запуске, а в процессе длительного исполнения файла. Столов новых не открывал, игроки не сказать, чтобы прям менялись заметно. Единственное, что я сделал до начала этой ситуации - запустил хром с почтовой страницей (но не скачивал ничего).

Был найден PDM:Trojan.Win32.Generic:

 

Я знаю, что бывают ложные срабатывания, но тут есть нюанс - этот троян (если это именно троян, а не ложное срабатывание) использует уязвимость нулевого дня в различных браузерах, в том числе и в Хроме, и в Эдже. "И вероятность высока, что это именно троян, если угроза связана с веб-страницей браузера". И даже если пренебречь тем, что я запустил Хром (это 2 разных по сути процесса), то как я понимаю Hand2Note4 собран на базе Эдж от микрософт, т.к. при переключении в режим откладки в самом приложении Hand2Note4 открывается DevTools от микрософт.

У меня нет оснований обвинять разработчиков, возможно заражение (если оно и было) было допущено по моей халатности или это действительно ложное срабатывание.

Рядом стоит 3 версия этого ПО - полет нормальный.
Народ, напишите, пожалуйста, если у вас было что-то подобное.

rapax, не было. в системе нет ни хрома, ни edge (выпилен вручную). h2n4 стоит давно, практически с самого начала бета-тестирования. шапочку из фольги ношу

Сегодня касперский ругался при скачивание дистриба

А скачивал я его после того как при построении статов Х2Н4 у меня крашнулся и удалился софт :)

Саппорт предложил добавить в исключения. 

В целом, не очень понятно, чем именно Касперский лучше дефолтного антивируса в Win10/11, который не конфликтует с H2N. Его достаточно в принципе, но если есть сомнения в конкретном файле, то всё равно Virustotal будет лучше любого антивируса.

Расшифровка PDM:Trojan.Win32.Generic

Из энциклопедии касперского.

Анализ файла в касперском и вирустотал.

Тут список всех действий, какие-то пару действий из них касперский занёс в категорию подозрительных. 

Но чтобы исключить заражение на своём компьютере чем-то другим, что туда прописалось, нужно в поддержку касперского отправить трассировки, логи и т.д. Тут подробнее.

DeathProph3t @ 02.07.23 

не очень понятно, чем именно Касперский лучше дефолтного антивируса в Win10/11, который не конфликтует с H2N.

Смысл антивируса не избегать конфликты с приложениями. Касперский по моему субъективному мнению, основанному на прочитанной мной информации, с 2019 года на голову выше продукта от микрософта, но я Вас не агитирую.

Kuzjayo, я поэтому и писал, что могло иметь место ложное срабатывание. Но лучше проверить.

Kaspersky Rescue Disk, Dr.Web Live CD ничего не нашли. Восстановлю файл из карантина и отправлю на проверку.

rapax, было то же самое, Касперский удаляет экзешник только через некоторое время после начала автоимпорта. В других случаях он на программу не реагировал. В саппорте сказали, что этот антивирус самый конфликтный и предложили прост добавить в исключения. Или даже вообще удалить этот антивирус, потому что может не сработать. Я добавил в доверенные. Вроде полёт нормальный. Единственное - программа периодически просто вылетает опять же через некоторое время после начала автоимпорта. Возможно, это как-то связано. Теперь прост перезапускаю, и всё. Дальше работает.

А моргание окон происходит, кстати, когда ты наводишь на стат в хаде и открывается попап

Valmiki, спасибо.

Касперский удаляет экзешник только через некоторое время после начала автоимпорта. В других случаях он на программу не реагировал. В саппорте сказали, что этот антивирус самый конфликтный и предложили прост добавить в исключения.

Какая прелесть. Давненько не пользуюсь хтн, но всегда было интересно, зачем оно постояно висит в сети и держит на машине запущенными окно консоли узла и интерфейс командной строки. Видимо, для "улучшения качества продукта" А совсем не для того, чтобы подглядывать в карты. Честно-честно.

Для того, чтобы написать о ложном срабатывании антивируса, есть почта: newvirus@kaspersky.com.