» Антивирус Dr.Web (Доктор Веб, Doctor Web, DrWeb antivirus)

ValeryLedovskoy
Опять не соглашусь. Сейчас в связи с тенденциями роста скоростей доступа происходит постепенный отказ от менеджеров закачек за их ненадобостью, встроенные качалки оперы или фаерфокса прекрасно справляются со своими функциями.

Смысл в гейте не теряется при отключенной проверке архивов, это явный передерг. Он и должен проверять трафик, как правило вредоносные сайты не пакуют в себя в зип в надежде что сам юзер запустит вложение как тот "молдавский вирус" (пожалуйста, сами сотрите...)

ValeryLedovskoy
Позволю себе вмешаться в полемику. Проверять архивы при закачке бессмысленно. Хотя бы потому, что архив невозможно проверить, предварительно его не закачав. И проверка может начаться только при распаковке закачанного архива средствами антивируса. Т.е., можно не проверять архив вообще, если при распаковке всё равно включится проверка "неинтеллигентным" SpiderGuard'ом.

Видимо, разработчики думают, что мало кто пользуется для закачки больших архивов менеджерами закачек, встроенные в файерфокс или оперу. Видимо, правильно считают.
Я вот для небольших файлов (до пары десятков МБ) использую встроенный в файрфокс менеджер закачек, если что-то крупнее - плагин FlashGot (наиболее популярный, наверное, плагин для Firefox почему-то), который отдаёт закачку во FlashGet.
Но большинство пользователей до сих пор используют IE, причём IE 6.0.
А SpIDer Guard, как я говорил, можут быть вообще отключен, т.к. пользователь может полагать, что SpIDer Gate защищает HTTP-трафик.

Я вполне себе представляю, что ваше мнение, maxic и UnYura, тоже имеет право на существование, но разработчики, выставляя настройки по умолчанию, в первую очередь ориентируются на огромную армию неподготовленных пользователей.

ValeryLedovskoy
Противоречишь сам себе. Огромная армия неподготовленных пользователей не пользуется менеджерами закачек

Пользуюсь версией 4.44
При запуске GUI сканера без ini файла он в процессе подготовки убивает заражённые autorun.inf на мобильных носителях.
drwebwcl.exe же при любых аргументах не хочет, пока его носом не ткнёшь в том с вирусом. Что делать?

maxic, не, не противоречу.
https://addons.mozilla.org/ru/firefox/search?q=FlashGot
214 736 загрузок еженедельно
Не верю, что все эти пользователи подготовленные. Скорее, большинство - нет

Redisych, версия 4.44 уже как год морально устарела.
Да, консольные сканеры могут только сканировать файлы, которые им скажут просканировать, они не совершают дополнительных действий, как то удаление повреждённых autorun.inf. Также консольные сканеры не включают в себя антируткит-модуль Dr.Web Shield и не проводят чистку реестра в случае обнаружения вирусов. Поэтому лучше использовать сканер с графическим интерфейсом, если ничего этому не мешает.
И зачем ставить компоненты антивируса в такую позу - запускать их без файла конфигурации?

ValeryLedovskoy
Про версии в курсе. В 5-й консоль стала функциональнее?
Консольный сканер для меня удобнее в ряде задач. А GUI запущен без ini преднамеренно, в порядке эксперимента, чтобы показать, что дополнительных настроек не произведено, всё по-умолчанию.

Давайте подведём итог. Консоль не при каких настройка не удалит с необьявленного носителя инфицированный автозапуск?

Redisych
У меня консольный сканер датируется маем 2009 и больше не развивается, насколько я понимаю. Неудивительно - в связи с тем, что пакет переходит на новую архитектуру.

Redisych, ИМХО, до итогов тут далеко, ибо Вы ещё не до конца понимаете принципа работы консольных сканеров. Если на съёмном носителе находятся вредоносные исполняемые файлы, которые запускаются при автозапуске, они будут обнаружены и консольным сканером. Autorun.inf будет удалён, если он есть в базе. Но сам по себе Autorun.inf не может быть вредоносным, в нём только лишь идёт ссылка на файл, который запускается. Консольный сканер об этой особенности Autorun.inf ничего не знает, поэтому не может делать дополнительные действия, которые реализованы в GUI-сканере. Например, если вредоносный файл, который запускается из Autorun.inf, уже удалён, то при подключении такой флешки GUI-сканер обнаружит, что объект, на который ссылается Autorun.inf, отсутствует, и удалит такой Autorun.inf как "повреждённый файл автозапуска". Консольный сканер этого не сделает.

