Ошибочное срабатывание на 100% безвредные файлы.

[Юрий Марков]

Я маппер, работаю с играми на движке Source Engine. Сегодня касперский 2016 просто в наглую стал кидаться на все файлы которые пытаются запустить bms.exe (игра Black Mesa Source). Игра лицензионная в Steam.

1е срабатывание было на файл *.bat который запускает игру в режиме разработчика, его содержание: start bms.exe -dev (ничего подозрительного). Но касперский сказал, что это троян и удалил файл.

2е срабатывание меня просто "убило". Я работал над картой в Hammer Editor. Запустил компиляцию, после чего редактор запускает игру для запуска карты. В итоге процесс редактора закрыт, файл удалён, а моя карта теперь повреждена и не открывается ! "Спасибо вам большое" лаборатория касперского.

[_Maks__]

@Юрий Марков, Настройки - Дополнительно - Угрозы и исключения - Настроить исключения.

 

 

  Юрий Марков сказал:

В итоге процесс редактора закрыт, файл удалён, а моя карта теперь повреждена и не открывается !

 

Попробуйте восстановить удалённый файл из карантина.

 

В главном меню антивируса Дополнительные инструменты - Карантин.

[oit]

@Юрий Марков, либо сюда отослать файлы с пометкой Чистый https://newvirus.kaspersky.ru/

либо сюда center.kaspersky.com

[Денис-НН]

Проще попробовать добавлять в исключения. И только если не получится, то в вирлаб.

[Юрий Марков]

  В 29.03.2016 в 04:19, _Maks__ сказал:

@Юрий Марков, Настройки - Дополнительно - Угрозы и исключения - Настроить исключения.

 

 

  Юрий Марков сказал:

В итоге процесс редактора закрыт, файл удалён, а моя карта теперь повреждена и не открывается !

 

Попробуйте восстановить удалённый файл из карантина.

 

В главном меню антивируса Дополнительные инструменты - Карантин.

Про карантин я знаю, файл редактора я оттуда достал, но кто мне восстановит проект карты.

 

  В 29.03.2016 в 06:22, Денис-НН сказал:

Проще попробовать добавлять в исключения. И только если не получится, то в вирлаб.

 

 

  В 29.03.2016 в 05:21, oit сказал:

@Юрий Марков, либо сюда отослать файлы с пометкой Чистый https://newvirus.kaspersky.ru/

либо сюда center.kaspersky.com

Что именно им туда отправлять то ? В данном случае антивирус кинулся на 2 файла, которые запустили bms.exe. Мне отправлять их или exe игры ? И куда именно ? Тут онлайн проверка которая говорит всё чисто и проверка линков.

 

Гениально, вчера я добавил всю папку игры в исключения, восстановил из карантина. Сегодня обнаруживаю, что оба файла удалены без моего ведома. Теперь придётся делать нудную проверку кэша игры и писать новый bat.

Изменено 29 марта, 2016 пользователем Юрий Марков

[Денис-НН]

  В 29.03.2016 в 12:10, Юрий Марков сказал:

 

 Теперь придётся делать нудную проверку кэша игры и писать новый bat.

 

Если бат файл такой простой - всего в одну строчку, то его написание не составит проблем.

 

 

Попробуйте решить проблему не созданием батника, который попадает в карантин а изменением ярлыка запуска программы. Добавьте туда ключ для отладки и дело с концом.

Изменено 29 марта, 2016 пользователем Денис-НН

[SLASH_id]

@Денис-НН, Тут вопрос какого черта такая жесткая проактивка. И почему.

[Юрий Марков]

  В 29.03.2016 в 14:36, SLASH_id сказал:

@Денис-НН, Тут вопрос какого черта такая жесткая проактивка. И почему.

Да, он кидался не только на bat. Да и почему я должен отказываться от bat в пользу неудобного ярылка.

[Friend]

@Юрий Марков, какая версия антивируса: http://support.kaspersky.ru/12073? Вы добавили всю папку с игрой в исключения: http://support.kaspersky.ru/12160 ? Сделайте скриншот ваших правил исключения. Также сделайте отдельный скриншот правил для bms.bat.

[Денис-НН]

  В 29.03.2016 в 22:10, Юрий Марков сказал:

 

  В 29.03.2016 в 14:36, SLASH_id сказал:

@Денис-НН, Тут вопрос какого черта такая жесткая проактивка. И почему.

Да, он кидался не только на bat. Да и почему я должен отказываться от bat в пользу неудобного ярылка.

 

Если срабатывание происходит не только на это бат файл но и на другие, то надо каждый случай решать индивидуально. 

А насчёт неудобства ярлыка? Странно, обычно все пользователи запускают программы с ярлыков и не жалуются.

Впрочем,  путь отсылки подозрительного файла в вирлаб у вас остался.

[Юрий Марков]

  В 30.03.2016 в 06:00, Friend сказал:

@Юрий Марков, какая версия антивируса: http://support.kaspersky.ru/12073? Вы добавили всю папку с игрой в исключения: http://support.kaspersky.ru/12160 ? Сделайте скриншот ваших правил исключения. Также сделайте отдельный скриншот правил для bms.bat.

Версия антивиря: 16.0.0.614(f)

Файлы он снёс скорее всего из-за того, что я отказался перезагружать комп, видимо он вбил в автозапуск удаление этих файлов. Кстати как оказалось позднее он снёс и bms.exe.

После 2х срабатываний, я всю папку занёс в исключения и на этом успокоился, но от запланированного удаления не спасся. На данный момент антивирус игнорирует эту папку (хоть что-то).

>>> Также сделайте отдельный скриншот правил для bms.bat.

У меня правило на всю папку, а файл лежит рядом с exe игры.

 

Заглянул ещё в мониторинг активности, похоже антивирус тупо не стал дружить с этой игрой. Пытается восстановить логи, конфиги. Удаляет редактор и прочие безобразия.

[Friend]

@Юрий Марков,  после того как добавили папку с игрой в исключение, проблема больше не возникала?

Антивирус после перезагрузки больше не детектировал файлы? Тему можно считать решенной?

В правилах исключения дополнительно можете в пункте Объект указать: "PDM:Trojan.Win32.Generic"

[Юрий Марков]

  В 30.03.2016 в 12:55, Friend сказал:

@Юрий Марков,  после того как добавили папку с игрой в исключение, проблема больше не возникала?

Антивирус после перезагрузки больше не детектировал файлы? Тему можно считать решенной?

В правилах исключения дополнительно можете в пункте Объект указать: "PDM:Trojan.Win32.Generic"

Ну антивирь то больше не кидается, но я понимаю когда какая-то непонятная программа с инета, а тут игра в Steam. Пусть базы фиксят, добавление в исключения вариант не совсем хорош.

[oit]

 

 

  Юрий Марков сказал:

Пусть базы фиксят

так отправили?

 

 

  oit сказал:

либо сюда отослать файлы с пометкой Чистый https://newvirus.kaspersky.ru/либо сюда center.kaspersky.com

[Юрий Марков]

  В 30.03.2016 в 17:11, oit сказал:

 

  Юрий Марков сказал:

Пусть базы фиксят

так отправили?

 

 

  oit сказал:

либо сюда отослать файлы с пометкой Чистый https://newvirus.kaspersky.ru/либо сюда center.kaspersky.com

 

По 1й ссылке я вообще вижу оналйн проверку да отправить URL, а не файл. По 2й регаться надо. Кому не в лом сделайте всё по феншую, файл игры ничего не весит.

bms.zipПолучение информации...