Что касается ini. Без него у сканера несколько другие установки, чем по умолчанию выставлены в ini для Dr.Web для Windows и Dr.Web SS. Поэтому эксперимент не вполне корректный. Лучше запускать GUI-сканер с дефолтным ini во избежание всяческих недоразумений.

Добавлено:
maxic, думаю, что новые консольные сканеры всё же будут дотачиваться. Хотя бы для совместимости с новыми движками. Но, скорее всего, не более, чем для этого.

В частности, вирлабовцы используют консольные сканеры для автоматизации своей работы. Но это довольно специфическое использование.

ValeryLedovskoy
Да понимаю я механизм работы авторана Естественно, по ссылке преднамеренно подсажен вирус из моего рассадника, всё пристойно. Консоль его не обнаруживает.

У консоли стоит опция игнорирования ini.
Как теперь получить дефолтные установки для GUI?
Только сдаётся мне, что при любых установках сканер будет прибивать вирус-авторан.


Если бы удалось получить поведение консоли в отношении флешек-дисков, схожее с GUI, я был бы удовлетворён и занялся бы шедулерами.


Цитата:

В частности, вирлабовцы используют консольные сканеры для автоматизации своей работы. Но это довольно специфическое использование.

Вот и у меня... специфическое. Ну очень удобно, например, без проверки загрузчиков и памяти, проверять кучу гарантированно заражённого материала. Одним кликом. Это один из примеров, я пошёл дальше, мне нужна автоматизация, причём на машинах простых юзеров, часто без их ведома.

P.S. это личное убеждение, но в резидентах у меня антивиров никогда не было.

---upd
Ну да, как его не регулируй, прибивает. А консоль не хочет. Поделитесь ключиками Или скрипт писать для рекурсивного прохода?

доктор веб перестал обновляться, и когда лезу на сайт http://download.drweb.com/bases/ пишет что "Невозможно найти удалённый сервер"

Как быть???

Andrysha
Для начала проверить hosts

Ни один сервер обновления не работает!!!

Добавлено:
maxic
а что это? hosts

Andrysha
Смотрите фаервол, маршрутизацию, прокси, если есть, плагины/расширения к браузеру вроде AdBlock. У меня ссылка открывается на ура.

Добавлено:
%WINDIR%\system32\drivers\etc\hosts

Andrysha
Вам, наверное, тогда лучше сюда: http://forum.drweb.com/index.php?showforum=35
Помощь по лечению.

вот что написано в файле c:\WINDOWS\SYSTEM32\drivers\etc\hosts

# (C) Корпорация Майкрософт (Microsoft Corp.), 1993-1999
#
# Это образец файла HOSTS, используемый Microsoft TCP/IP для Windows.
#
# Этот файл содержит сопоставления IP-адресов именам узлов.
# Каждый элемент должен располагаться в отдельной строке. IP-адрес должен
# находиться в первом столбце, за ним должно следовать соответствующее имя.
# IP-адрес и имя узла должны разделяться хотя бы одним пробелом.
#
# Кроме того, в некоторых строках могут быть вставлены комментарии
# (такие, как эта строка), они должны следовать за именем узла и отделяться
# от него символом '#'.
#
# Например:
#
# 102.54.94.97 rhino.acme.com # исходный сервер
# 38.25.63.10 x.acme.com # узел клиента x

127.0.0.1 localhost

Andrysha
Вроде норма...
Смотрите остальное.

Каким браузером пользуетесь? Что в его настройках сети? Какое подключение LAN, DSL? Есть ли VPN, прокси?

Redisych, т.е. консольный сканер не обнаруживает подскаженный исполняемый файл? Т.е. Dr.Web его просто не детектит? В вирлаб тогда, чтобы детектил.

Получить дефолтный GUI можно, установив Dr.Web для Windows.

Только вот для условий сети все Ваши проблемы решает Dr.Web ES:
http://products.drweb.com/esuite/
В этом продукте есть множество и других очень вкусных для администраторов вещей.
А Вы изобретаете велосипед. Наши разработчики вряд ли будут заниматься помощью в Ваших начинаниях

Andrysha, лучше всего в техподдержку:
https://support.drweb.com/new/tech/

Если не лицензионный пользователь - на форум http://forum.drweb.com , раздел "Помощь по лечению".

Файерволов нету, ни опера ни эксплорер не открывают.

ValeryLedovskoy
Консоль любой вирус не детектит на флешке поумолчанию...

Цитата:

А Вы изобретаете велосипед. Наши разработчики вряд ли будут заниматься помощью в Ваших начинаниях

Я не прошу ставить персонально для меня эксперименты У меня подозрение, что я недопонимаю значение ключей. Дайте рабочий вариант, при котором работает, а я сам его допилю до нужного мне.

Цитата:

Только вот для условий сети все Ваши проблемы решает Dr.Web ES:

Спасибо за предложение. Когда нибудь, может быть... Видите, на пятёрку до сих пор не перешёл, оно хорошо быть впереди планеты всей, но консерватизм...

Redisych, при использовании ES, если уж религия не позволяет, можно не устанавливать мониторы на компьютеры пользователей, только, собственно, агент, который отвечает за автоматизацию.

Добавлено:
Все ключи указаны в документации на Dr.Web для Windows:
http://download.drweb.com/win
Чуть больше ключей и чуть более подробно - в материалах для наших учебных курсов:
http://training.drweb.com

а CureIt лечит или только показывает заражённые файлы?

ValeryLedovskoy

Цитата:

Чуть больше ключей и чуть более подробно - в материалах для наших учебных курсов

Ну Вы даёте
Спасибо

Redisych, консерватизм хорошо, когда речь не заходит об информационной безопасности, где типы угроз меняются очень часто.
Что касается ваших любимых флешек (и моих тоже - в отчётах Dr.Web ES ежедневно читаю информацию почти по каждой вставленной флешке - очень удобно)... так вот что касается флешечных вирусов, то в движке версии 5.0 была реализована запись Trojan.Autorunner.based, которая позволяет определять многие авторанеры одной этой записью. В 4.44 этого уже никогда не будет. Так что подумайте над своим консерватизмом.

Добавлено:
Redisych, ключей командной строки, конечно. Кто о чём думает

Добавлено:
Andrysha, CureIt! и находит вирусы, и лечит систему, но перед каждым сканированием нужно скачивать новый дистрибутив - автоматического обновления в этой утилите нет. Кроме того, CureIt! бесплатно можно теперь использовать только для домашнего компьютера.

ValeryLedovskoy

Цитата:

Так что подумайте над своим консерватизмом.

Всё будет, со временем...

Цитата:

ключей командной строки, конечно

Я о них. Как так получилось? Маркетинговый ход?

Цитата:

Я о них. Как так получилось? Маркетинговый ход?

Что маркетинговый ход? Учебные курсы предназначены для уровня системных администраторов. А домашний пользователь должен, грубо говоря, поставить антивирус и забыть о его существовании. Подавляющее число пользователей вообще не знают, что существуют такие ключи командной строки.

Т.е. Вы признаёте факт того, что в юзермануале не полная информация?

Redisych, да, там не указаны потенциально опасные ключи. Кроме того, по указанным ключам не раскрыта специфическая информация, которая не является необходимой для того, чтобы пользоваться всеми возможностями антивируса. Не указаны ветки реестра, содержащие там настройки. Это никак не мешает пользоваться этими настройками, задавая их из GUI.

Уважаемые форумчане подскажите новичку плз. Пытаюсь поставить 64х разрядную бета версию доктора веба на W7 64. Вариант установки сканер, майл, гуард. установка проходит успешно. после перезапуска обнаруживаю что модуль самозащиты не установлен. Пытался ручками прописать в реестр параметр dwprot и ручками же подставить драйвер dwprot.sys. После перезагрузки драйвер заработал, но веб по прежнему пишет что модуль "сз" не установлен. Повторное удаление/установка к улучшениям не приводит. Попробовал в W7 32 бит, в ней все проходит на ура.

ValeryLedovskoy
ОК, спасибо за весьма интересную информацию.
Насколько глубока кроличья нора...